ВАС пита съда в Люксембург за изтеклите от НАП лични данни

реюдициалното запитване до Съда на Европейския съюз, съгласно член 267, първи параграф, буква „б” от Договора за функционирането на ЕС, е със следните въпроси:

1. Разпоредбите на чл. 24 и чл. 32 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че е достатъчно да е осъществено неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679 от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, за да се приеме, че приложените технически и организационни мерки не са подходящи?

2. Ако отговорът на първия въпрос е отрицателен, какъв следва да е предметът и обхватът на съдебния контрол за законосъобразност при проверка дали приложените от администратора на лични данни технически и организационни мерки по чл. 32 от Регламент (ЕС) 2016/679 са подходящи?

3. Ако отговорът на първия въпрос е отрицателен, принципът на отчетност в чл. 5, пар. 2 и чл. 24 във връзка със Съображение 74 от Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в исковото производство по чл. 82, пар.1 от Регламент (ЕС) 2016/679 администраторът на лични данни носи доказателствена тежест относно обстоятелството, че приложените по чл. 32 от регламента технически и организационни мерки са подходящи? Назначаването на съдебна експертиза може ли да се приеме като необходимо и достатъчно доказателствено средство, с което да се установи дали приложените от администратора на лични данни технически и организационни мерки са подходящи в хипотеза като настощящата, в която неразрешеният достъп и разкриване на лични данни е резултат от „хакерска атака“?

4. Нормата на чл. 82, пар. 3 от от Регламент (ЕС) 2016/679 може ли да се тълкува в смисъл, че неразрешено разкриване или достъп до лични данни по смисъла на чл. 4, т. 12 от Регламент (ЕС) 2016/679, в случая чрез „хакерска атака“, от лица, които не са служители в администрацията на администратора на лични данни и не са под негов контрол, е събитие, за което администраторът на лични данни по никакъв начин не е отговорен и е основание за освобождаване от отговорност?

5. Нормите на чл. 82, пар.1 и пар. 2 във връзка със Съображения 85 и 146 от преамбюла на Регламент (ЕС) 2016/679 могат ли да се тълкуват в смисъл, че в хипотеза като настоящата на нарушение на сигурността на личните данни, изразяващо се в неразрешен достъп и разпространение на лични данни, осъществено чрез „хакерска атака", само преживените от субекта на лични данни опасения, притеснения и страх от евентуална, бъдеща злоупотреба с лични данни, без да е установена такава злоупотреба и/или да е настъпила друга вреда за субекта на данните, попадат в широкия смисъл на понятието нематериални вреди и е основание за обезщетение?