Bułgarska krajowa agencja przychodów skarbowych (NAP) jest organem działającym przy ministrze finansów. Jest ona w szczególności odpowiedzialna za identyfikację, zabezpieczanie i odzyskiwanie wierzytelności publicznoprawnych. W tym zakresie jest administratorem danych osobowych.

15 lipca 2019 r. media ujawniły, że miało miejsce włamanie do systemu informatycznego NAP, oraz że w następstwie tego cyberataku w Internecie opublikowano zawarte w tym systemie dane osobowe dotyczące milionów osób. Wiele osób pozwało NAP w celu uzyskania odszkodowania za szkodę niemajątkową z uwagi na ich obawy dotyczące potencjalnego wykorzystania ich danych w sposób stanowiący nadużycie. Bułgarski najwyższy sąd administracyjny zwrócił się do Trybunału Sprawiedliwości z kilkoma pytaniami prejudycjalnymi dotyczącymi wykładni ogólnego rozporządzenia o ochronie danych (RODO). Wnosił w nich o wyjaśnienie kwestii dotyczących warunków odszkodowania za szkodę niemajątkową, na którą powołuje się osoba, której dane osobowe znajdujące się w posiadaniu organu publicznego zostały opublikowane w Internecie w następstwie ataku cyberprzestępców.

 

Szerokie ujęcie szkody niemajątkowej 

W swoim wyroku (C-340/21) Trybunał uznał, że w przypadku nieuprawnionego ujawnienia danych osobowych lub nieuprawnionego dostępu do takich danych, z samej tej okoliczności sądy nie mogą wyprowadzać wniosku, że wdrożone przez administratora środki ochrony nie były odpowiednie. Okoliczność, czy takie środki mają odpowiedni charakter, sądy muszą oceniać w sposób konkretny. Zarazem jednak ciężar udowodnienia, że wdrożone środki ochrony były odpowiednie, spoczywa na administratorze.

W przypadku, gdy nieuprawnione ujawnienie danych osobowych lub nieuprawniony dostęp do takich danych zostały dokonane przez „osoby trzecie” (takie jak cyberprzestępcy), administrator może być zobowiązany do zapłaty odszkodowania osobom, które poniosły szkodę, chyba że uda mu się udowodnić, że w żaden sposób nie ponosi winy za tę szkodę. Wskazał także, że nawet sama obawa przed ewentualnym wykorzystaniem przez osoby trzecie danych osobowych w sposób stanowiący nadużycie w związku z naruszeniem RODO może sama w sobie stanowić „szkodę niemajątkową”.