Bulharské médiá 15. júla 2019 šírili informácie o tom, že došlo k neoprávnenému prístupu do informačného systému bulharskej Národnej agentúry pre verejné príjmy (NAP), a že na internete boli uverejnené rôzne informácie z daňovej oblasti a oblasti sociálneho zabezpečenia týkajúce sa miliónov ľudí. Mnohé osoby, medzi ktorými je aj V.B., zažalovali NAP o náhradu nemajetkovej ujmy, ktorá sa prejavila obavami a strachom z budúceho zneužitia ich osobných údajov. NAP ako prevádzkovateľ podľa V.B. porušila vnútroštátne predpisy, ako aj povinnosť prijať primerané opatrenia na zabezpečenie vhodných bezpečnostných noriem pri spracovávaní osobných údajov. Prvostupňový súd zamietol žalobu, keďže usúdil, že šírenie údajov nemožno pripísať NAP, že dôkazné bremeno týkajúce sa primeranosti opatrení znáša V.B., a že nemožno nahradiť žiadnu nemajetkovú ujmu. Najvyšší správny súd, na ktorý bolo podané odvolanie, položil Súdnemu dvoru niekoľko prejudiciálnych otázok týkajúcich sa výkladu všeobecného nariadenia o ochrane údajov1 na účely vymedzenia podmienok náhrady nemajetkovej ujmy spôsobenej osobe, ktorej osobné údaje v dispozícii verejnej agentúry boli uverejnené na internete v dôsledku hackerského útoku.

Generálny advokát Giovanni Pitruzzella vo svojich dnešných návrhoch uvádza, že prevádzkovateľ je povinný vykonať primerané technické a organizačné opatrenia na zabezpečenie toho, aby sa spracovávanie osobných údajov dialo v súlade s nariadením. Primeranosť týchto opatrení sa má určiť s prihliadnutím na povahu, pôsobnosť, kontext a účely spracovávania a na pravdepodobnosť a závažnosť rizík vo vzťahu k právam a slobodám fyzických osôb, a to na základe individuálneho posúdenia.

V prvom rade generálny advokát usudzuje, že overenie toho, že došlo k „porušeniu ochrany osobných údajov“, samo osebe nestačí na vyvodenie záveru, že technické a organizačné opatrenia prijaté prevádzkovateľom nie sú „primerané“ na zabezpečenie ochrany údajov. Prevádzkovateľ musí pri výbere opatrení zohľadniť niekoľko faktorov, medzi ktoré patria „najnovšie poznatky“, ktoré umožňujú obmedziť technologickú úroveň opatrení na to, čo je rozumne možné v čase prijatia, a to aj pokiaľ ide o náklady na vykonanie. Voľba prevádzkovateľa podlieha prípadnému súdnemu preskúmaniu súladu. Posúdenie primeranosti týchto opatrení sa má zakladať na rovnováhe

medzi záujmami dotknutej osoby a ekonomickými záujmami a technologickou kapacitou prevádzkovateľa, a to pri dodržaní všeobecnej zásady proporcionality.

V druhom rade generálny advokát spresňuje, že vnútroštátny súd má pri overovaní primeranosti opatrení vykonať preskúmanie, ktoré sa vzťahuje na konkrétnu analýzu tak obsahu týchto opatrení, ako aj spôsobu, akým boli uplatnené, a ich praktických účinkov. Súdne preskúmanie má preto zohľadňovať všetky faktory obsiahnuté v nariadení. Medzi tieto faktory patrí aj prijatie kódexov správania alebo certifikačných mechanizmov, ktoré môžu predstavovať užitočný prvok posúdenia na účely splnenia dôkazného bremena, pričom prevádzkovateľ má povinnosť preukázať, že konkrétne prijal opatrenia stanovené kódexom správania, zatiaľ čo certifikácia predstavuje sama osebe dôkaz súladu vykonaného spracovávania s nariadením. Keďže opatrenia treba prehodnocovať a v prípade potreby aktualizovať, súd musí posúdiť aj túto okolnosť.

V treťom rade generálny advokát spresňuje, že dôkazné bremeno týkajúce sa primeranosti opatrení znáša prevádzkovateľ. Podľa zásady procesnej autonómie je vecou vnútroštátneho právneho poriadku každého členského štátu, aby určil prípustné metódy dokazovania a ich dôkaznú silu vrátane dôkazných prostriedkov.

Vo štvrtom rade skutočnosť, že porušenia nariadenia sa dopustila tretia osoba, nie je sama osebe dôvodom na zbavenie zodpovednosti prevádzkovateľa. Prevádzkovateľ musí na to, aby bol zbavený zodpovednosti, preukázať s vysokou mierou dokazovania, že mu nemožno v žiadnom prípade pripísať skutočnosť, ktorá zakladá nárok na náhradu škody. Protiprávne spracovanie osobných údajov má totiž povahu závažnejšej zodpovednosti za predpokladané zavinenie. Z toho pre prevádzkovateľa vyplýva možnosť predložiť oslobodzujúci dôkaz.

Napokon podľa generálneho advokáta ujma spočívajúca v obave z prípadného budúceho zneužitia osobných údajov dotknutej osoby, ktorej existenciu táto osoba preukázala, môže predstavovať nemajetkovú ujmu zakladajúcu právo na náhradu. To platí pod podmienkou, že ide o skutočnú a určitú emocionálnu ujmu, a nie iba o samotné nepohodlie či obmedzenie.
 

[1] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (Ú. v. EÚ L 119, 2016, s. 1).

Zdroj: Riaditeľstvo pre komunikáciu
Sekcia pre tlač a informácie curia.europa.eu
TLAČOVÉ KOMUNIKÉ č. 67/23
V Luxemburgu 27. apríla 2023
Návrhy generálneho advokáta vo veci C-340/21 | Nacionalna agencija za prichodite