Το Δικαστήριο της Ευρωπαϊκής Ένωσης με απόφαση που εξέδωσε χθες στην υπόθεση C-340/21 | Natsionalna agentsia za prihodite διευκρίνισε τις προϋποθέσεις υπό τις οποίες μπορεί να επιδικαστεί χρηματική ικανοποίηση για ηθική βλάβη σε ιδιώτες λόγω κατάχρησης των προσωπικών δεδομένων.
Ιστορικό
Η Εθνική Υπηρεσία Εσόδων της Βουλγαρίας υπάγεται στον Υπουργό Οικονομικών της Βουλγαρίας. Ειδικότερα και είναι αρμόδια για τον εντοπισμό, την εξασφάλιση και την είσπραξη δημόσιων οφειλών. Στο πλαίσιο αυτό, είναι υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Στις 15 Ιουλίου 2019, τα μέσα ενημέρωσης ανέφεραν εισβολή στο σύστημα της Εθνικής Υπηρεσίας Εσόδων, αποκαλύπτοντας ότι, μετά την εν λόγω κυβερνοεπίθεση, είχαν δημοσιευθεί στο διαδίκτυο δεδομένα προσωπικού χαρακτήρα που αφορούσαν εκατομμύρια άτομα. Πολλοί ιδιώτες άσκησαν αγωγές κατά του της Υπηρεσίας ζητώντας αποζημίωση για ηθική βλάβη που προκλήθηκε από τον φόβο κατάχρησης των δεδομένων τους.
Το Ανώτατο Διοικητικό Δικαστήριο της Βουλγαρίας υπέβαλε διάφορα προδικαστικά ερωτήματα στο Δικαστήριο σχετικά με την ερμηνεία του γενικού κανονισμού για την προστασία των προσωπικών δεδομένων. Πιο συγκεκριμένα, ζήτησε να διευκρινιστούν οι προϋποθέσεις επιδίκασης χρηματικής ικανοποίησης για ηθική βλάβη την οποία επικαλείται υποκείμενο των δεδομένων του οποίου τα δεδομένα προσωπικού χαρακτήρα, τα οποία βρίσκονται στην κατοχή δημόσιου οργανισμού, δημοσιεύθηκαν στο διαδίκτυο κατόπιν επίθεσης από εγκληματίες του κυβερνοχώρου.
Απόφαση ΔΕΕ
Με την απόφασή του, το Δικαστήριο απαντά στα προδικαστικά ερωτήματα ως εξής:
- Σε περίπτωση μη επιτρεπόμενης γνωστοποίησης δεδομένων προσωπικού χαρακτήρα ή μη εξουσιοδοτημένης πρόσβασης στα δεδομένα αυτά, τα δικαστήρια δεν μπορούν να συναγάγουν από το γεγονός αυτό και μόνον ότι τα μέτρα προστασίας που έλαβε ο υπεύθυνος της επεξεργασίας δεν ήταν κατάλληλα. Τα δικαστήρια πρέπει να αξιολογούν την καταλληλότητα των μέτρων αυτών με συγκεκριμένο τρόπο.
- Εναπόκειται στον υπεύθυνο επεξεργασίας να αποδείξει ότι τα μέτρα προστασίας που εφαρμόστηκαν ήταν κατάλληλα.
- Σε περίπτωση που η άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή η μη εξουσιοδοτημένη πρόσβαση στα δεδομένα αυτά έχει διαπραχθεί από «τρίτο» (όπως εγκληματίες του κυβερνοχώρου), ο υπεύθυνος επεξεργασίας μπορεί να υποχρεωθεί να αποζημιώσει τα υποκείμενα των δεδομένων που υπέστησαν ζημία, εκτός εάν μπορεί να αποδείξει ότι δεν ευθύνεται με κανέναν τρόπο για τη ζημία αυτή.
- Ο φόβος που βιώνει το υποκείμενο των δεδομένων όσον αφορά ενδεχόμενη κατάχρηση των δεδομένων προσωπικού χαρακτήρα που το αφορούν από τρίτους ως αποτέλεσμα παράβασης του ΓΚΠΔ μπορεί, αυτός καθεαυτόν, να θεμελιώσει «ηθική βλάβη».
Δείτε τη σχετική Έκδοση: Προσωπικά Δεδομένα
Δείτε το σχετικό Σεμινάριο: Προστασία Δεδομένων Προσωπικού Χαρακτήρα – Με βάση τον Καν (ΕΕ) 2016/679 (GDPR) & τον νέο Ν 4624/2019 – Πρακτική Εφαρμογή & Ουσιαστική Συμμόρφωση
Δείτε τη σχετική Αρθρογραφία στη Qualex: Συνέντευξη Γ. Γιαννακάκη, Δ. Γεωργόπουλου, Ν. Γεωργόπουλου, Ν. Λουκά, Κ. Παπαδάτου – «GDPR: Μετά από 5 χρόνια εφαρμογής – Ένα νομοθέτημα διαρκούς αναφοράς στο ψηφιακό τοπίο της ΕΕ»