W dniu 27 kwietnia 2023 r. rzecznik generalny (AG) Giovanni Pitruzzella z Trybunału Sprawiedliwości Unii Europejskiej (TSUE) wydał opinię w sprawie interpretacji ogólnego rozporządzenia o ochronie danych (RODO) w zakresie zadośćuczynienia za krzywdę w przypadkach bezprawnego dostępu do danych osobowych. Opinia została wydana w odpowiedzi na wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Naczelny Sąd Administracyjny Bułgarii w sprawie 340/21 VB przeciwko Natsionalna agentsia za prihodite.
Sprawa dotyczy osoby, której dane osobowe, będące w posiadaniu agencji publicznej, zostały opublikowane w Internecie w wyniku ataku hakerskiego. W opinii AG wyjaśniono, że samo wystąpienie naruszenia danych osobowych nie oznacza automatycznie, że środki techniczne i organizacyjne podjęte przez administratora danych były nieodpowiednie. Zamiast tego sądy krajowe muszą określić adekwatność środków na podstawie analizy ich treści, zastosowania i praktycznych skutków.
Ciężar dowodu spoczywa na administratorze danych, który musi wykazać, przy zachowaniu wysokiego standardu dowodowego, że nie jest odpowiedzialny za zdarzenie powodujące szkodę. Jeśli uda mu się to zrobić, może zostać zwolniony z odpowiedzialności.
AG Pitruzzella stwierdził, że obawa przed potencjalnym niewłaściwym wykorzystaniem danych osobowych w przyszłości może stanowić krzywdę, która daje osobie, której dane dotyczą, prawo do odszkodowania. Aby jednak otrzymać odszkodowanie, osoba, której dane dotyczą, musi udowodnić, że indywidualnie poniosła rzeczywistą i pewną szkodę emocjonalną. Właściwy sąd krajowy jest odpowiedzialny za sprawdzenie tego w każdym indywidualnym przypadku.
Opinia AG zawiera ważne wskazówki dotyczące interpretacji RODO, zwłaszcza w zakresie określenia warunków przyznawania odszkodowania za szkody niematerialne w sprawach o naruszenie danych. Choć nie wiąże ona ostatecznej decyzji TSUE, sąd często kieruje się opiniami swoich rzeczników generalnych.