Κυβερνοεπίθεση: Ο φόβος του υποκειμένου για ενδεχόμενη κατάχρηση των δεδομένων του μπορεί να αποτελεί μη υλική ζημία (ΔΕΕ C-340/21)
Το Δικαστήριο της Ευρωπαϊκής Ένωσης απαντά σε ερωτήματα βουλγαρικού δικαστηρίου σχετικά με τη διαρροή δεδομένων από τη φορολογική αρχή
ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ
ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ
ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ
ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ
Μια πολύ σημαντική απόφαση για τα όρια της αποζημίωσης του άρθρου 82 ΓΚΠΔ και την έννοια της «μη υλικής» ζημίας δημοσίευσε το Δικαστήριο της Ευρωπαϊκής Ένωσης. Η απόφαση C-340/21 (Natsionalna agentsia za prihodite) συνεχίζει από το σημείο στο οποίο είχε σταματήσει η C-300/21 (Österreichische Post AG), που είχε δημοσιευτεί τον Μάιο του έτους.
Η υπόθεση που ήχθη ενώπιον του ΔΕΕ αφορά μια αγωγή αποζημίωσης με αίτημα την καταβολή 510 ευρώ, η οποία ωστόσο έφτασε στο Ανώτατο Δικαστήριο της Βουλγαρίας. Τούτο διότι, πίσω από το αίτημα αποζημίωσης βρισκόταν το περιστατικό της κυβερνοεπίθεσης που δέχθηκε η βουλγαρική φορολογική αρχή ΝΑΡ, αποτέλεσμα της οποίας υπήρξε η διαρροή δεδομένων περισσότερων από 6 εκατομμυρίων πολιτών.
Η διαρροή αποκαλύφθηκε από μέσα ενημέρωσης, μετά τη δημοσίευση δεδομένων που προέρχονταν από την παραβίαση στο διαδίκτυο. Μερικές δεκάδες από τα θύματα της παραβίασης κινήθηκαν δικαστικά εναντίον της ΝΑΡ, με αγωγές για αποκατάσταση της υλικής ζημίας της οποία είχαν υποστεί.
Η αγωγή της αναιρεσείουσας της κύριας δίκης απορρίφθηκε από το διοικητικό πρωτοδικείο της Σόφιας, με το δικαστήριο να κρίνει πως αφενός, ότι η άνευ αδείας πρόσβαση στη βάση δεδομένων της NAP ήταν αποτέλεσμα ηλεκτρονικού εγκλήματος που διαπράχθηκε από τρίτους και, αφετέρου, ότι η αναιρεσείουσα δίκης δεν είχε αποδείξει παράλειψη της NAP όσον αφορά τη λήψη μέτρων ασφαλείας. Επιπλέον, κρίθηκε πως η αναιρεσείουσα δεν είχε υποστεί μη υλική ζημία που να θεμελιώνει δικαίωμα αποζημίωσης.
Η αναιρεσείουσα προσέβαλε την απόφαση ενώπιον του Ανωτάτου Διοικητικού Δικαστηρίου της χώρας, το οποίο με τη σειρά του – και αντιλαμβανόμενο τη δυσχέρεια των ερμηνευτικών ζητημάτων, αλλά και τις συνέπειες από την όποια απόφασή του, έκανε αυτό που όφειλε να κάνει: απέστειλε την υπόθεση στο ΔΕΕ, υποβάλλοντας πέντε προδικαστικά ερωτήματα.
Τα ερωτήματα και οι απαντήσεις του ΔΕΕ.
1) Έχουν τα άρθρα 24 και 32 ΓΚΠΔ την έννοια ότι αρκεί να λάβει χώρα μια άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή άνευ αδείας πρόσβαση σε αυτά κατά την έννοια του άρθρου 4 σημ. 12 ΓΚΠΔ από πρόσωπα τα οποία δεν είναι υπάλληλοι του υπευθύνου επεξεργασίας και δεν υπόκεινται στον έλεγχό του για να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που ελήφθησαν δεν ήταν κατάλληλα;
29. Η αναφορά του άρθρου 32, παράγραφοι 1 και 2, του ΓΚΠΔ σε «κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων» και σε «ενδεδειγμένο επίπεδο ασφάλειας» μαρτυρεί ότι ο κανονισμός θεσπίζει σύστημα διαχείρισης των κινδύνων και ουδόλως αποσκοπεί στην εξάλειψη των κινδύνων παραβίασης των δεδομένων προσωπικού χαρακτήρα.
30. Επομένως, από το γράμμα των άρθρων 24 και 32 του ΓΚΠΔ προκύπτει ότι οι διατάξεις αυτές επιβάλλουν απλώς στον υπεύθυνο επεξεργασίας την υποχρέωση να λαμβάνει τεχνικά και οργανωτικά μέτρα για την αποφυγή, στο μέτρο του δυνατού, οποιασδήποτε προσβολής των δεδομένων προσωπικού χαρακτήρα. Η καταλληλότητα των μέτρων αυτών πρέπει να αξιολογείται κατά τρόπο συγκεκριμένο, με εξέταση του αν ο υπεύθυνος εφάρμοσε τα μέτρα αυτά λαμβάνοντας υπόψη τα διάφορα κριτήρια που προβλέπονται στα εν λόγω άρθρα και τις ανάγκες προστασίας των δεδομένων που είναι ειδικώς εγγενείς στη συγκεκριμένη επεξεργασία, καθώς και τους κινδύνους που ενέχει η επεξεργασία αυτή.
31. Ως εκ τούτου, τα άρθρα 24 και 32 του ΓΚΠΔ δεν μπορούν να ερμηνευθούν υπό την έννοια ότι η άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή η άνευ αδείας πρόσβαση σε τέτοια δεδομένα από τρίτον αρκούν για να συναχθεί το συμπέρασμα ότι τα μέτρα που έλαβε ο υπεύθυνος επεξεργασίας δεν ήταν κατάλληλα, κατά την έννοια των διατάξεων αυτών, χωρίς καν να του παρέχεται η δυνατότητα να προσκομίσει αποδείξεις περί του αντιθέτου.
[…]
38. Αφετέρου, η ερμηνεία που συνάγεται στη σκέψη 31 της παρούσας απόφασης επιβεβαιώνεται και από την αιτιολογική σκέψη 83 του ΓΚΠΔ, στην πρώτη περίοδο της οποίας αναφέρεται ότι, «[γ]ια τη διατήρηση της ασφάλειας και την αποφυγή της επεξεργασίας κατά παράβαση του παρόντος κανονισμού, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να αξιολογεί τους κινδύνους που ενέχει η επεξεργασία και να εφαρμόζει μέτρα για τον μετριασμό των εν λόγω κινδύνων». Κατ’ αυτόν τον τρόπο, ο νομοθέτης της Ένωσης εξέφρασε την πρόθεσή του να «μετριάσει» τους κινδύνους παραβίασης των δεδομένων προσωπικού χαρακτήρα, χωρίς να ισχυρίζεται ότι θα ήταν δυνατή η εξάλειψή τους.
39. Κατόπιν των ανωτέρω, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι τα άρθρα 24 και 32 του ΓΚΠΔ έχουν την έννοια ότι μια άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή μια άνευ αδείας πρόσβαση σε τέτοια δεδομένα από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του κανονισμού αυτού, δεν αρκούν αφ’ εαυτών για να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα», κατά την έννοια των άρθρων 24 και 32.
2) Ποιο είναι το αντικείμενο και η έκταση του δικαστικού ελέγχου νομιμότητας κατά την εξέταση του αν τα τεχνικά και οργανωτικά μέτρα που ελήφθησαν από τον υπεύθυνο επεξεργασίας ήταν κατάλληλα σύμφωνα με το άρθρο 32 ΓΚΠΔ;
42. Από το εν λόγω άρθρο 32, παράγραφοι 1 και 2, προκύπτει ότι η καταλληλότητα τέτοιων τεχνικών και οργανωτικών μέτρων πρέπει να εκτιμάται σε δύο στάδια. Αφενός, πρέπει να προσδιορίζονται οι κίνδυνοι παραβίασης των δεδομένων προσωπικού χαρακτήρα που συνεπάγεται η οικεία επεξεργασία και οι ενδεχόμενες συνέπειές τους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Η εκτίμηση αυτή πρέπει να πραγματοποιείται κατά τρόπο συγκεκριμένο, λαμβανομένου υπόψη του βαθμού πιθανότητας των κινδύνων που εντοπίστηκαν και του βαθμού σοβαρότητάς τους. Αφετέρου, πρέπει να εξακριβώνεται αν τα μέτρα που έλαβε ο υπεύθυνος επεξεργασίας είναι προσαρμοσμένα στους κινδύνους αυτούς, λαμβανομένων υπόψη των τελευταίων εξελίξεων, του κόστους εφαρμογής, καθώς και της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας αυτής.
43. Βεβαίως, ο υπεύθυνος επεξεργασίας διαθέτει ορισμένη διακριτική ευχέρεια κατά τον καθορισμό των τεχνικών και οργανωτικών μέτρων που είναι κατάλληλα προκειμένου να διασφαλίσει επίπεδο ασφάλειας κατάλληλο για την αντιμετώπιση του κινδύνου, όπως απαιτεί το άρθρο 32, παράγραφος 1, του ΓΚΠΔ. Εντούτοις, το εθνικό δικαστήριο πρέπει να έχει τη δυνατότητα να αξιολογήσει την πολύπλοκη εκτίμηση στην οποία προέβη ο υπεύθυνος επεξεργασίας και, κατ’ αυτόν τον τρόπο, να βεβαιωθεί ότι τα μέτρα που αυτός έλαβε είναι ικανά να εγγυηθούν ένα τέτοιο επίπεδο ασφάλειας.
[…]
45. Ως εκ τούτου, προκειμένου να ελέγξει την καταλληλότητα των τεχνικών και οργανωτικών μέτρων που εφαρμόζονται βάσει του άρθρου 32 του ΓΚΠΔ, το εθνικό δικαστήριο δεν πρέπει να περιορίζεται στη διαπίστωση του τρόπου με τον οποίον ο υπεύθυνος επεξεργασίας είχε την πρόθεση να εκπληρώσει τις υποχρεώσεις που υπέχει από το άρθρο αυτό, αλλά να προβαίνει σε επί της ουσίας εξέταση των μέτρων αυτών, υπό το πρίσμα όλων των κριτηρίων που μνημονεύονται στο εν λόγω άρθρο, καθώς και των ιδιαίτερων περιστάσεων της συγκεκριμένης υπόθεσης και των σχετικών αποδεικτικών στοιχείων που έχει στη διάθεσή του.
46. Η εξέταση αυτή απαιτεί συγκεκριμένη ανάλυση τόσο της φύσης όσο και του περιεχομένου των μέτρων που εφάρμοσε ο υπεύθυνος επεξεργασίας, του τρόπου με τον οποίον εφαρμόστηκαν τα μέτρα αυτά και των πρακτικών συνεπειών τους στο επίπεδο ασφάλειας που ο υπεύθυνος επεξεργασίας όφειλε να εγγυηθεί, λαμβανομένων υπόψη των εγγενών στην επεξεργασία αυτή κινδύνων.
47. Κατά συνέπεια, στο δεύτερο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 32 του ΓΚΠΔ έχει την έννοια ότι τα εθνικά δικαστήρια πρέπει να εκτιμούν κατά τρόπο συγκεκριμένο την καταλληλότητα των τεχνικών και οργανωτικών μέτρων που εφαρμόζει ο υπεύθυνος επεξεργασίας δυνάμει του άρθρου αυτού, λαμβάνοντας υπόψη τους κινδύνους που συνδέονται με τη συγκεκριμένη επεξεργασία και εξετάζοντας αν η φύση, το περιεχόμενο και η εφαρμογή των μέτρων είναι προσαρμοσμένα στους κινδύνους αυτούς.
3α) Έχει η αρχή της λογοδοσίας κατά τα άρθρα 5 παρ.2 και 24 ΓΚΠΔ την έννοια ότι, σε δίκη δυνάμει του άρθρου 82 παρ.1, ο υπεύθυνος επεξεργασίας φέρει το βάρος της αποδείξεως ότι τα τεχνικά και οργανωτικά μέτρα που ελήφθησαν ήταν κατάλληλα σύμφωνα με το άρθρο 32;
β) Μπορεί η διενέργεια πραγματογνωμοσύνης να θεωρηθεί αναγκαίο και επαρκές αποδεικτικό μέσο για να διαπιστωθεί εάν τα τεχνικά και οργανωτικά μέτρα που ελήφθησαν από τον υπεύθυνο επεξεργασίας ήταν κατάλληλα σε περίπτωση όπως η παρούσα, εάν η άνευ αδείας πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και η άνευ αδείας κοινολόγηση αυτών είναι αποτέλεσμα “επίθεσης χάκερ”;
α) 52. Από το γράμμα του άρθρου 5, παράγραφος 2, του άρθρου 24, παράγραφος 1, και του άρθρου 32, παράγραφος 1, του ΓΚΠΔ προκύπτει σαφώς ότι ο υπεύθυνος επεξεργασίας φέρει το βάρος να αποδείξει ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλειά τους, κατά την έννοια του άρθρου 5, παράγραφος 1, στοιχείο στʹ, και του άρθρου 32 του κανονισμού αυτού.
53. Επομένως, τα τρία αυτά άρθρα θεσπίζουν κανόνα γενικής ισχύος, ο οποίος πρέπει, ελλείψει αντίθετης ενδείξεως στον ΓΚΠΔ, να εφαρμόζεται και στο πλαίσιο αγωγής αποζημίωσης στηριζόμενης στο άρθρο 82 του κανονισμού αυτού.
54. Δεύτερον, διαπιστώνεται ότι η ανωτέρω γραμματική ερμηνεία επιρρωννύεται από τη συνεκτίμηση των σκοπών που επιδιώκει ο ΓΚΠΔ.
55. Αφενός, δεδομένου ότι το επίπεδο προστασίας που προβλέπει ο ΓΚΠΔ εξαρτάται από τα μέτρα ασφαλείας που λαμβάνουν οι υπεύθυνοι επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οι τελευταίοι πρέπει να ενθαρρύνονται, καθόσον φέρουν το βάρος να αποδείξουν την καταλληλότητα των μέτρων αυτών, να καταβάλλουν κάθε δυνατή προσπάθεια για να αποτρέψουν πράξεις επεξεργασίας που δεν είναι σύμφωνες με τον εν λόγω κανονισμό.
56. Αφετέρου, εάν γινόταν δεκτό ότι τα υποκείμενα των δεδομένων, όπως ορίζονται στο άρθρο 4, σημείο 1, του ΓΚΠΔ, φέρουν το βάρος απόδειξης της καταλληλότητας των εν λόγω μέτρων, το προβλεπόμενο στο άρθρο 82, παράγραφος 1, του ΓΚΠΔ δικαίωμα αποζημίωσης θα έχανε σημαντικό μέρος της πρακτικής αποτελεσματικότητάς του, παρότι ο νομοθέτης της Ένωσης είχε την πρόθεση να ενισχύσει περαιτέρω, σε σχέση με τις προϊσχύσασες του κανονισμού διατάξεις, τόσο τα δικαιώματα των προσώπων αυτών όσο και τις υποχρεώσεις των υπευθύνων επεξεργασίας, όπως επισημαίνεται στην αιτιολογική σκέψη 11.
57. Επομένως, στο πρώτο σκέλος του τρίτου προδικαστικού ερωτήματος πρέπει να δοθεί η απάντηση ότι η αρχή της ευθύνης του υπευθύνου επεξεργασίας, η οποία εξαγγέλλεται στο άρθρο 5, παράγραφος 2, και εξειδικεύεται στο άρθρο 24 του ΓΚΠΔ, έχει την έννοια ότι, στο πλαίσιο αγωγής αποζημίωσης που ασκείται βάσει του άρθρου 82 του κανονισμού, ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης της καταλληλότητας των μέτρων ασφαλείας που εφάρμοσε δυνάμει του άρθρου 32 του εν λόγω κανονισμού.
β) 62. Ειδικότερα, εθνικός δικονομικός κανόνας δυνάμει του οποίου είναι συστηματικά «αναγκαίο» τα εθνικά δικαστήρια να διατάσσουν δικαστική πραγματογνωμοσύνη ενδέχεται να αντιβαίνει στην αρχή της αποτελεσματικότητας. Πράγματι, η συστηματική διενέργεια τέτοιας πραγματογνωμοσύνης μπορεί να αποδειχθεί περιττή λαμβανομένων υπόψη των λοιπών αποδεικτικών στοιχείων που διαθέτει το επιληφθέν δικαστήριο, μεταξύ άλλων, όπως επισήμανε η Βουλγαρική Κυβέρνηση με τις γραπτές παρατηρήσεις της, λαμβανομένων υπόψη των αποτελεσμάτων που προέκυψαν από τον έλεγχο της τήρησης των μέτρων προστασίας των δεδομένων προσωπικού χαρακτήρα που διενήργησε ανεξάρτητη αρχή η οποία έχει συσταθεί νομίμως, εφόσον ο έλεγχος αυτός είναι πρόσφατος, δεδομένου ότι τα εν λόγω μέτρα πρέπει, σύμφωνα με το άρθρο 24, παράγραφος 1, του ΓΚΠΔ, να επανεξετάζονται και να επικαιροποιούνται όταν κρίνεται απαραίτητο.
64. Λαμβανομένων υπόψη των προεκτεθέντων, στο δεύτερο σκέλος του τρίτου προδικαστικού ερωτήματος πρέπει να δοθεί η απάντηση ότι το άρθρο 32 του ΓΚΠΔ και η αρχή της αποτελεσματικότητας του δικαίου της Ένωσης έχουν την έννοια ότι η δικαστική πραγματογνωμοσύνη δεν μπορεί να συνιστά συστηματικώς αναγκαίο και επαρκές αποδεικτικό μέσο προκειμένου να εκτιμηθεί η καταλληλότητα των μέτρων ασφαλείας που εφάρμοσε ο υπεύθυνος επεξεργασίας βάσει του άρθρου αυτού.
4) Έχει το άρθρο 82 παρ.3 την έννοια ότι η άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή άνευ αδείας πρόσβαση σε αυτά, όπως στην προκειμένη περίπτωση, μέσω “επίθεσης χάκερ” από άτομα που δεν είναι υπάλληλοι του υπευθύνου επεξεργασίας και δεν υπόκεινται στον έλεγχό του είναι γεγονός για το οποίο ο υπεύθυνος επεξεργασίας δεν φέρει καμία ευθύνη και δικαιούται απαλλαγή από αυτή;
69. Από τις διατάξεις αυτές προκύπτει, αφενός, ότι ο υπεύθυνος επεξεργασίας οφείλει κατ’ αρχήν να αποκαταστήσει ζημία που προκλήθηκε από παράβαση του κανονισμού αυτού συνδεόμενη με την εν λόγω επεξεργασία και, αφετέρου, ότι δεν μπορεί να απαλλαγεί από την ευθύνη του παρά μόνον εάν αποδείξει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.
70. Επομένως, όπως προκύπτει από τη ρητή προσθήκη του επιθέτου «καμία» κατά τη διάρκεια της νομοθετικής διαδικασίας, οι περιστάσεις υπό τις οποίες ο υπεύθυνος επεξεργασίας μπορεί να αξιώσει την απαλλαγή του από την αστική ευθύνη που υπέχει δυνάμει του άρθρου 82 του ΓΚΠΔ πρέπει να περιορίζονται αυστηρά στις περιπτώσεις κατά τις οποίες ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι ο ίδιος δεν φέρει καμία ευθύνη για τη ζημία.
71. Όταν, όπως εν προκειμένω, μια παραβίαση δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 12, του ΓΚΠΔ, έχει διαπραχθεί από δράστες κυβερνοεγκλήματος και, επομένως, από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του κανονισμού αυτού, η παράβαση αυτή δεν μπορεί να καταλογιστεί στον υπεύθυνο επεξεργασίας, εκτός αν αυτός κατέστησε δυνατή την εν λόγω παραβίαση παραβαίνοντας υποχρέωση προβλεπόμενη από τον ΓΚΠΔ, και ιδίως την υποχρέωση προστασίας των δεδομένων την οποία υπέχει από το άρθρο 5, παράγραφος 1, στοιχείο στʹ, καθώς και από τα άρθρα 24 και 32 του ίδιου κανονισμού.
72. Επομένως, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα από τρίτον, ο υπεύθυνος επεξεργασίας μπορεί να απαλλαγεί από την ευθύνη του, βάσει του άρθρου 82, παράγραφος 3, του ΓΚΠΔ, αποδεικνύοντας ότι η τυχόν παράβαση της υποχρέωσης προστασίας των δεδομένων δεν συνδέεται αιτιωδώς με τη ζημία που υπέστη το φυσικό πρόσωπο.
[…]
74. Λαμβανομένου υπόψη του συνόλου των ανωτέρω σκέψεων, στο τέταρτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 3, του ΓΚΠΔ έχει την έννοια ότι ο υπεύθυνος επεξεργασίας δεν μπορεί να απαλλαγεί από την υποχρέωσή του να αποκαταστήσει, βάσει του άρθρου 82, παράγραφοι 1 και 2, του κανονισμού αυτού, τη ζημία που υπέστη ένα πρόσωπο, για τον λόγο και μόνον ότι η ζημία αυτή προκλήθηκε από άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή από άνευ αδείας πρόσβαση σε τέτοια δεδομένα από «τρίτους», κατά την έννοια του άρθρου 4, σημείο 10, του εν λόγω κανονισμού, καθώς και ότι, στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας οφείλει να αποδείξει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.
5) Έχει το άρθρο 82 παρ.1 και 2, σε συνδυασμό με τις αιτιολογικές σκέψεις 85 και 146 την έννοια ότι σε περίπτωση παραβίασης της προστασίας προσωπικών δεδομένων, όπως στην προκειμένη περίπτωση, η οποία εκδηλώνεται ως άνευ αδείας πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και ως άνευ αδείας κοινολόγηση αυτών μέσω “επίθεσης χάκερ”, μόνον οι ανησυχίες, οι υποψίες και οι φόβοι του υποκειμένου των δεδομένων σχετικά με πιθανή μελλοντική κατάχρηση των δεδομένων προσωπικού χαρακτήρα του εμπίπτουν στην ευρέως ερμηνευόμενη έννοια της μη υλικής ζημίας και θεμελιώνουν αξίωση αποζημίωσης, όταν δεν έχει διαπιστωθεί τέτοιου είδους κατάχρηση ή/και δεν έχει προκληθεί περαιτέρω ζημία στο υποκείμενο των δεδομένων;»
79. Τούτου λεχθέντος, επισημαίνεται εν προκειμένω ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ δεν διακρίνει μεταξύ των περιπτώσεων στις οποίες, κατόπιν αποδεδειγμένης παράβασης των διατάξεων του κανονισμού αυτού, η «μη υλική ζημία» που προβάλλει το υποκείμενο των δεδομένων συνδέεται με κατάχρηση από τρίτους των προσωπικού χαρακτήρα δεδομένων του η οποία έχει επέλθει ήδη κατά την ημερομηνία άσκησης της αγωγής αποζημίωσης, και των περιπτώσεων στις οποίες η «μη υλική ζημία» συνδέεται με τον φόβο του υποκειμένου των δεδομένων ότι τέτοια κατάχρηση μπορεί να επέλθει στο μέλλον.
80. Επομένως, το γράμμα του άρθρου 82, παράγραφος 1, του ΓΚΠΔ δεν αποκλείει το ενδεχόμενο η έννοια της «μη υλικής ζημίας» που περιλαμβάνεται στη διάταξη αυτή να περιλαμβάνει μια κατάσταση, όπως αυτή στην οποία αναφέρεται το αιτούν δικαστήριο, κατά την οποία το υποκείμενο των δεδομένων επικαλείται, προκειμένου να λάβει αποζημίωση βάσει της διάταξης αυτής, τον φόβο του ότι τα προσωπικού χαρακτήρα δεδομένα του θα αποτελέσουν το αντικείμενο μελλοντικής κατάχρησης από τρίτους, λόγω παράβασης του εν λόγω κανονισμού που έχει ήδη διαπραχθεί.
[…]
82. Εξάλλου, στην αιτιολογική σκέψη 85, πρώτη περίοδος, του ΓΚΠΔ αναφέρεται ότι «η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια [...] ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα». Από τον ενδεικτικό αυτόν κατάλογο «ζημιών» ή «βλαβών» που μπορεί να υποστούν τα υποκείμενα των δεδομένων προκύπτει ότι ο νομοθέτης της Ένωσης θέλησε να περιλάβει στις έννοιες αυτές, μεταξύ άλλων, την απλή «απώλεια ελέγχου» επί των δικών τους δεδομένων, ακόμη και αν τα δεδομένα αυτά δεν χρησιμοποιηθούν καταχρηστικά συγκεκριμένα εις βάρος των εν λόγω υποκειμένων.
83. Τρίτον και τελευταίον, η ερμηνεία που παρατίθεται στη σκέψη 80 της παρούσας απόφασης επιρρωννύεται από τους σκοπούς του ΓΚΠΔ, οι οποίοι πρέπει να λαμβάνονται πλήρως υπόψη για τον ορισμό της έννοιας της «ζημίας», όπως αναφέρεται στην αιτιολογική σκέψη 146, τρίτη περίοδος, του κανονισμού αυτού. Ερμηνεία, όμως, του άρθρου 82, παράγραφος 1, του ΓΚΠΔ υπό την έννοια ότι η έννοια της «μη υλικής ζημίας», κατά τη διάταξη αυτή, δεν περιλαμβάνει τις περιπτώσεις στις οποίες το υποκείμενο των δεδομένων επικαλείται μόνον τον φόβο του ότι τα δεδομένα του θα χρησιμοποιηθούν καταχρηστικά από τρίτους στο μέλλον δεν θα ήταν σύμφωνη με τη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, την οποία επιδιώκει ο κανονισμός αυτός.
84. Εντούτοις, επισημαίνεται ότι το υποκείμενο δεδομένων εις βάρος του οποίου διαπράττεται παράβαση του ΓΚΠΔ η οποία είχε αρνητικές για το ίδιο συνέπειες υποχρεούται να αποδείξει ότι οι συνέπειες αυτές συνιστούν μη υλική ζημία, κατά την έννοια του άρθρου 82 του κανονισμού.
85. Ειδικότερα, όταν ένα πρόσωπο που ζητεί αποζημίωση επ’ αυτής της βάσεως προβάλλει τον φόβο ότι τα προσωπικού χαρακτήρα δεδομένα του θα χρησιμοποιηθούν καταχρηστικά στο μέλλον εξαιτίας της παραβίασης αυτής, το επιληφθέν εθνικό δικαστήριο οφείλει να εξακριβώνει αν ο φόβος αυτός μπορεί να θεωρηθεί βάσιμος, υπό τις συγκεκριμένες περιστάσεις και σε σχέση με το συγκεκριμένο πρόσωπο.
86. Κατόπιν των ανωτέρω, στο πέμπτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι ο φόβος υποκειμένου δεδομένων προσωπικού χαρακτήρα για ενδεχόμενη κατάχρηση των δεδομένων αυτών από τρίτους, ο οποίος προκλήθηκε στο πρόσωπο αυτό κατόπιν παράβασης του κανονισμού, μπορεί αφ’ εαυτού να αποτελέσει «μη υλική ζημία» κατά την έννοια της διάταξης αυτής.
Το πλήρες κείμενο της απόφασης είναι διαθέσιμο εδώ.
