VB proti Natsionalna agentsia za prihodite: K náhrade nemajetkovej ujmy spôsobenej tým, že si verejný orgán ako prevádzkovateľ osobných údajov údajne nesplnil zákonné povinnosti

1. Články 24 a 32 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), sa majú vykladať v tom zmysle, že: neoprávnené poskytnutie osobných údajov alebo neoprávnený prístup k takýmto údajom „tretími stranami“ v zmysle článku 4 bodu 10 tohto nariadenia samy osebe nepostačujú na konštatovanie, že technické a organizačné opatrenia prijaté daným prevádzkovateľom neboli „primerané“ v zmysle týchto článkov 24 a 32.

2. Článok 32 nariadenia 2016/679 sa má vykladať v tom zmysle, že: primeranosť technických a organizačných opatrení, ktoré prijal prevádzkovateľ podľa tohto článku, musia konkrétne posúdiť vnútroštátne súdy, a to s prihliadnutím na riziká spojené s dotknutým spracúvaním a na základe posúdenia, či sú povaha, obsah a vykonávanie týchto opatrení primerané týmto rizikám.

3. Zásada zodpovednosti prevádzkovateľa uvedená v článku 5 ods. 2 nariadenia 2016/679 a konkretizovaná v jeho článku 24 sa má vykladať v tom zmysle, že: v rámci žaloby o náhradu škody založenej na článku 82 tohto nariadenia dotknutý prevádzkovateľ nesie dôkazné bremeno, pokiaľ ide o preukázanie primeranosti bezpečnostných opatrení, ktoré prijal na základe článku 32 uvedeného nariadenia.

4. Článok 32 nariadenia 2016/679 a zásada efektivity práva Únie sa majú vykladať v tom zmysle, že: na účely posúdenia primeranosti bezpečnostných opatrení, ktoré prevádzkovateľ prijal podľa tohto článku, nemôže znalecký posudok predstavovať systematicky nevyhnutný a dostatočný dôkazný prostriedok.

5. Článok 82 ods. 3 nariadenia 2016/679 sa má vykladať v tom zmysle, že: prevádzkovateľ nemôže byť zbavený svojej povinnosti nahradiť škodu spôsobenú osobe podľa článku 82 ods. 1 a 2 tohto nariadenia len preto, že táto škoda vznikla v dôsledku neoprávneného poskytnutia osobných údajov alebo neoprávneného sprístupnenia týchto údajov „tretími stranami“ v zmysle článku 4 bodu 10 uvedeného nariadenia, pričom uvedený prevádzkovateľ musí preukázať, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.

6. Článok 82 ods. 1 nariadenia 2016/679 sa má vykladať v tom zmysle, že: obava z možného zneužitia osobných údajov tretími stranami, ktorú má dotknutá osoba v dôsledku porušenia tohto nariadenia, môže sama osebe predstavovať „nemajetkovú ujmu“ v zmysle tohto ustanovenia.