U predmetu C-340/21 od 2. lipnja 2021., Vrhovni upravni sud Republike Bugarske uputio je niz pitanja Sudu Europske unije na prethodno odlučivanje prema članku 267. Ugovora o funkcioniranju Europske unije. Predmet se odnosi na upravni postupak koji uključuje sve pojedince koji su podnijeli tužbe protiv Nacionalne agencije za prihode (NRA) zbog opsežnog upada u baze podataka dotičnog tijela javne vlasti u 2019. Glavni razlog za prethodnu odluku Europskog suda je činjenica da su niže instance u republici Bugarskoj odlučivale nedosljedno u pogledu odgovornosti voditelja obrade osobnih podataka.
NRA je 2009. pretrpjela hakerski napad koji je rezultirao otkrivanjem osobnih podataka 6 milijuna građana. Nadzorno tijelo je voditelju obrade podataka izrekla kaznu od 2,55 milijuna eura. Osim navedenog, mnogi su građani podnijeli tužbe za nematerijalnu štetu. Voditelju obrade se predbacuje za nemar u ispunjavanju obveza prema člancima 24. i 32. Opće uredbe o zaštiti podataka (GDPR). Ispostavilo se da su prvostupanjska tijela uvažila neke odštetne zahtjeve, a druga odbila. Zbog nedosljednosti prvostupanjskih tijela, Vrhovni upravni sud Republike Bugarske uputio je sljedeća pitanja Sudu EU na prethodno odlučivanje:
- Treba li članak 24. i članak 32. GDPR tumačiti na način da je za pretpostavku da poduzete tehničke i organizacijske mjere nisu odgovarajuće dovoljno ako neovlašteno otkrivanje osobnih podataka ili neovlašteni pristup osobnim podacima u smislu članka 4. točke 12. GDPR počine osobe koje nisu osoblje uprave voditelja obrade i koje ne podliježu njegovoj kontroli?
- U slučaju niječnog odgovora na prvo pitanje, koji bi predmet i opseg trebao imati sudski nadzor zakonitosti prilikom ispitivanja jesu li tehničke i organizacijske mjere koje je voditelj obrade proveo u skladu s člankom 32. GDPR odgovarajuće?
- U slučaju niječnog odgovora na prvo pitanje, treba li načelo pouzdanosti u skladu s člankom 5. stavkom 2. i člankom 24. u vezi s uvodnom izjavom 74. GDPR tumačiti na način da je u sudskom postupku u skladu s člankom 82. stavkom 1. GDPR na voditelju obrade teret dokaza da su u skladu s člankom 32. GDPR provedene tehničke i organizacijske mjere odgovarajuće? Može li se pribavljanje nalaza i mišljenja vještaka smatrati potrebnim i dostatnim dokazom za utvrđenje jesu li tehničke i organizacijske mjere koje je proveo voditelj obrade bile odgovarajuće u slučaju poput onog o kojem je riječ u ovom predmetu ako su neovlašteni pristup osobnim podacima i neovlašteno otkrivanje osobnih podataka posljedica „hakerskog napada”?
- Treba li članak 82. stavak 3. GDPR tumačiti na način da neovlašteno otkrivanje osobnih podataka ili neovlašteni pristup osobnim podacima u smislu članka 4. točke 12. GDPR kao u ovom predmetu, uslijed „hakerskog napada” koji su počinile osobe koje nisu osoblje uprave voditelja obrade i ne podliježu njegovoj kontroli, predstavlja događaj za koji voditelj obrade ni u kojem pogledu nije odgovoran i koji daje pravo na izuzimanje od odgovornosti?
- Treba li članak 82. stavke 1. i 2. u vezi s uvodnim izjavama 85. i 146. Uredbe (EU) 2016/679 tumačiti na način da su u slučaju poput onog o kojem je riječ u ovom predmetu u kojem postoji povreda osobnih podataka, koja se ogleda u neovlaštenom pristupu osobnim podacima i širenju osobnih podataka uslijed „hakerskog napada”, zabrinutost, bojazan i strahovi koje je ispitanik pretrpio zbog moguće buduće zlouporabe osobnih podataka već sami po sebi obuhvaćeni pojmom nematerijalne štete koji se treba široko tumačiti i daju pravo na naknadu štete, ako takva zlouporaba nije utvrđena i/ili tom ispitaniku nije nastala nikakva daljnja šteta?
Odgovor Suda EU razjasnit će mnoge dileme prilikom podnošenja odštetnih zahtjeva protiv voditelja obrade koji navodno ne ispunjavaju tehničke i sigurnosne obveze GDPR-a. Pratit ćemo navedeni predmet i objaviti konačnu odluku Suda EU.