ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τρίτο τμήμα)
της 14ης Δεκεμβρίου 2023 (*)
«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕE) 2016/679 – Άρθρο 5 – Αρχές που διέπουν την επεξεργασία – Άρθρο 24 – Ευθύνη του υπευθύνου επεξεργασίας – Άρθρο 32 – Μέτρα που εφαρμόζονται για τη διασφάλιση της ασφάλειας της επεξεργασίας – Εκτίμηση της καταλληλότητας τέτοιων μέτρων – Έκταση του δικαστικού ελέγχου – Διεξαγωγή των αποδείξεων – Άρθρο 82 – Δικαίωμα αποζημίωσης και ευθύνη – Ενδεχόμενο απαλλαγής του υπευθύνου επεξεργασίας από την ευθύνη σε περίπτωση παραβίασης από τρίτους – Αίτημα αποκατάστασης μη υλικής ζημίας λόγω φόβου για ενδεχόμενη κατάχρηση δεδομένων προσωπικού χαρακτήρα»
Στην υπόθεση C‑340/21,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Varhoven administrativen sad (Ανώτατο Διοικητικό Δικαστήριο, Βουλγαρία) με απόφαση της 14ης Μαΐου 2021, η οποία περιήλθε στο Δικαστήριο στις 2 Ιουνίου 2021, στο πλαίσιο της δίκης
VB
κατά
Natsionalna agentsia za prihodite,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τρίτο τμήμα),
συγκείμενο από τους K. Jürimäe, πρόεδρο τμήματος, N. Piçarra, M. Safjan, N. Jääskinen (εισηγητή) και M. Gavalec, δικαστές,
γενικός εισαγγελέας: G. Pitruzzella
γραμματέας: A. Calot Escobar
έχοντας υπόψη την έγγραφη διαδικασία,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– η Natsionalna agentsia za prihodite, εκπροσωπούμενη από τον R. Spetsov,
– η Βουλγαρική Κυβέρνηση, εκπροσωπούμενη από τις M. Georgieva και L. Zaharieva,
– η Τσεχική Κυβέρνηση, εκπροσωπούμενη από τους O. Serdula, M. Smolek και J. Vláčil,
– η Ιρλανδία, εκπροσωπούμενη από τη M. Browne, Chief State Solicitor, τον A. Joyce, την J. Quaney και τον M. Tierney, επικουρούμενους από τον D. Fennelly, BL,
– η Ιταλική Κυβέρνηση, εκπροσωπούμενη από την G. Palmieri, επικουρούμενη από τον E. De Bonis, avvocato dello Stato,
– η Πορτογαλική Κυβέρνηση, εκπροσωπούμενη από τις P. Barros da Costa, A. Pimenta, Μ. J. Ramos και C. Vieira Guerra,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους A. Μπουχάγιαρ και H. Kranenborg και τη N. Nikolova,
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 27ης Απριλίου 2023,
εκδίδει την ακόλουθη
Απόφαση
1 Η υπό κρίση αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 5, παράγραφος 2, των άρθρων 24 και 32, καθώς και του άρθρου 82, παράγραφοι 1 έως 3, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικό ΕΕ 2021, L 74, σ. 35, στο εξής: ΓΚΠΔ).
2 Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ της VB, φυσικού προσώπου, και της Natsionalna agentsia za prihodite (εθνικής υπηρεσίας δημοσίων εσόδων, Βουλγαρία, στο εξής: NAP) σχετικά με την αποκατάσταση μη υλικής ζημίας που ισχυρίζεται ότι υπέστη το εν λόγω φυσικό πρόσωπο επειδή, κατά το ίδιο, η εν λόγω δημόσια αρχή παρέβη τις υποχρεώσεις που υπέχει εκ του νόμου ως υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Το νομικό πλαίσιο
3 Οι αιτιολογικές σκέψεις 4, 10, 11, 74, 76, 83, 85 και 146 του ΓΚΠΔ έχουν ως εξής:
«(4) […] Ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και αρχές που αναγνωρίζονται στον [Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης], όπως κατοχυρώνονται στις Συνθήκες, ιδίως τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, […] το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου […]
[…]
(10) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της [Ευρωπαϊκής] Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. […]
(11) Η αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και τον λεπτομερή καθορισμό των δικαιωμάτων των υποκειμένων των δεδομένων, καθώς και των υποχρεώσεων όσων επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα […]
[…]
(74) Θα πρέπει να θεσπιστεί ευθύνη και υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να υλοποιεί κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. Τα εν λόγω μέτρα θα πρέπει να λαμβάνουν υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
[…]
(76) Η πιθανότητα και η σοβαρότητα του κινδύνου για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων θα πρέπει να καθορίζονται σε συνάρτηση με τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ο κίνδυνος θα πρέπει να αξιολογείται βάσει αντικειμενικής εκτίμησης, με την οποία διαπιστώνεται κατά πόσον οι πράξεις επεξεργασίας δεδομένων συνεπάγονται κίνδυνο ή υψηλό κίνδυνο.
[…]
(83) Για τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογεί τους κινδύνους που ενέχει η επεξεργασία και να εφαρμόζει μέτρα για τον μετριασμό των εν λόγω κινδύνων, όπως για παράδειγμα μέσω κρυπτογράφησης. Τα εν λόγω μέτρα θα πρέπει να διασφαλίζουν κατάλληλο επίπεδο ασφάλειας, πράγμα που περιλαμβάνει και την εμπιστευτικότητα, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις και το κόστος της εφαρμογής σε σχέση με τους κινδύνους και τη φύση των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν. Κατά την εκτίμηση του κινδύνου για την ασφάλεια των δεδομένων θα πρέπει να δίνεται προσοχή στους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη.
[…]
(85) Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο. Κατά συνέπεια, αμέσως μόλις ο υπεύθυνος επεξεργασίας λάβει γνώση μιας παραβίασης δεδομένων προσωπικού χαρακτήρα, θα πρέπει αμελλητί […] να γνωστοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην αρμόδια εποπτική αρχή […]
[…]
(146) Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα επεξεργασίας κατά παράβαση του παρόντα κανονισμού θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να απαλλάσσονται από την υποχρέωση αποζημίωσης εάν αποδείξουν ότι δεν φέρουν καμία ευθύνη για τη ζημία. Η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι του παρόντος κανονισμού. Αυτό δεν επηρεάζει τυχόν αξιώσεις αποζημίωσης, ασκούμενες λόγω παραβίασης άλλων κανόνων του δικαίου της Ένωσης ή των κρατών μελών. Επεξεργασία κατά παράβαση του παρόντα κανονισμού συμπεριλαμβάνει επίσης τυχόν επεξεργασία που γίνεται κατά παράβαση των κατ’ εξουσιοδότηση και εκτελεστικών πράξεων που εκδίδονται κατ’ εφαρμογή του παρόντος κανονισμού και του δικαίου των κρατών μελών που εξειδικεύει τους κανόνες του παρόντος κανονισμού. Τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν. […]»
4 Το άρθρο 4 του κανονισμού, το οποίο φέρει τον τίτλο «Ορισμοί», προβλέπει τα εξής:
«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
1) “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)·
2) “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα […]·
[…]
7) “υπεύθυνος επεξεργασίας”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· […]
[…]
10) “τρίτος”: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα,
[…]
12) “παραβίαση δεδομένων προσωπικού χαρακτήρα”: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,
[…]».
5 Το άρθρο 5 του κανονισμού, το οποίο επιγράφεται «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα», προβλέπει τα εξής:
«1. Τα δεδομένα προσωπικού χαρακτήρα:
α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (“νομιμότητα, αντικειμενικότητα και διαφάνεια”),
[…]
στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων (“ακεραιότητα και εμπιστευτικότητα”).
2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”).»
6 Κατά το άρθρο 24 του κανονισμού, το οποίο φέρει τον τίτλο «Ευθύνη του υπευθύνου επεξεργασίας»:
«1. Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.
2. Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο της επεξεργασίας.
3. Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπευθύνου επεξεργασίας.»
7 Το άρθρο 32 του ΓΚΠΔ, το οποίο επιγράφεται «Ασφάλεια επεξεργασίας», προβλέπει τα εξής:
«1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:
α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,
β) της δυνατότητας διασφάλισης της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,
γ) της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,
δ) διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.
2. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
3. Η τήρηση εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις της παραγράφου 1 του παρόντος άρθρου.
[…]»
8 Το άρθρο 79 του κανονισμού, το οποίο φέρει τον τίτλο «Δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία», ορίζει στην παράγραφο 1 τα εξής:
«Με την επιφύλαξη κάθε διαθέσιμης διοικητικής ή μη δικαστικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή δυνάμει του άρθρου 77, έκαστο υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του που το αφορούν κατά παράβαση του παρόντος κανονισμού.»
9 Το άρθρο 82 του κανονισμού, το οποίο φέρει τον τίτλο «Δικαίωμα αποζημίωσης και ευθύνη», προβλέπει στις παραγράφους 1 έως 3 τα εξής:
«1. Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.
2. Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. […]
3. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.»
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
10 Η NAP είναι αρχή υπαγόμενη στον Υπουργό Οικονομικών της Βουλγαρίας. Στο πλαίσιο των καθηκόντων της, τα οποία συνίστανται, μεταξύ άλλων, στον εντοπισμό, τη διασφάλιση και την είσπραξη των απαιτήσεων του Δημοσίου, είναι υπεύθυνη για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ.
11 Στις 15 Ιουλίου 2019 τα μέσα μαζικής ενημέρωσης αποκάλυψαν ότι είχε λάβει χώρα άνευ αδείας πρόσβαση στο σύστημα πληροφορικής της NAP και ότι, κατόπιν της εν λόγω κυβερνοεπίθεσης, είχαν δημοσιευθεί στο διαδίκτυο δεδομένα προσωπικού χαρακτήρα που περιέχονταν στο εν λόγω σύστημα.
12 Τα γεγονότα αυτά αφορούσαν περισσότερα από έξι εκατομμύρια φυσικά πρόσωπα, βουλγαρικής ή αλλοδαπής ιθαγένειας. Μερικές εκατοντάδες εξ αυτών, μεταξύ των οποίων και η ενάγουσα της κύριας δίκης, άσκησαν κατά της NAP αγωγές για την αποκατάσταση της μη υλικής ζημίας που υπέστησαν από τη γνωστοποίηση των δεδομένων τους προσωπικού χαρακτήρα.
13 Στο πλαίσιο αυτό, η ενάγουσα και ήδη αναιρεσείουσα της κύριας δίκης άσκησε ενώπιον του Administrativen sad Sofia-grad (διοικητικού πρωτοδικείου Σόφιας, Βουλγαρία) αγωγή με αίτημα να της καταβάλει η NAP το ποσό των 1 000 βουλγαρικών λέβα (BGN) (περίπου 510 ευρώ) ως αποζημίωση, βάσει του άρθρου 82 του ΓΚΠΔ και των διατάξεων του βουλγαρικού δικαίου. Προς στήριξη του αιτήματος αυτού, υποστήριξε ότι υπέστη μη υλική ζημία λόγω παραβίασης δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 12, του ΓΚΠΔ, ειδικότερα δε λόγω παραβίασης της ασφάλειας που προκλήθηκε επειδή η NAP παρέβη τις υποχρεώσεις που υπέχει, μεταξύ άλλων, από το άρθρο 5, παράγραφος 1, στοιχείο στʹ, καθώς και από τα άρθρα 24 και 32 του κανονισμού αυτού. Κατά την ίδια, η μη υλική ζημία της συνίσταται στον φόβο ότι τα προσωπικού χαρακτήρα δεδομένα της που δημοσιεύθηκαν χωρίς τη συγκατάθεσή της θα αποτελέσουν το αντικείμενο κατάχρησης στο μέλλον ή ότι η ίδια θα πέσει θύμα εκβιασμού, επίθεσης ή ακόμη και απαγωγής.
14 Αμυνόμενη, η NAP υποστήριξε κατ’ αρχάς ότι η ενάγουσα της κύριας δίκης δεν της είχε ζητήσει πληροφορίες σχετικά με τα συγκεκριμένα στοιχεία που είχαν κοινολογηθεί. Εν συνεχεία, η NAP προσκόμισε έγγραφα προκειμένου να αποδείξει ότι είχε λάβει όλα τα αναγκαία μέτρα, πριν το γεγονός, για να αποτρέψει την παραβίαση των δεδομένων προσωπικού χαρακτήρα που περιέχονταν στο σύστημα πληροφορικής, και μετά το γεγονός, προκειμένου να περιορίσει τα αποτελέσματα της παραβίασης και να καθησυχάσει τους πολίτες. Εξάλλου, κατά την ίδια, δεν υπήρχε αιτιώδης συνάφεια μεταξύ της προβαλλόμενης μη υλικής ζημίας και της εν λόγω παραβίασης. Τέλος, η NAP υποστήριξε ότι, δεδομένου ότι και η ίδια υπήρξε θύμα επίθεσης με κακόβουλο λογισμικό από πρόσωπα που δεν ήταν υπάλληλοί της, δεν μπορεί να θεωρηθεί υπεύθυνη για τις επιζήμιες συνέπειες της επίθεσης αυτής.
15 Με απόφαση της 27ης Νοεμβρίου 2020, το Administrativen sad Sofia‑grad (διοικητικό πρωτοδικείο Σόφιας) απέρριψε την αγωγή της αναιρεσείουσας της κύριας δίκης. Το δικαστήριο αυτό έκρινε, αφενός, ότι η άνευ αδείας πρόσβαση στη βάση δεδομένων της NAP ήταν αποτέλεσμα ηλεκτρονικού εγκλήματος που διαπράχθηκε από τρίτους και, αφετέρου, ότι η αναιρεσείουσα της κύριας δίκης δεν είχε αποδείξει παράλειψη της NAP όσον αφορά τη λήψη μέτρων ασφαλείας. Επιπλέον, έκρινε ότι η αναιρεσείουσα δεν είχε υποστεί μη υλική ζημία που να θεμελιώνει δικαίωμα αποζημίωσης.
16 Η αναιρεσείουσα της κύριας δίκης άσκησε αναίρεση κατά της εν λόγω απόφασης ενώπιον του Varhoven administrativen sad (Ανώτατου Διοικητικού Δικαστηρίου), αιτούντος δικαστηρίου στην υπό κρίση υπόθεση. Προς στήριξη της αιτήσεώς της αναιρέσεως, υποστηρίζει ότι το πρωτοβάθμιο δικαστήριο υπέπεσε σε πλάνη περί το δίκαιο κατά την κατανομή του βάρους απόδειξης σχετικά με τα μέτρα ασφαλείας που είχε λάβει η NAP καθώς και ότι η τελευταία δεν απέδειξε ότι δεν είχε υποπέσει συναφώς σε παραλείψεις. Επιπλέον, η προσφεύγουσα της κύριας δίκης υποστηρίζει ότι ο φόβος ενδεχόμενης καταχρηστικής χρησιμοποίησης των προσωπικού χαρακτήρα δεδομένων της στο μέλλον συνιστά πραγματική και όχι υποθετική μη υλική ζημία. Αμυνόμενη, η NAP αμφισβητεί όλα τα παραπάνω επιχειρήματα.
17 Το αιτούν δικαστήριο εξετάζει, κατ’ αρχάς, το ενδεχόμενο η διαπίστωση της παραβίασης δεδομένων προσωπικού χαρακτήρα να μπορεί να οδηγήσει αφ’ εαυτής στο συμπέρασμα ότι τα μέτρα που έλαβε ο υπεύθυνος επεξεργασίας των δεδομένων αυτών δεν ήταν «κατάλληλα», κατά την έννοια των άρθρων 24 και 32 του ΓΚΠΔ.
18 Σε περίπτωση, όμως, που η διαπίστωση αυτή δεν επαρκεί για να συναχθεί τέτοιο συμπέρασμα, το αιτούν δικαστήριο διερωτάται, αφενός, ως προς την έκταση του ελέγχου που πρέπει να ασκούν τα εθνικά δικαστήρια προκειμένου να εκτιμήσουν την καταλληλότητα των σχετικών μέτρων και, αφετέρου, ως προς τους κανόνες διεξαγωγής αποδείξεων που πρέπει να εφαρμόζονται στο πλαίσιο αυτό όσον αφορά τόσο το βάρος απόδειξης όσο και τα αποδεικτικά μέσα, ιδίως όταν τα δικαστήρια αυτά επιλαμβάνονται αγωγής αποζημίωσης στηριζόμενης στο άρθρο 82 του κανονισμού.
19 Εν συνεχεία, το αιτούν δικαστήριο ζητεί να διευκρινιστεί αν, υπό το πρίσμα του άρθρου 82, παράγραφος 3, του κανονισμού, το γεγονός ότι η παραβίαση δεδομένων προσωπικού χαρακτήρα οφείλεται σε πράξη τρίτου, εν προκειμένω σε κυβερνοεπίθεση, συνιστά παράγοντα ο οποίος απαλλάσσει αυτομάτως τον υπεύθυνο επεξεργασίας των δεδομένων αυτών από την ευθύνη του για τη ζημία που προκλήθηκε στο υποκείμενο των δεδομένων.
20 Τέλος, το εν λόγω δικαστήριο διερωτάται αν ο φόβος ενός προσώπου ότι τα προσωπικού χαρακτήρα δεδομένα του μπορούν να χρησιμοποιηθούν καταχρηστικά στο μέλλον, εν προκειμένω μετά από άνευ αδείας πρόσβαση σε αυτά και κοινολόγησή τους από δράστες κυβερνοεγκλήματος, μπορεί αφ’ εαυτού να συνιστά «μη υλική ζημία», κατά την έννοια του άρθρου 82, παράγραφος 1, του ΓΚΠΔ. Σε περίπτωση καταφατικής απαντήσεως, το πρόσωπο αυτό απαλλάσσεται από την υποχρέωση να αποδείξει ότι τρίτοι προέβησαν, πριν από την άσκηση αγωγής αποζημίωσης, σε παράνομη χρησιμοποίηση των δεδομένων αυτών, όπως θα ήταν η υποκλοπή της ταυτότητάς του.
21 Υπό τις συνθήκες αυτές, το Varhoven administrativen sad (Ανώτατο Διοικητικό Δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1) Έχουν το άρθρο 24 και το άρθρο 32 του [ΓΚΠΔ] την έννοια ότι αρκεί να λάβει χώρα μια άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή άνευ αδείας πρόσβαση σε αυτά κατά την έννοια του άρθρου 4, σημείο 12, του [ΓΚΠΔ] από πρόσωπα τα οποία δεν είναι υπάλληλοι του υπευθύνου επεξεργασίας και δεν υπόκεινται στον έλεγχό του για να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που ελήφθησαν δεν ήταν κατάλληλα;
2) Σε περίπτωση αρνητικής απάντησης στο πρώτο ερώτημα, ποιο είναι το αντικείμενο και η έκταση του δικαστικού ελέγχου νομιμότητας κατά την εξέταση του αν τα τεχνικά και οργανωτικά μέτρα που ελήφθησαν από τον υπεύθυνο επεξεργασίας ήταν κατάλληλα σύμφωνα με το άρθρο 32 του [ΓΚΠΔ];
3) Σε περίπτωση αρνητικής απάντησης στο πρώτο ερώτημα, έχει η αρχή της λογοδοσίας κατά το άρθρο 5, παράγραφος 2, και κατά το άρθρο 24 σε συνδυασμό με την αιτιολογική σκέψη 74 του [ΓΚΔΠ] την έννοια ότι, σε δίκη δυνάμει του άρθρου 82, παράγραφος 1, του [κανονισμού αυτού], ο υπεύθυνος επεξεργασίας φέρει το βάρος της αποδείξεως ότι τα τεχνικά και οργανωτικά μέτρα που ελήφθησαν ήταν κατάλληλα σύμφωνα με το άρθρο 32 του [ίδιου] κανονισμού;
Μπορεί η διενέργεια πραγματογνωμοσύνης να θεωρηθεί αναγκαίο και επαρκές αποδεικτικό μέσο για να διαπιστωθεί εάν τα τεχνικά και οργανωτικά μέτρα που ελήφθησαν από τον υπεύθυνο επεξεργασίας ήταν κατάλληλα σε περίπτωση όπως η παρούσα, εάν η άνευ αδείας πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και η άνευ αδείας κοινολόγηση αυτών είναι αποτέλεσμα “επίθεσης χάκερ”;
4) Έχει το άρθρο 82, παράγραφος 3, του κανονισμού (ΕΕ) 2016/679 την έννοια ότι η άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή άνευ αδείας πρόσβαση σε αυτά κατά την έννοια του άρθρου 4, σημείο 12, του κανονισμού (ΕΕ) 2016/679, όπως στην προκειμένη περίπτωση, μέσω “επίθεσης χάκερ” από άτομα που δεν είναι υπάλληλοι του υπευθύνου επεξεργασίας και δεν υπόκεινται στον έλεγχό του είναι γεγονός για το οποίο ο υπεύθυνος επεξεργασίας δεν φέρει καμία ευθύνη και δικαιούται απαλλαγή από αυτή;
5) Έχει το άρθρο 82, παράγραφος 1 και παράγραφος 2, σε συνδυασμό με τις αιτιολογικές σκέψεις 85 και 146 του [ΓΚΠΔ] την έννοια ότι σε περίπτωση παραβίασης της προστασίας προσωπικών δεδομένων, όπως στην προκειμένη περίπτωση, η οποία εκδηλώνεται ως άνευ αδείας πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και ως άνευ αδείας κοινολόγηση αυτών μέσω “επίθεσης χάκερ”, μόνον οι ανησυχίες, οι υποψίες και οι φόβοι του υποκειμένου των δεδομένων σχετικά με πιθανή μελλοντική κατάχρηση των δεδομένων προσωπικού χαρακτήρα του εμπίπτουν στην ευρέως ερμηνευόμενη έννοια της μη υλικής ζημίας και θεμελιώνουν αξίωση αποζημίωσης, όταν δεν έχει διαπιστωθεί τέτοιου είδους κατάχρηση ή/και δεν έχει προκληθεί περαιτέρω ζημία στο υποκείμενο των δεδομένων;»
Επί των προδικαστικών ερωτημάτων
Επί του πρώτου προδικαστικού ερωτήματος
22 Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο διερωτάται κατ’ ουσίαν αν τα άρθρα 24 και 32 του ΓΚΠΔ έχουν την έννοια ότι μια άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή μια άνευ αδείας πρόσβαση σε τέτοια δεδομένα από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του κανονισμού αυτού, αρκούν αφ’ εαυτών για να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα», κατά την έννοια των άρθρων 24 και 32.
23 Υπενθυμίζεται εκ προοιμίου ότι, κατά πάγια νομολογία, το γράμμα διάταξης του δικαίου της Ένωσης η οποία, όπως τα άρθρα 24 και 32 του ΓΚΠΔ, δεν παραπέμπει ρητώς στο δίκαιο των κρατών μελών για τον προσδιορισμό της εννοίας και του περιεχομένου της πρέπει κατά κανόνα να ερμηνεύεται σε όλη την Ένωση αυτοτελώς και ομοιόμορφα, με βάση, μεταξύ άλλων, το γράμμα της διάταξης, τους σκοπούς που αυτή επιδιώκει και το πλαίσιο στο οποίο εντάσσεται [πρβλ. αποφάσεις της 18ης Ιανουαρίου 1984, Ekro, 327/82, EU:C:1984:11, σκέψη 11· της 1ης Οκτωβρίου 2019, Planet49, C‑673/17, EU:C:2019:801, σκέψεις 47 και 48, και της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψη 29].
24 Κατά πρώτον, όσον αφορά το γράμμα των κρίσιμων διατάξεων, επισημαίνεται ότι το άρθρο 24 του ΓΚΠΔ προβλέπει γενική υποχρέωση του υπευθύνου επεξεργασίας δεδομένων προσωπικού χαρακτήρα να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να βεβαιώνεται ότι η επεξεργασία διενεργείται σύμφωνα με τον κανονισμό και να μπορεί να το αποδείξει.
25 Προς τούτο, το εν λόγω άρθρο 24 απαριθμεί στην παράγραφο 1 ορισμένα κριτήρια που πρέπει να λαμβάνονται υπόψη για την εκτίμηση της καταλληλότητας τέτοιων μέτρων, και συγκεκριμένα τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας, για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Η διάταξη αυτή προσθέτει ότι τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.
26 Στο πλαίσιο αυτό, το άρθρο 32 του ΓΚΠΔ εξειδικεύει τις υποχρεώσεις του υπευθύνου επεξεργασίας και του τυχόν εκτελούντος την επεξεργασία όσον αφορά την ασφάλεια της επεξεργασίας. Ειδικότερα, στην παράγραφο 1 του άρθρου αυτού ορίζεται ότι οι τελευταίοι οφείλουν να εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων που μνημονεύονται στην προηγούμενη σκέψη της παρούσας απόφασης, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής, καθώς και τη φύση, το περιεχόμενο, το πλαίσιο και τους σκοπούς της συγκεκριμένης επεξεργασίας.
27 Ομοίως, στην παράγραφο 2 του εν λόγω άρθρου ορίζεται ότι, κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα.
28 Επιπλέον, τόσο από το άρθρο 24, παράγραφος 3, όσο και από το άρθρο 32, παράγραφος 3, του κανονισμού αυτού προκύπτει ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να αποδείξει ότι έχει τηρήσει τις απαιτήσεις των αντίστοιχων παραγράφων 1 των άρθρων αυτών στηριζόμενος στο γεγονός ότι εφαρμόζει εγκεκριμένο κώδικα δεοντολογίας ή εγκεκριμένο μηχανισμό πιστοποίησης, όπως προβλέπεται στα άρθρα 40 και 42 του κανονισμού.
29 Η αναφορά του άρθρου 32, παράγραφοι 1 και 2, του ΓΚΠΔ σε «κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων» και σε «ενδεδειγμένο επίπεδο ασφάλειας» μαρτυρεί ότι ο κανονισμός θεσπίζει σύστημα διαχείρισης των κινδύνων και ουδόλως αποσκοπεί στην εξάλειψη των κινδύνων παραβίασης των δεδομένων προσωπικού χαρακτήρα.
30 Επομένως, από το γράμμα των άρθρων 24 και 32 του ΓΚΠΔ προκύπτει ότι οι διατάξεις αυτές επιβάλλουν απλώς στον υπεύθυνο επεξεργασίας την υποχρέωση να λαμβάνει τεχνικά και οργανωτικά μέτρα για την αποφυγή, στο μέτρο του δυνατού, οποιασδήποτε προσβολής των δεδομένων προσωπικού χαρακτήρα. Η καταλληλότητα των μέτρων αυτών πρέπει να αξιολογείται κατά τρόπο συγκεκριμένο, με εξέταση του αν ο υπεύθυνος εφάρμοσε τα μέτρα αυτά λαμβάνοντας υπόψη τα διάφορα κριτήρια που προβλέπονται στα εν λόγω άρθρα και τις ανάγκες προστασίας των δεδομένων που είναι ειδικώς εγγενείς στη συγκεκριμένη επεξεργασία, καθώς και τους κινδύνους που ενέχει η επεξεργασία αυτή.
31 Ως εκ τούτου, τα άρθρα 24 και 32 του ΓΚΠΔ δεν μπορούν να ερμηνευθούν υπό την έννοια ότι η άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή η άνευ αδείας πρόσβαση σε τέτοια δεδομένα από τρίτον αρκούν για να συναχθεί το συμπέρασμα ότι τα μέτρα που έλαβε ο υπεύθυνος επεξεργασίας δεν ήταν κατάλληλα, κατά την έννοια των διατάξεων αυτών, χωρίς καν να του παρέχεται η δυνατότητα να προσκομίσει αποδείξεις περί του αντιθέτου.
32 Η ερμηνεία αυτή επιβάλλεται κατά μείζονα λόγο καθόσον το άρθρο 24 του ΓΚΠΔ προβλέπει ρητώς ότι ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδεικνύει ότι τα μέτρα που εφάρμοσε ήταν σύμφωνα με τον κανονισμό, δυνατότητα την οποία θα στερείτο εάν γινόταν δεκτό αμάχητο τεκμήριο.
33 Κατά δεύτερον, η ερμηνεία αυτή των άρθρων 24 και 32 του ΓΚΠΔ ενισχύεται από στοιχεία συστηματικής και τελολογικής φύσεως.
34 Αφενός, όσον αφορά το πλαίσιο στο οποίο εντάσσονται τα δύο αυτά άρθρα, επισημαίνεται ότι από το άρθρο 5, παράγραφος 2, του ΓΚΠΔ προκύπτει ότι ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι τήρησε τις αρχές σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που προβλέπονται στην παράγραφο 1 του εν λόγω άρθρου. Η υποχρέωση αυτή επαναλαμβάνεται και διευκρινίζεται στο άρθρο 24, παράγραφοι 1 και 3, καθώς και στο άρθρο 32, παράγραφος 3, του κανονισμού, όσον αφορά την υποχρέωση εφαρμογής τεχνικών και οργανωτικών μέτρων για την προστασία των δεδομένων αυτών κατά την επεξεργασία από τον εν λόγω υπεύθυνο. Μια τέτοια υποχρέωση απόδειξης της καταλληλότητας των μέτρων αυτών, όμως, δεν θα είχε νόημα αν ο υπεύθυνος της επεξεργασίας ήταν υποχρεωμένος να εμποδίζει κάθε παραβίαση των εν λόγω δεδομένων.
35 Επιπλέον, στην αιτιολογική σκέψη 74 του ΓΚΠΔ τονίζεται ότι είναι σημαντικό ο υπεύθυνος επεξεργασίας να υποχρεούται να εφαρμόζει κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον εν λόγω κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων, τα οποία θα πρέπει να λαμβάνουν υπόψη τα κριτήρια που συνδέονται με τα χαρακτηριστικά της επεξεργασίας και με τον εγγενή σε αυτήν κίνδυνο και που ορίζονται επίσης στα άρθρα 24 και 32.
36 Ομοίως, κατά την αιτιολογική σκέψη 76 του κανονισμού, η πιθανότητα και η σοβαρότητα του κινδύνου εξαρτώνται από τις ιδιαιτερότητες της συγκεκριμένης επεξεργασίας και ο κίνδυνος αυτός θα πρέπει να αξιολογείται βάσει αντικειμενικής εκτίμησης.
37 Εξάλλου, από το άρθρο 82, παράγραφοι 2 και 3, του ΓΚΠΔ προκύπτει ότι, καίτοι ο υπεύθυνος επεξεργασίας φέρει ευθύνη για τη ζημία που προκλήθηκε από επεξεργασία κατά παράβαση του κανονισμού, εντούτοις απαλλάσσεται από την ευθύνη του εάν αποδείξει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.
38 Αφετέρου, η ερμηνεία που συνάγεται στη σκέψη 31 της παρούσας απόφασης επιβεβαιώνεται και από την αιτιολογική σκέψη 83 του ΓΚΠΔ, στην πρώτη περίοδο της οποίας αναφέρεται ότι, «[γ]ια τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογεί τους κινδύνους που ενέχει η επεξεργασία και να εφαρμόζει μέτρα για τον μετριασμό των εν λόγω κινδύνων». Κατ’ αυτόν τον τρόπο, ο νομοθέτης της Ένωσης εξέφρασε την πρόθεσή του να «μετριάσει» τους κινδύνους παραβίασης των δεδομένων προσωπικού χαρακτήρα, χωρίς να ισχυρίζεται ότι θα ήταν δυνατή η εξάλειψή τους.
39 Κατόπιν των ανωτέρω, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι τα άρθρα 24 και 32 του ΓΚΠΔ έχουν την έννοια ότι μια άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή μια άνευ αδείας πρόσβαση σε τέτοια δεδομένα από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του κανονισμού αυτού, δεν αρκούν αφ’ εαυτών για να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα», κατά την έννοια των άρθρων 24 και 32.
Επί του δεύτερου προδικαστικού ερωτήματος
40 Με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινιστεί αν το άρθρο 32 του ΓΚΠΔ έχει την έννοια ότι η καταλληλότητα των τεχνικών και οργανωτικών μέτρων που εφαρμόζει ο υπεύθυνος επεξεργασίας, βάσει του άρθρου αυτού, πρέπει να εκτιμάται από τα εθνικά δικαστήρια κατά τρόπο συγκεκριμένο, λαμβανομένων υπόψη, μεταξύ άλλων, και των κινδύνων που συνδέονται με την εκάστοτε επεξεργασία.
41 Υπενθυμίζεται συναφώς ότι, όπως επισημάνθηκε στο πλαίσιο της απάντησης στο πρώτο ερώτημα, το άρθρο 32 του ΓΚΠΔ επιβάλλει στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία, αναλόγως της περιπτώσεως, να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, βάσει των κριτηρίων αξιολόγησης που προβλέπονται στην παράγραφο 1 του άρθρου αυτού. Επιπλέον, στην παράγραφο 2 του άρθρου αυτού απαριθμούνται ενδεικτικά ορισμένοι από τους παράγοντες που ασκούν επιρροή κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας έναντι των κινδύνων που παρουσιάζει η επεξεργασία.
42 Από το εν λόγω άρθρο 32, παράγραφοι 1 και 2, προκύπτει ότι η καταλληλότητα τέτοιων τεχνικών και οργανωτικών μέτρων πρέπει να εκτιμάται σε δύο στάδια. Αφενός, πρέπει να προσδιορίζονται οι κίνδυνοι παραβίασης των δεδομένων προσωπικού χαρακτήρα που συνεπάγεται η οικεία επεξεργασία και οι ενδεχόμενες συνέπειές τους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Η εκτίμηση αυτή πρέπει να πραγματοποιείται κατά τρόπο συγκεκριμένο, λαμβανομένου υπόψη του βαθμού πιθανότητας των κινδύνων που εντοπίστηκαν και του βαθμού σοβαρότητάς τους. Αφετέρου, πρέπει να εξακριβώνεται αν τα μέτρα που έλαβε ο υπεύθυνος επεξεργασίας είναι προσαρμοσμένα στους κινδύνους αυτούς, λαμβανομένων υπόψη των τελευταίων εξελίξεων, του κόστους εφαρμογής, καθώς και της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας αυτής.
43 Βεβαίως, ο υπεύθυνος επεξεργασίας διαθέτει ορισμένη διακριτική ευχέρεια κατά τον καθορισμό των τεχνικών και οργανωτικών μέτρων που είναι κατάλληλα προκειμένου να διασφαλίσει επίπεδο ασφάλειας κατάλληλο για την αντιμετώπιση του κινδύνου, όπως απαιτεί το άρθρο 32, παράγραφος 1, του ΓΚΠΔ. Εντούτοις, το εθνικό δικαστήριο πρέπει να έχει τη δυνατότητα να αξιολογήσει την πολύπλοκη εκτίμηση στην οποία προέβη ο υπεύθυνος επεξεργασίας και, κατ’ αυτόν τον τρόπο, να βεβαιωθεί ότι τα μέτρα που αυτός έλαβε είναι ικανά να εγγυηθούν ένα τέτοιο επίπεδο ασφάλειας.
44 Εξάλλου, μια τέτοια ερμηνεία μπορεί να διασφαλίσει, αφενός, την αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα η οποία τονίζεται στις αιτιολογικές σκέψεις 11 και 74 του κανονισμού και, αφετέρου, το δικαίωμα αποτελεσματικής δικαστικής προσφυγής κατά του υπευθύνου επεξεργασίας, όπως αυτό προστατεύεται από το άρθρο 79, παράγραφος 1, σε συνδυασμό με την αιτιολογική σκέψη 4 του ίδιου κανονισμού.
45 Ως εκ τούτου, προκειμένου να ελέγξει την καταλληλότητα των τεχνικών και οργανωτικών μέτρων που εφαρμόζονται βάσει του άρθρου 32 του ΓΚΠΔ, το εθνικό δικαστήριο δεν πρέπει να περιορίζεται στη διαπίστωση του τρόπου με τον οποίον ο υπεύθυνος επεξεργασίας είχε την πρόθεση να εκπληρώσει τις υποχρεώσεις που υπέχει από το άρθρο αυτό, αλλά να προβαίνει σε επί της ουσίας εξέταση των μέτρων αυτών, υπό το πρίσμα όλων των κριτηρίων που μνημονεύονται στο εν λόγω άρθρο, καθώς και των ιδιαίτερων περιστάσεων της συγκεκριμένης υπόθεσης και των σχετικών αποδεικτικών στοιχείων που έχει στη διάθεσή του.
46 Η εξέταση αυτή απαιτεί συγκεκριμένη ανάλυση τόσο της φύσης όσο και του περιεχομένου των μέτρων που εφάρμοσε ο υπεύθυνος επεξεργασίας, του τρόπου με τον οποίον εφαρμόστηκαν τα μέτρα αυτά και των πρακτικών συνεπειών τους στο επίπεδο ασφάλειας που ο υπεύθυνος επεξεργασίας όφειλε να εγγυηθεί, λαμβανομένων υπόψη των εγγενών στην επεξεργασία αυτή κινδύνων.
47 Κατά συνέπεια, στο δεύτερο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 32 του ΓΚΠΔ έχει την έννοια ότι τα εθνικά δικαστήρια πρέπει να εκτιμούν κατά τρόπο συγκεκριμένο την καταλληλότητα των τεχνικών και οργανωτικών μέτρων που εφαρμόζει ο υπεύθυνος επεξεργασίας δυνάμει του άρθρου αυτού, λαμβάνοντας υπόψη τους κινδύνους που συνδέονται με τη συγκεκριμένη επεξεργασία και εξετάζοντας αν η φύση, το περιεχόμενο και η εφαρμογή των μέτρων είναι προσαρμοσμένα στους κινδύνους αυτούς.
Επί του τρίτου προδικαστικού ερωτήματος
Επί του πρώτου σκέλους του τρίτου προδικαστικού ερωτήματος
48 Με το πρώτο σκέλος του τρίτου προδικαστικού ερωτήματος, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινιστεί αν η αρχή της ευθύνης του υπευθύνου επεξεργασίας, η οποία κατοχυρώνεται στο άρθρο 5, παράγραφος 2, και εξειδικεύεται στο άρθρο 24 του ΓΚΠΔ, έχει την έννοια ότι, στο πλαίσιο αγωγής αποζημίωσης που ασκείται βάσει του άρθρου 82 του κανονισμού, ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης της καταλληλότητας των μέτρων ασφαλείας που εφάρμοσε δυνάμει του άρθρου 32 του εν λόγω κανονισμού.
49 Υπενθυμίζεται συναφώς, πρώτον, ότι το άρθρο 5, παράγραφος 2, του ΓΚΠΔ καθιερώνει την αρχή της ευθύνης, βάσει της οποίας ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για την τήρηση των αρχών που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και που προβλέπονται στην παράγραφο 1 του άρθρου αυτού, και προβλέπει ότι ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει την τήρηση των αρχών αυτών.
50 Ειδικότερα, ο υπεύθυνος επεξεργασίας οφείλει, σύμφωνα με την αρχή της ακεραιότητας και της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που εξαγγέλλεται στο άρθρο 5, παράγραφος 1, στοιχείο στʹ, του κανονισμού, να μεριμνά ώστε τα δεδομένα αυτά να υποβάλλονται σε επεξεργασία κατά τρόπο που να εγγυάται την ενδεδειγμένη ασφάλειά τους, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων, και να είναι σε θέση να αποδείξει την τήρηση της αρχής αυτής.
51 Επισημαίνεται επίσης ότι τόσο το άρθρο 24, παράγραφος 1, σε συνδυασμό με την αιτιολογική σκέψη 74, όσο και το άρθρο 32, παράγραφος 1, του ΓΚΠΔ επιβάλλουν στον υπεύθυνο επεξεργασίας, σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από τον ίδιο ή για λογαριασμό του, να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει και να είναι σε θέση να αποδείξει ότι η επεξεργασία διενεργείται σύμφωνα με τον εν λόγω κανονισμό.
52 Από το γράμμα του άρθρου 5, παράγραφος 2, του άρθρου 24, παράγραφος 1, και του άρθρου 32, παράγραφος 1, του ΓΚΠΔ προκύπτει σαφώς ότι ο υπεύθυνος επεξεργασίας φέρει το βάρος να αποδείξει ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλειά τους, κατά την έννοια του άρθρου 5, παράγραφος 1, στοιχείο στʹ, και του άρθρου 32 του κανονισμού αυτού [βλ., κατ’ αναλογίαν, αποφάσεις της 4ης Μαΐου 2023, Bundesrepublik Deutschland (Ηλεκτρονική ταχυδρομική θυρίδα δικαστηρίου), C‑60/22, EU:C:2023:373, σκέψεις 52 και 53, και της 4ης Ιουλίου 2023, Meta Platforms κ.λπ. (Γενικοί όροι χρήσης κοινωνικού δικτύου), C‑252/21, EU:C:2023:537, σκέψη 95].
53 Επομένως, τα τρία αυτά άρθρα θεσπίζουν κανόνα γενικής ισχύος, ο οποίος πρέπει, ελλείψει αντίθετης ενδείξεως στον ΓΚΠΔ, να εφαρμόζεται και στο πλαίσιο αγωγής αποζημίωσης στηριζόμενης στο άρθρο 82 του κανονισμού αυτού.
54 Δεύτερον, διαπιστώνεται ότι η ανωτέρω γραμματική ερμηνεία επιρρωννύεται από τη συνεκτίμηση των σκοπών που επιδιώκει ο ΓΚΠΔ.
55 Αφενός, δεδομένου ότι το επίπεδο προστασίας που προβλέπει ο ΓΚΠΔ εξαρτάται από τα μέτρα ασφαλείας που λαμβάνουν οι υπεύθυνοι επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι τελευταίοι πρέπει να ενθαρρύνονται, καθόσον φέρουν το βάρος να αποδείξουν την καταλληλότητα των μέτρων αυτών, να καταβάλλουν κάθε δυνατή προσπάθεια για να αποτρέψουν πράξεις επεξεργασίας που δεν είναι σύμφωνες με τον εν λόγω κανονισμό.
56 Αφετέρου, εάν γινόταν δεκτό ότι τα υποκείμενα των δεδομένων, όπως ορίζονται στο άρθρο 4, σημείο 1, του ΓΚΠΔ, φέρουν το βάρος απόδειξης της καταλληλότητας των εν λόγω μέτρων, το προβλεπόμενο στο άρθρο 82, παράγραφος 1, του ΓΚΠΔ δικαίωμα αποζημίωσης θα έχανε σημαντικό μέρος της πρακτικής αποτελεσματικότητάς του, παρότι ο νομοθέτης της Ένωσης είχε την πρόθεση να ενισχύσει περαιτέρω, σε σχέση με τις προϊσχύσασες του κανονισμού διατάξεις, τόσο τα δικαιώματα των προσώπων αυτών όσο και τις υποχρεώσεις των υπευθύνων επεξεργασίας, όπως επισημαίνεται στην αιτιολογική σκέψη 11.
57 Επομένως, στο πρώτο σκέλος του τρίτου προδικαστικού ερωτήματος πρέπει να δοθεί η απάντηση ότι η αρχή της ευθύνης του υπευθύνου επεξεργασίας, η οποία εξαγγέλλεται στο άρθρο 5, παράγραφος 2, και εξειδικεύεται στο άρθρο 24 του ΓΚΠΔ, έχει την έννοια ότι, στο πλαίσιο αγωγής αποζημίωσης που ασκείται βάσει του άρθρου 82 του κανονισμού, ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης της καταλληλότητας των μέτρων ασφαλείας που εφάρμοσε δυνάμει του άρθρου 32 του εν λόγω κανονισμού.
Επί του δεύτερου σκέλους του τρίτου προδικαστικού ερωτήματος
58 Με το δεύτερο σκέλος του τρίτου προδικαστικού ερωτήματος, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 32 του ΓΚΠΔ και η αρχή της αποτελεσματικότητας του δικαίου της Ένωσης έχουν την έννοια ότι η δικαστική πραγματογνωμοσύνη συνιστά αναγκαίο και επαρκές αποδεικτικό μέσο προκειμένου να εκτιμηθεί η καταλληλότητα των μέτρων ασφαλείας που εφάρμοσε ο υπεύθυνος επεξεργασίας δυνάμει του άρθρου αυτού.
59 Υπενθυμίζεται συναφώς ότι, κατά πάγια νομολογία, ελλείψει σχετικών κανόνων της Ένωσης, εναπόκειται στην εσωτερική έννομη τάξη εκάστου κράτους μέλους να θεσπίσει τους δικονομικούς κανόνες των ενδίκων βοηθημάτων που αποσκοπούν στη διασφάλιση των δικαιωμάτων των υποκειμένων δικαίου, δυνάμει της αρχής της δικονομικής αυτονομίας, υπό τον όρο, ωστόσο, ότι οι κανόνες αυτοί δεν είναι, στις καταστάσεις που διέπονται από το δίκαιο της Ένωσης, λιγότερο ευνοϊκοί από τους διέποντες παρόμοιες καταστάσεις που υπόκεινται στο εσωτερικό δίκαιο (αρχή της ισοδυναμίας) και δεν καθιστούν πρακτικώς αδύνατη ή υπερβολικά δυσχερή την άσκηση των δικαιωμάτων που απονέμει το δίκαιο της Ένωσης (αρχή της αποτελεσματικότητας) [απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψη 53 και εκεί μνημονευόμενη νομολογία].
60 Εν προκειμένω, επισημαίνεται ότι ο ΓΚΠΔ δεν θεσπίζει κανόνες για το παραδεκτό και την αποδεικτική αξία αποδεικτικού μέσου, όπως η δικαστική πραγματογνωμοσύνη, οι οποίοι πρέπει να εφαρμόζονται από τους εθνικούς δικαστές που επιλαμβάνονται αγωγής αποζημίωσης στηριζόμενης στο άρθρο 82 του κανονισμού αυτού και είναι επιφορτισμένοι με την εκτίμηση, υπό το πρίσμα του άρθρου 32 του κανονισμού, της καταλληλότητας των μέτρων ασφαλείας που εφάρμοσε ο υπεύθυνος επεξεργασίας. Ως εκ τούτου, σύμφωνα με όσα υπενθυμίζονται στην προηγούμενη σκέψη της παρούσας απόφασης και ελλείψει σχετικών κανόνων του δικαίου της Ένωσης, εναπόκειται στην εσωτερική έννομη τάξη κάθε κράτους μέλους να καθορίσει τους λεπτομερείς κανόνες άσκησης των ένδικων βοηθημάτων που αποσκοπούν στη διασφάλιση των δικαιωμάτων τα οποία αντλούν οι πολίτες από το εν λόγω άρθρο 82 και, ειδικότερα, τους κανόνες που αφορούν τα αποδεικτικά μέσα βάσει των οποίων μπορεί να εκτιμηθεί η καταλληλότητα τέτοιων μέτρων στο πλαίσιο αυτό, υπό την επιφύλαξη της τήρησης των εν λόγω αρχών της ισοδυναμίας και της αποτελεσματικότητας [βλ., κατ’ αναλογίαν, αποφάσεις της 21ης Ιουνίου 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, σκέψη 297), και της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψη 54].
61 Στην παρούσα διαδικασία, το Δικαστήριο δεν έχει στη διάθεσή του κανένα στοιχείο που θα μπορούσε να δημιουργήσει αμφιβολίες ως προς την τήρηση της αρχής της ισοδυναμίας. Δεν ισχύει το ίδιο όσον αφορά τη συμμόρφωση προς την αρχή της αποτελεσματικότητας, στο μέτρο που το ίδιο το γράμμα του δεύτερου σκέλους του τρίτου ερωτήματος παρουσιάζει τη διενέργεια δικαστικής πραγματογνωμοσύνης ως «αναγκαίο και επαρκές αποδεικτικό μέσο».
62 Ειδικότερα, εθνικός δικονομικός κανόνας δυνάμει του οποίου είναι συστηματικά «αναγκαίο» τα εθνικά δικαστήρια να διατάσσουν δικαστική πραγματογνωμοσύνη ενδέχεται να αντιβαίνει στην αρχή της αποτελεσματικότητας. Πράγματι, η συστηματική διενέργεια τέτοιας πραγματογνωμοσύνης μπορεί να αποδειχθεί περιττή λαμβανομένων υπόψη των λοιπών αποδεικτικών στοιχείων που διαθέτει το επιληφθέν δικαστήριο, μεταξύ άλλων, όπως επισήμανε η Βουλγαρική Κυβέρνηση με τις γραπτές παρατηρήσεις της, λαμβανομένων υπόψη των αποτελεσμάτων που προέκυψαν από τον έλεγχο της τήρησης των μέτρων προστασίας των δεδομένων προσωπικού χαρακτήρα που διενήργησε ανεξάρτητη αρχή η οποία έχει συσταθεί νομίμως, εφόσον ο έλεγχος αυτός είναι πρόσφατος, δεδομένου ότι τα εν λόγω μέτρα πρέπει, σύμφωνα με το άρθρο 24, παράγραφος 1, του ΓΚΠΔ, να επανεξετάζονται και να επικαιροποιούνται όταν κρίνεται απαραίτητο.
63 Επιπλέον, όπως επισήμανε η Ευρωπαϊκή Επιτροπή με τις γραπτές παρατηρήσεις της, η αρχή της αποτελεσματικότητας θα παραβιαζόταν στην περίπτωση που ο όρος «επαρκής» έχει την έννοια ότι το εθνικό δικαστήριο πρέπει να συμπεράνει αποκλειστικώς ή αυτομάτως από μια έκθεση δικαστικής πραγματογνωμοσύνης ότι τα μέτρα ασφαλείας που εφαρμόζει ο υπεύθυνος επεξεργασίας είναι «κατάλληλα», κατά την έννοια του άρθρου 32 του ΓΚΠΔ. Η προστασία, όμως, των δικαιωμάτων που παρέχει ο κανονισμός αυτός, στην οποία αποσκοπεί η εν λόγω αρχή της αποτελεσματικότητας, και ειδικότερα του δικαιώματος αποτελεσματικής δικαστικής προσφυγής κατά του υπευθύνου επεξεργασίας, το οποίο κατοχυρώνεται στο άρθρο 79, παράγραφος 1, του κανονισμού αυτού, απαιτούν από το αμερόληπτο δικαστήριο να προβαίνει σε αντικειμενική εκτίμηση της καταλληλότητας των σχετικών μέτρων και όχι να περιορίζεται σε ένα τέτοιο συμπέρασμα (πρβλ. απόφαση της 12ης Ιανουαρίου 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, σκέψη 50).
64 Λαμβανομένων υπόψη των προεκτεθέντων, στο δεύτερο σκέλος του τρίτου προδικαστικού ερωτήματος πρέπει να δοθεί η απάντηση ότι το άρθρο 32 του ΓΚΠΔ και η αρχή της αποτελεσματικότητας του δικαίου της Ένωσης έχουν την έννοια ότι η δικαστική πραγματογνωμοσύνη δεν μπορεί να συνιστά συστηματικώς αναγκαίο και επαρκές αποδεικτικό μέσο προκειμένου να εκτιμηθεί η καταλληλότητα των μέτρων ασφαλείας που εφάρμοσε ο υπεύθυνος επεξεργασίας βάσει του άρθρου αυτού.
Επί του τέταρτου προδικαστικού ερωτήματος
65 Με το τέταρτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 82, παράγραφος 3, του ΓΚΠΔ έχει την έννοια ότι ο υπεύθυνος επεξεργασίας απαλλάσσεται από την υποχρέωσή του να αποκαταστήσει, βάσει του άρθρου 82, παράγραφοι 1 και 2, του κανονισμού αυτού, τη ζημία που υπέστη ένα πρόσωπο, για τον λόγο και μόνον ότι η ζημία προκλήθηκε από άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή από άνευ αδείας πρόσβαση σε τέτοια δεδομένα από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του εν λόγω κανονισμού.
66 Προκαταρκτικώς, διευκρινίζεται ότι από το άρθρο 4, σημείο 10, του ΓΚΠΔ προκύπτει ότι έχουν την ιδιότητα του «τρίτου», μεταξύ άλλων, πρόσωπα άλλα από εκείνα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα. Ο ορισμός αυτός καλύπτει πρόσωπα που δεν είναι υπάλληλοι του υπευθύνου επεξεργασίας και δεν τελούν υπό τον έλεγχό του, όπως τα πρόσωπα στα οποία αναφέρεται το υποβληθέν ερώτημα.
67 Εν συνεχεία, υπενθυμίζεται, πρώτον, ότι το άρθρο 82, παράγραφος 2, του ΓΚΠΔ ορίζει ότι «κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον [εν λόγω] κανονισμό» και ότι η παράγραφος 3 του άρθρου αυτού προβλέπει ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία, ανάλογα με την περίπτωση, απαλλάσσεται από την ευθύνη αυτή «εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας».
68 Επιπλέον, στην αιτιολογική σκέψη 146 του ΓΚΠΔ, η οποία αναφέρεται ειδικώς στο άρθρο 82 του ΓΚΠΔ, ορίζεται, στην πρώτη και δεύτερη περίοδο, ότι «[κ]άθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα επεξεργασίας κατά παράβαση του [εν λόγω] κανονισμού θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία» και ότι «[ο] υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να απαλλάσσονται από την υποχρέωση αποζημίωσης εάν αποδείξουν ότι δεν φέρουν καμία ευθύνη για τη ζημία».
69 Από τις διατάξεις αυτές προκύπτει, αφενός, ότι ο υπεύθυνος επεξεργασίας οφείλει κατ’ αρχήν να αποκαταστήσει ζημία που προκλήθηκε από παράβαση του κανονισμού αυτού συνδεόμενη με την εν λόγω επεξεργασία και, αφετέρου, ότι δεν μπορεί να απαλλαγεί από την ευθύνη του παρά μόνον εάν αποδείξει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.
70 Επομένως, όπως προκύπτει από τη ρητή προσθήκη του επιθέτου «καμία» κατά τη διάρκεια της νομοθετικής διαδικασίας, οι περιστάσεις υπό τις οποίες ο υπεύθυνος επεξεργασίας μπορεί να αξιώσει την απαλλαγή του από την αστική ευθύνη που υπέχει δυνάμει του άρθρου 82 του ΓΚΠΔ πρέπει να περιορίζονται αυστηρά στις περιπτώσεις κατά τις οποίες ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι ο ίδιος δεν φέρει καμία ευθύνη για τη ζημία.
71 Όταν, όπως εν προκειμένω, μια παραβίαση δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 12, του ΓΚΠΔ, έχει διαπραχθεί από δράστες κυβερνοεγκλήματος και, επομένως, από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του κανονισμού αυτού, η παράβαση αυτή δεν μπορεί να καταλογιστεί στον υπεύθυνο επεξεργασίας, εκτός αν αυτός κατέστησε δυνατή την εν λόγω παραβίαση παραβαίνοντας υποχρέωση προβλεπόμενη από τον ΓΚΠΔ, και ιδίως την υποχρέωση προστασίας των δεδομένων την οποία υπέχει από το άρθρο 5, παράγραφος 1, στοιχείο στʹ, καθώς και από τα άρθρα 24 και 32 του ίδιου κανονισμού.
72 Επομένως, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα από τρίτον, ο υπεύθυνος επεξεργασίας μπορεί να απαλλαγεί από την ευθύνη του, βάσει του άρθρου 82, παράγραφος 3, του ΓΚΠΔ, αποδεικνύοντας ότι η τυχόν παράβαση της υποχρέωσης προστασίας των δεδομένων δεν συνδέεται αιτιωδώς με τη ζημία που υπέστη το φυσικό πρόσωπο.
73 Δεύτερον, η ανωτέρω ερμηνεία του εν λόγω άρθρου 82, παράγραφος 3, συνάδει επίσης με τον σκοπό του ΓΚΠΔ, ο οποίος συνίσταται στη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και ο οποίος εξαγγέλλεται στις αιτιολογικές σκέψεις 10 και 11 του κανονισμού αυτού.
74 Λαμβανομένου υπόψη του συνόλου των ανωτέρω σκέψεων, στο τέταρτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 3, του ΓΚΠΔ έχει την έννοια ότι ο υπεύθυνος επεξεργασίας δεν μπορεί να απαλλαγεί από την υποχρέωσή του να αποκαταστήσει, βάσει του άρθρου 82, παράγραφοι 1 και 2, του κανονισμού αυτού, τη ζημία που υπέστη ένα πρόσωπο, για τον λόγο και μόνον ότι η ζημία αυτή προκλήθηκε από άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή από άνευ αδείας πρόσβαση σε τέτοια δεδομένα από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του εν λόγω κανονισμού, καθώς και ότι, στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας οφείλει να αποδείξει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.
Επί του πέμπτου προδικαστικού ερωτήματος
75 Με το πέμπτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινιστεί αν το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι ο φόβος υποκειμένου δεδομένων προσωπικού χαρακτήρα για ενδεχόμενη κατάχρηση των δεδομένων του από τρίτους, ο οποίος προκλήθηκε στο πρόσωπο αυτό κατόπιν παράβασης του κανονισμού, μπορεί αφ’ εαυτού να συνιστά «μη υλική ζημία», κατά την έννοια της διάταξης αυτής.
76 Κατά πρώτον, υπενθυμίζεται ότι το γράμμα του άρθρου 82, παράγραφος 1, του ΓΚΠΔ ορίζει ότι «[κ]άθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη».
77 Το Δικαστήριο έχει επισημάνει συναφώς ότι από το γράμμα του άρθρου 82, παράγραφος 1, του ΓΚΠΔ προκύπτει σαφώς ότι η ύπαρξη «ζημίας» την οποία «υπέστη» ένα πρόσωπο συνιστά μία από τις προϋποθέσεις του προβλεπόμενου στην εν λόγω διάταξη δικαιώματος αποζημίωσης, όπως ακριβώς και η ύπαρξη παράβασης του κανονισμού αυτού και αιτιώδους συνάφειας μεταξύ της ζημίας και της παράβασης, δεδομένου ότι οι τρεις αυτές προϋποθέσεις είναι σωρευτικές [απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψη 32].
78 Εξάλλου, στηριζόμενο σε εκτιμήσεις γραμματικής, συστημικής αλλά και τελολογικής φύσεως, το Δικαστήριο έχει ερμηνεύσει το άρθρο 82, παράγραφος 1, του ΓΚΠΔ υπό την έννοια ότι αντιτίθεται σε εθνικό κανόνα ή πρακτική που εξαρτά την αποκατάσταση της «μη υλικής ζημίας», κατά την έννοια της ως άνω διατάξεως, από την προϋπόθεση ότι η ζημία που υπέστη το υποκείμενο των δεδομένων βαίνει πέραν ενός ορισμένου ορίου ως προς τη βαρύτητά της [απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική βλάβη λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψη 51].
79 Τούτου λεχθέντος, επισημαίνεται εν προκειμένω ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ δεν διακρίνει μεταξύ των περιπτώσεων στις οποίες, κατόπιν αποδεδειγμένης παράβασης των διατάξεων του κανονισμού αυτού, η «μη υλική ζημία» που προβάλλει το υποκείμενο των δεδομένων συνδέεται με κατάχρηση από τρίτους των προσωπικού χαρακτήρα δεδομένων του η οποία έχει επέλθει ήδη κατά την ημερομηνία άσκησης της αγωγής αποζημίωσης, και των περιπτώσεων στις οποίες η «μη υλική ζημία» συνδέεται με τον φόβο του υποκειμένου των δεδομένων ότι τέτοια κατάχρηση μπορεί να επέλθει στο μέλλον.
80 Επομένως, το γράμμα του άρθρου 82, παράγραφος 1, του ΓΚΠΔ δεν αποκλείει το ενδεχόμενο η έννοια της «μη υλικής ζημίας» που περιλαμβάνεται στη διάταξη αυτή να περιλαμβάνει μια κατάσταση, όπως αυτή στην οποία αναφέρεται το αιτούν δικαστήριο, κατά την οποία το υποκείμενο των δεδομένων επικαλείται, προκειμένου να λάβει αποζημίωση βάσει της διάταξης αυτής, τον φόβο του ότι τα προσωπικού χαρακτήρα δεδομένα του θα αποτελέσουν το αντικείμενο μελλοντικής κατάχρησης από τρίτους, λόγω παράβασης του εν λόγω κανονισμού που έχει ήδη διαπραχθεί.
81 Δεύτερον, η ως άνω γραμματική ερμηνεία επιρρωννύεται από την αιτιολογική σκέψη 146 του ΓΚΠΔ, η οποία αφορά ειδικά το δικαίωμα αποζημίωσης που προβλέπεται στο άρθρο 82, παράγραφος 1, του ΓΚΠΔ και στην τρίτη περίοδο της οποίας αναφέρεται ότι «η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι» του κανονισμού αυτού. Μια ερμηνεία όμως της έννοιας της «μη υλικής ζημίας», κατά το εν λόγω άρθρο 82, παράγραφος 1, η οποία δεν θα περιλάμβανε τις περιπτώσεις στις οποίες το πρόσωπο το οποίο αφορά η παράβαση του εν λόγω κανονισμού προβάλλει τον φόβο ότι θα χρησιμοποιηθούν καταχρηστικώς τα δικά του δεδομένα προσωπικού χαρακτήρα στο μέλλον, δεν θα ανταποκρινόταν σε μια ευρεία ερμηνεία της έννοιας αυτής, όπως την εννοεί ο νομοθέτης της Ένωσης [βλ., κατ’ αναλογίαν, απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψεις 37 και 46].
82 Εξάλλου, στην αιτιολογική σκέψη 85, πρώτη περίοδος, του ΓΚΠΔ αναφέρεται ότι «η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια […] ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα». Από τον ενδεικτικό αυτόν κατάλογο «ζημιών» ή «βλαβών» που μπορεί να υποστούν τα υποκείμενα των δεδομένων προκύπτει ότι ο νομοθέτης της Ένωσης θέλησε να περιλάβει στις έννοιες αυτές, μεταξύ άλλων, την απλή «απώλεια ελέγχου» επί των δικών τους δεδομένων, ακόμη και αν τα δεδομένα αυτά δεν χρησιμοποιηθούν καταχρηστικά συγκεκριμένα εις βάρος των εν λόγω υποκειμένων.
83 Τρίτον και τελευταίον, η ερμηνεία που παρατίθεται στη σκέψη 80 της παρούσας απόφασης επιρρωννύεται από τους σκοπούς του ΓΚΠΔ, οι οποίοι πρέπει να λαμβάνονται πλήρως υπόψη για τον ορισμό της έννοιας της «ζημίας», όπως αναφέρεται στην αιτιολογική σκέψη 146, τρίτη περίοδος, του κανονισμού αυτού. Ερμηνεία, όμως, του άρθρου 82, παράγραφος 1, του ΓΚΠΔ υπό την έννοια ότι η έννοια της «μη υλικής ζημίας», κατά τη διάταξη αυτή, δεν περιλαμβάνει τις περιπτώσεις στις οποίες το υποκείμενο των δεδομένων επικαλείται μόνον τον φόβο του ότι τα δεδομένα του θα χρησιμοποιηθούν καταχρηστικά από τρίτους στο μέλλον δεν θα ήταν σύμφωνη με τη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, την οποία επιδιώκει ο κανονισμός αυτός.
84 Εντούτοις, επισημαίνεται ότι το υποκείμενο
δεδομένων εις βάρος του οποίου διαπράττεται παράβαση του ΓΚΠΔ η οποία είχε αρνητικές για το ίδιο συνέπειες υποχρεούται να αποδείξει ότι οι συνέπειες αυτές συνιστούν μη υλική ζημία, κατά την έννοια του άρθρου 82 του κανονισμού [βλ., κατ’ αναλογίαν, απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψη 50].
85 Ειδικότερα, όταν ένα πρόσωπο που ζητεί αποζημίωση επ’ αυτής της βάσεως προβάλλει τον φόβο ότι τα προσωπικού χαρακτήρα δεδομένα του θα χρησιμοποιηθούν καταχρηστικά στο μέλλον εξαιτίας της παραβίασης αυτής, το επιληφθέν εθνικό δικαστήριο οφείλει να εξακριβώνει αν ο φόβος αυτός μπορεί να θεωρηθεί βάσιμος, υπό τις συγκεκριμένες περιστάσεις και σε σχέση με το συγκεκριμένο πρόσωπο.
86 Κατόπιν των ανωτέρω, στο πέμπτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι ο φόβος υποκειμένου δεδομένων προσωπικού χαρακτήρα για ενδεχόμενη κατάχρηση των δεδομένων αυτών από τρίτους, ο οποίος προκλήθηκε στο πρόσωπο αυτό κατόπιν παράβασης του κανονισμού, μπορεί αφ’ εαυτού να αποτελέσει «μη υλική ζημία» κατά την έννοια της διάταξης αυτής.
Επί των δικαστικών εξόδων
87 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (τρίτο τμήμα) αποφαίνεται:
1) Τα άρθρα 24 και 32 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),
έχουν την έννοια ότι:
μια άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή μια άνευ αδείας πρόσβαση σε τέτοια δεδομένα από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του κανονισμού αυτού, δεν αρκούν αφ’ εαυτών για να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα», κατά την έννοια των άρθρων 24 και 32.
2) Το άρθρο 32 του κανονισμού 2016/679
έχει την έννοια ότι:
τα εθνικά δικαστήρια πρέπει να εκτιμούν κατά τρόπο συγκεκριμένο την καταλληλότητα των τεχνικών και οργανωτικών μέτρων που εφαρμόζει ο υπεύθυνος επεξεργασίας δυνάμει του άρθρου αυτού, λαμβάνοντας υπόψη τους κινδύνους που συνδέονται με τη συγκεκριμένη επεξεργασία και εξετάζοντας αν η φύση, το περιεχόμενο και η εφαρμογή των μέτρων είναι προσαρμοσμένα στους κινδύνους αυτούς.
3) Η αρχή της ευθύνης του υπευθύνου επεξεργασίας, όπως εξαγγέλλεται στο άρθρο 5, παράγραφος 2, και εξειδικεύεται στο άρθρο 24 του κανονισμού 2016/679,
έχει την έννοια ότι:
στο πλαίσιο αγωγής αποζημίωσης που ασκείται βάσει του άρθρου 82 του κανονισμού, ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης της καταλληλότητας των μέτρων ασφαλείας που εφάρμοσε δυνάμει του άρθρου 32 του εν λόγω κανονισμού.
4) Το άρθρο 32 του κανονισμού 2016/679 και η αρχή της αποτελεσματικότητας του δικαίου της Ένωσης
έχουν την έννοια ότι:
η δικαστική πραγματογνωμοσύνη δεν μπορεί να συνιστά συστηματικώς αναγκαίο και επαρκές αποδεικτικό μέσο προκειμένου να εκτιμηθεί η καταλληλότητα των μέτρων ασφαλείας που εφάρμοσε ο υπεύθυνος επεξεργασίας βάσει του άρθρου αυτού.
5) Το άρθρο 82, παράγραφος 3, του κανονισμού 2016/679
έχει την έννοια ότι:
ο υπεύθυνος επεξεργασίας δεν μπορεί να απαλλαγεί από την υποχρέωσή του να αποκαταστήσει, βάσει του άρθρου 82, παράγραφοι 1 και 2, του κανονισμού αυτού, τη ζημία που υπέστη ένα πρόσωπο, για τον λόγο και μόνον ότι η ζημία αυτή προκλήθηκε από άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή από άνευ αδείας πρόσβαση σε τέτοια δεδομένα από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του εν λόγω κανονισμού, καθώς και ότι, στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας οφείλει να αποδείξει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.
6) Το άρθρο 82, παράγραφος 1, του κανονισμού 2016/679
έχει την έννοια ότι:
ο φόβος υποκειμένου δεδομένων προσωπικού χαρακτήρα για ενδεχόμενη κατάχρηση των δεδομένων αυτών από τρίτους, ο οποίος προκλήθηκε στο πρόσωπο αυτό κατόπιν παράβασης του κανονισμού, μπορεί αφ’ εαυτού να αποτελέσει «μη υλική ζημία» κατά την έννοια της διάταξης αυτής.
(υπογραφές)