C-340/21 - Natsionalna agentsia za prihodite

Το Δικαστήριο εξέτασε πολλαπλά ερωτήματα και έκρινε ότι μια άνευ αδείας κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή μια άνευ αδείας πρόσβαση από «τρίτους» (και κατ’ επέκταση ένα περιστατικό παραβίασης δεδομένων), δεν αρκούν από μόνα τους για να θεωρηθεί ότι τα τεχνικά και οργανωτικά μέτρα που εφάρμοσε ο υπεύθυνος επεξεργασίας δεν ήταν «κατάλληλα», κατά την έννοια των άρθρων 24 και 32. Η καταλληλότητα των μέτρων πρέπει να αξιολογείται κατά τρόπο συγκεκριμένο, με εξέταση του αν ο υπεύθυνος τα κατάρτισε και εφάρμοσε αυτά λαμβάνοντας υπόψη τα κριτήρια που προβλέπονται στα εν λόγω άρθρα, τις ανάγκες προστασίας των δεδομένων ειδικά για τη συγκεκριμένη επεξεργασία, καθώς και τους κινδύνους που ενέχει η επεξεργασία αυτή. Πρακτικά, ένα περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα δεν ισοδυναμεί με παραβίαση και του άρθρου 32 του ΓΚΠΔ. Περαιτέρω, ο υπεύθυνος επεξεργασίας φέρει το βάρος απόδειξης της καταλληλότητας των μέτρων ασφαλείας που εφάρμοσε δυνάμει του άρθρου 32 του ΓΚΠΔ.  Το Δικαστήριο κρίνει επίσης ότι ο φόβος υποκειμένου δεδομένων προσωπικού χαρακτήρα για ενδεχόμενη κατάχρηση των δεδομένων του από τρίτους, μπορεί από μόνος του να αποτελέσει «μη υλική ζημία».

Διαθέσιμες γλώσσες στη βιβλιοθήκη: en, el

Σύνδεσμος ιστού αρχικής πηγής: https://curia.europa.eu/juris/liste.jsf?num=C-340/21

Ημερομηνία τελευταίου ελέγχου/μεταφόρτωσης: 19/12/2023