De Bulgaarse Hoogste Administratieve Rechtbank legt verschillende vragen voor aan het Hof van Justitie voor een prejudiciële beslissing over de interpretatie van de Algemene Verordening Gegevensbescherming (AVG). De rechtbank vraagt naar een verduidelijking van de voorwaarden voor het toekennen van compensatie voor immateriële schade, ingeroepen door een betrokkene wiens persoonsgegevens, gehouden door een overheidsinstantie, op internet zijn gepubliceerd na een aanval door cybercriminelen.

In zijn uitspraak beantwoordt het Hof de gestelde vragen als volgt:

In geval van ongeoorloofde openbaarmaking van persoonsgegevens of ongeoorloofde toegang tot die gegevens, kunnen rechtbanken niet alleen uit dit feit afleiden dat de door de verantwoordelijke getroffen beschermingsmaatregelen niet geschikt waren. De rechtbanken moeten de geschiktheid van die maatregelen concreet beoordelen.

Het is aan de verantwoordelijke om aan te tonen dat de getroffen beschermingsmaatregelen geschikt waren.

In het geval dat de ongeoorloofde openbaarmaking van persoonsgegevens of ongeoorloofde toegang tot die gegevens is gepleegd door een ‘derde partij’ (zoals cybercriminelen), kan van de verantwoordelijke worden geëist dat deze de betrokkenen compenseert die schade hebben geleden, tenzij kan worden aangetoond dat zij op geen enkele manier verantwoordelijk is voor die schade.

De vrees die een betrokkene ervaart met betrekking tot mogelijk misbruik van zijn of haar persoonsgegevens door derden als gevolg van een schending van de AVG, is op zichzelf in staat om ‘immateriële schade’ te vormen.