TSUE wydał wyrok w związku z pytaniami prejudycjalnymi bułgarskiego najwyższego sądu administracyjnego rozpatrującego sprawę włamania do systemu informatycznego bułgarskiej krajowej agencji przychodów skarbowych (NAP), którego następstwem było opublikowanie w Internecie danych osobowych milionów podatników. Niektórzy z nich pozwali NAP o odszkodowanie z uwagi na obawy dotyczące wykorzystania ich danych osobowych.
Trybunał uznał, że administrator może być zobowiązany do zapłaty odszkodowania, w przypadku gdy do ujawnienia danych doszło w wyniku cyberprzestępstwa, chyba że udowodni, że nie ponosi winy. TSUE wskazał także, iż już sama obawa przed możliwością wykorzystania danych przez osoby trzecie w sposób stanowiący nadużycie w związku z naruszeniem RODO może stanowić szkodę niemajątkową.