În cauza C-340/21, CJUE analizează articolele 24, 32 si 5 din Regulamentul GDPR si reține că, în măsura în care o persoană neautorizata accesează sau divulgă date personale, aceasta nu înseamnă automat că măsurile de securitate luate de compania responsabilă nu erau adecvate.
În cauza C-340/21, recent publicată în Jurnalul Oficial, CJUE analizează articolele 24, 32 si 5 din Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (Regulamentul general privind protecția datelor).
Conform celor reținute de CJUE, articolul 24, 32 și 5 din Regulamentul (UE) 2016/679 trebuie interpretate în sensul că:
- O divulgare neautorizată de date cu caracter personal sau un acces neautorizat la astfel de date de către „părți terțe” nu sunt, în sine, suficiente pentru a considera că măsurile tehnice și organizatorice implementate de operatorul în cauză nu erau „adecvate”, în sensul acestor articole;
- Caracterul adecvat al măsurilor tehnice și organizatorice implementate de operator în temeiul acestui articol trebuie să fie apreciat de instanțele naționale în mod concret, ținând seama de riscurile legate de prelucrare și evaluând dacă natura, conținutul și implementarea acestor măsuri sunt adaptate acestor riscuri;
- În cadrul unei acțiuni în despăgubire întemeiate pe articolul 82 din acest regulament, operatorului îi revine sarcina de a dovedi caracterul adecvat al măsurilor de securitate pe care le-a implementat în temeiul articolului 32 din regulamentul menționat;
- Pentru a aprecia caracterul adecvat al măsurilor de securitate pe care operatorul le-a implementat în temeiul acestui articol, o expertiză judiciară nu poate constitui un mijloc de probă în mod sistematic necesar și suficient;
- Operatorul nu poate fi exonerat de obligația de a repara prejudiciul suferit de o persoană, în temeiul articolului 82 alineatele (1) și (2) din regulament, pentru simplul fapt că prejudiciul respectiv rezultă dintr-o divulgare neautorizată de date cu caracter personal sau dintr-un acces neautorizat la asemenea date de către „părți terțe”, în sensul articolului 4 punctul 10 din regulamentul menționat. Conform Curții, operatorul trebuie să demonstreze că faptul care a provocat acest prejudiciu nu îi este în niciun fel imputabil;
- Temerea față de o potențială utilizare abuzivă a datelor sale cu caracter personal de către părți terțe pe care o resimte o persoană vizată în urma unei încălcări a acestui regulament poate constitui, în sine, un „prejudiciu moral”, în sensul dispoziției menționate.