Rzecznik Generalny TSUE: atak hakerski niezwalania z odszkodowania
Pod koniec kwietnia nr. Rzecznik Generalny Trybunału Sprawiedliwości Giovannie Pitruzzelli przygotował opinię w sprawie istotnych pytań prejudycjalnych zadanych przez bułgarski Najwyższy Sąd Administracyjny. Sprawa rozpoczęła się w lipcu 2019 r. od ataku hakerskiego, którego ofiarą stała się NATIONAL REVENUE AGENCY (NAP). Szereg osób, w tym V.B., skarżąca w postępowaniu głównym, wniosło powództwa przeciwko NAP o zasądzenie odszkodowania za szkody niemajątkowe. Sąd pierwszej instancji, ASSG, oddalił powództwo uznając, że agencja nie ponosi winy za ujawnienie danych, że ciężar dowodu co do odpowiedniego charakteru przyjętych środków spoczywa na skarżącej i wreszcie, że żadna szkoda niemajątkowa nie podlega naprawieniu. Wyrok wydany w pierwszej instancji został następnie środek zaskarżony do Wyrchowen administrativen syd (najwyższego sądu administracyjnego, Bułgaria). Wśród podniesionych zarzutów skarżąca w postępowaniu głównym podkreśliła, że sąd pierwszej instancji błędnie rozłożył ciężar dowodu w odniesieniu do braku przyjęcia środków bezpieczeństwa. Szkoda niemajątkowa również nie powinna być objęta ciężarem dowodu, ponieważ nie chodzi o jedynie potencjalną, lecz rzeczywistą szkodę niemajątkową. Według Rzecznika Generalnego TSUE: nielogiczne wydaje się założenie, że zamiarem prawodawcy Unii było nałożenie na administratora obowiązku zapobiegania wszelkim naruszeniom danych osobowych, niezależnie od staranności we wprowadzaniu środków bezpieczeństwa. w świetle wykładni systemowej, że prawodawca przewiduje możliwość wystąpienia naruszeń systemów. W art. 32 ust. 1 lit. c) wymieniono wśród sugerowanych środków zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Zapewnienie takiej zdolności wśród środków bezpieczeństwa gwarantujących poziom bezpieczeństwa odpowiedni do ryzyka byłoby bezcelowe, gdyby uznać, że samo naruszenie systemów stanowi samo w sobie dowód świadczący o nieodpowiednim charakterze takich środków. Nadto Rzecznik wskazuję, że: obowiązek udowodnienia przez skarżącą, że doszło do naruszenia rozporządzenia, nie może iść tak daleko, by wymagać wykazania, że wdrożone przez administratora środki techniczne i organizacyjne nie są odpowiednie w rozumieniu art. 24 i 32. wracając do pytania sądu odsyłającego, w oparciu o powyższe rozważania dotyczące charakteru odpowiedzialności administratora, jeżeli, jak już wspomniałem, administrator może zostać zwolniony […]
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Reszta obszernych argumentów oraz treść omawianego orzeczenia dostępna jest po dołączeniu do AKTUALNOŚCI PLUS. Dzięki tej subskrypcji dowiesz się jak organy nadzorcze w UE, sądy administracyjne czy powszechne, Trybunał Sprawiedliwości i inne podmioty argumentują swoje stanowiska. Umożliwi Ci to utrzymanie zgodności Twojej organizacji z przepisami o ochronie danych osobowych.
W jednym miejscu zapoznasz się z najważniejszymi argumentami oraz tezami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi, a w dużej części jest ono opublikowane wyłącznie w serwisie Judykatura.pl.