Vrhovno upravno sodišče Republike Bolgarije je v zadevi C-340/21 z dne 2. 6. 2021 naslovilo na Sodišče Evropske Unije skupek vprašanj v predhodno odločanje na podlagi 267. člena Pogodbe o delovanju Evropske unije. Zadeva se nanaša na upravni postopek, ki zadeva vse posameznike, ki so vložili zahtevke zoper Nacionalno agencijo za prihodke (NRA), zaradi obsežnega vdora v zbirke podatkov zadevnega javnega organa leta 2019. Osrednji razlog za predhodno odločanje Sodišča EU je dejstvo, da so nižje instance v Bolgariji odločale nekonsistentno v zvezi z odgovornostjo upravljavca.
Leta 2009 je NRA utrpela hekerski napad, ki je rezultiral v razkritju osebnih podatkov 6 milijonov državljanov. Nadzorni organ je upravljavcu dodelil globo v višini 2,55 milijona EUR. Poleg navedenega je nemalo državljanov vložilo odškodninske tožbe na podlagi pretrpljene nepremoženjske škode. Upravljavcu se očita malomarnost pri upoštevanju obveznosti iz 24. in 32. člena Splošne uredbe o varstvu podatkov (GDPR). Izkazalo se je, da prvostopenjski organi nekaterim odškodninskim zahtevkom ugodijo druge pa zavrnejo. Zaradi nedoslednosti prvostopenjskih sodišč je Vrhovno upravno sodišče Republike Bolgarije na Sodišče EU naslovilo naslednja vprašanja v predhodne odločanje:
- »Ali je treba člena 24 in 32 GDPR razlagati tako, da za stališče, da sprejeti tehnični in organizacijski ukrepi niso ustrezni, zadostuje, če so v smislu člena 4, točka 12, GDPR osebne podatke nepooblaščeno razkrile ali do njih dostopale osebe, ki niso uslužbenke uprave upravljavca in niso pod njegovim nadzorom?«
- »Če je odgovor na prvo vprašanje nikalen, kakšna bi morala biti predmet in obseg sodnega nadzora zakonitosti pri preverjanju, ali so tehnični in organizacijski ukrepi, ki jih je sprejel upravljavec, na podlagi člena 32 GDPR ustrezni?«
- Naslovno sodišče sprašuje, ali je dokazno breme na upravljavcu v primeru, da je odgovor na prvo vprašanje nikalen? Prav tako sodišče sprašuje, ali šteje izvedensko mnenje za potreben in zadosten dokaz v zvezi z izpolnitvijo obveznosti iz 32. člena GDPR.
- Sodišče sprašuje, ali je mogoče določbo tretjega odstavka 82. člena GDPR razlagati tako, da je upravljavec izvzet odgovornosti, če gre za nepovezan hekerski napad.
- Nazadnje sodišče sprašuje, ali zgolj strah in bojazen pred škodo, ki lahko nastane na podlagi razkritih podatkov, že pomeni nepremoženjsko škodo, ki je podlaga za odškodninsko odgovornost upravljavca.
Odgovor sodišča EU bo razjasnil mnoge dileme pri vlaganju odškodninskih zahtevkov upravljavcem, ki domnevno ne izpolnjujejo tehničnost-varnostnih obveznosti iz GDPR. Zadevo bomo spremljali in objavili dopolnitev ob končni odločitvi Sodišča EU.