Na, a bírói gyakorlat részét nem tudom, pláne hazánkban. Amennyire tudom a GDPR-ben ajánlás (nem tudom kötelező-e) hogy az ENISA-féle Data Breach Severity Methodology pontozási rendszerrel értékeljék ki a GDPR incidensek súlyosságát. Ebben a legvégen szerepel az "A4 Malicious Intent" pont, ami +0,5-öt ad a végső súlyossághoz (ez amúgy összességében nem nagyon sok). Tehát indirekt módon az adatgazda súlyosabb besorolású incidens miatt felehet, ha külső fél támadása miatt került ki az adat.