歐洲法院檢察總長認為資料主體因擔心個人資料被濫用而造成的實際和確定的情感損害有權獲得賠償

在歐洲法院 2023 年 4 月 27 日 (C 340/21) 的意見中，檢察總長發表依據 GDPR 第 82 (1) 條對民事非財產損害賠償權的法律意見，該案例係2019年發生於保加利亞國稅局個資外洩案，而其法律意見認為：

1. 資料控制者有義務採取適當的技術和組織措施，確保個人資料的安全處理。
2.  資料控制者有責任證明其採取的措施是適當的，否則將承擔責任。
3. 第三方非法獲取個人資料並不免除資料控制者的責任，除非其能證明自己對事件沒有任何過錯。
4. 資料主體因擔心個人資料被濫用而造成的實際和確定的情感損害，可以構成非財產損害，有權獲得賠償。 

儘管檢察總長的意見對歐洲法院不具有約束力，但預計歐洲法院在其最終判決中通常會採納檢察總長的意見。如果歐洲法院採納檢察總長的意見，該判決將對資料處理公司產生巨大影響。

資料來源：Unlawful access to personal data by third parties leads to liability for presumed fault on the part of the controller and may give rise to non-material damage for which compensation can be awarded