MIŠLJENJE NEZAVISNOG ODVJETNIKA
ANTHONYJA COLLINSA
od 26. listopada 2023.(1)
Spojeni predmeti C‑182/22 i C‑189/22
JU (C‑182/22)
SO (C‑189/22)
protiv
Scalable Capital GmbH
(zahtjevi za prethodnu odluku koje je uputio Amtsgericht München (Općinski sud u Münchenu, Njemačka))
„Zahtjev za prethodnu odluku – Zaštita pojedinaca u vezi s obradom osobnih podataka – Uredba (EU) 2016/679 – Članak 82. stavak 1. – Pravo na naknadu štete prouzročene obradom podataka kojom se krši ta uredba – Nematerijalna šteta – Krađa podataka – Krađa identiteta ili prijevara povezana s identitetom”
I. Uvod
1. Osoba JU u sporu koji je pokrenula protiv društva Scalable Capital GmbH (u daljnjem tekstu: Scalable Capital) (predmet C‑182/22) i osoba SO u uvelike identičnom sporu koji je pokrenula protiv istog društva (predmet C‑189/22) zahtijevaju naknadu nematerijalne štete koja im je kroz bol i patnju nanesena krađom(2), kako to sud koji je uputio zahtjeve opisuje, njihovih osobnih podataka spremljenih na aplikaciji za trgovanje društva Scalable Capital koju su počinile nepoznate treće osobe. Te treće osobe do sada nisu te podatke upotrijebile u prijevarne ili druge svrhe. Amtsgericht München (Općinski sud u Münchenu, Njemačka) traži od Suda smjernice u pogledu tumačenja pojma nematerijalne štete iz članka 82. Uredbe (EU) 2016/679(3) i uvjeta pod kojima se može dobiti naknada takve štete. Osobito pita čini li krađa tih podataka „krađu identiteta” u smislu uvodne izjave 75. OUZP‑a.
II. Pravni okvir – pravo Europske unije
2. Uvodna izjava 75. OUZP‑a glasi:
„Rizik za prava i obveze pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizaći iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare [povezane s identitetom], financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih profesionalnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete; ili ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; […]”
3. Uvodna izjava 85. OUZP‑a glasi:
„Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevara [povezana s identitetom], financijski gubici, neovlašteni obrnuti postupak pseudonimizacije, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih profesionalnom tajnom ili bilo koju drugu ekonomsku ili društvenu štetu za dotičnog pojedinca. […]”
4. U uvodnoj izjavi 146. OUZP‑a navedeno je sljedeće:
„Voditelj obrade ili izvršitelj obrade trebao bi nadoknaditi svaku štetu koju osoba može pretrpjeti zbog obrade kojom se krši ova Uredba. […] Pojam štete trebalo bi široko tumačiti s obzirom na sudsku praksu Suda tako da se u potpunosti odražavaju ciljevi ove Uredbe. […] Ispitanici bi trebali dobiti potpunu i učinkovitu naknadu za štetu koju su pretrpjeli. […]”
5. U skladu s člankom 82. OUZP‑a, naslovljenim „Pravo na naknadu štete i odgovornost”:
„1. Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu.
2. Svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu prouzročenu obradom kojom se krši ova Uredba. Izvršitelj obrade je odgovoran za štetu prouzročenu obradom samo ako nije poštovao obveze iz ove Uredbe koje su posebno namijenjene izvršiteljima obrade ili je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima.
3. Voditelj obrade ili izvršitelj obrade izuzet je od odgovornosti na temelju stavka 2. ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu.
[…]”
III. Sporovi u glavnim postupcima i prethodna pitanja
6. Osobe JU i SO otvorile su investicijske račune na aplikaciji za trgovanje kojom upravlja društvo Scalable Capital. Kako bi potvrdile svoje identitete, u aplikaciju su unijele osobne podatke, uključujući svoja imena, datume rođenja, poštanske adrese i adrese elektroničke pošte te digitalne kopije svojih osobnih iskaznica(4). Nesporno je da su nepoznati počinitelji ukrali te podatke.
7. Amtsgericht München (Općinski sud u Münchenu) je mišljenja da su ukradeni podaci relativno osjetljivi te da osobe JU i SO stoga imaju pravo na naknadu štete u skladu s člankom 82. OUZP‑a. Smatrajući da iznos naknade štete na koji osobe JU i SO imaju pravo ovisi o tumačenju članka 82. OUZP‑a, taj je sud odlučio prekinuti postupke i Sudu uputiti sljedeća prethodna pitanja:
„1. Treba li članak 82. [OUZP‑a] tumačiti na način da pravo na naknadu štete nema karakter sankcije ni u okviru određivanja njezine visine, a osobito da nema nikakvu opću ili posebnu odvraćajuću funkciju, nego samo funkciju kompenzacije i, u određenim okolnostima, funkciju zadovoljštine?
2.a Treba li za potrebe određivanja postojanja prava na naknadu nematerijalne štete smatrati da to pravo ima i funkciju individualne zadovoljštine, koja se ovdje shvaća kao privatni interes oštećenika da se sankcionira uzročno ponašanje, ili ono ima samo kompenzacijsku funkciju koja se ovdje shvaća u smislu naknade pretrpljene štete?
2.b.1 U slučaju da treba smatrati da pravo na naknadu nematerijalne štete ima i kompenzacijsku funkciju i funkciju zadovoljštine: treba li za potrebe određivanja postojanja tog prava smatrati da kompenzacijska funkcija ima strukturnu prednost pred funkcijom zadovoljštine ili barem prednost koja proizlazi iz odnosa pravila i iznimke? Dovodi li to do toga da se funkcija zadovoljštine može uzeti u obzir samo u slučaju namjerne povrede ili povrede krajnjom nepažnjom?
2.b.2 U slučaju da pravo na naknadu nematerijalne štete nema funkciju zadovoljštine: dovode li pri njegovu određivanju samo povrede zaštite podataka do kojih je došlo namjerno ili krajnjom nepažnjom do dodatne težine u smislu ocjenjivanja doprinosa uzročnosti?
3. Treba li prilikom procjene tumačenja naknade nematerijalne štete smatrati da postoji strukturna hijerarhija ili barem hijerarhijski odnos pravila i iznimke u slučaju kojeg doživljaj štete prouzročen povredom zaštite podataka ima manju težinu od doživljaja štete i boli koji se povezuju s tjelesnom povredom?
4. Pod pretpostavkom da je šteta nastala, može li nacionalni sud, ako šteta nije ozbiljna, dodijeliti samo minimalnu naknadu štete koja se, s aspekta oštećenika ili općenito, može smatrati tek simboličnom?
5. Treba li za tumačenje naknade nematerijalne štete pri procjeni njezinih posljedica smatrati da krađa identiteta u smislu uvodne izjave 75. [OUZP‑a] postoji tek ako je počinitelj kaznenog djela stvarno preuzeo identitet ispitanika, dakle, ako se na bilo koji način predstavljao kao ispitanik, ili je za takvu krađu identiteta dovoljna već okolnost da počinitelji kaznenog djela raspolažu podacima na temelju kojih se može utvrditi identitet ispitanika?”
IV. Postupak pred Sudom
8. Predsjednik Suda je odlukom od 19. travnja 2022. spojio predmete C‑182/22 i C‑189/22 za potrebe provođenja pisanog i usmenog dijela postupka i donošenja presude.
9. Predsjednik Suda je 1. lipnja 2022. odbio zahtjev društva Scalable Capital za anonimizaciju predmetnog postupka u skladu s člankom 95. stavkom 2. Poslovnika Suda.
10. Osoba SO, društvo Scalable Capital, Irska i Europska komisija podnijeli su pisana očitovanja.
11. Prije nego što Sudu, na njegov zahtjev, predložim kako treba odgovoriti na peto pitanje, osvrnut ću se na prigovore koji su izneseni u pogledu dopuštenosti prethodnih pitanja.
V. Ocjena
A. Dopuštenost
12. Društvo Scalable Capital tvrdi da gubitak nadzora nad osobnim podacima ne dovodi do nematerijalne štete u smislu članka 82. stavka 1. OUZP‑a ako pojedinac nije zbog toga imao daljnje posljedice. Iz teksta, općeg sustava i svrhe članka 82. OUZP‑a ne može se izvesti pretpostavka da takav gubitak nadzora čini takvu štetu. Sud koji je uputio zahtjeve stoga je pogriješio pretpostavivši da su osobe JU i SO pretrpjele nematerijalnu štetu. Shodno tomu, zahtjevi za prethodnu odluku nisu relevantni za rješavanje sporova koji se vode pred sudom koji je te zahtjeve uputio te stoga nisu dopušteni.
13. Komisiji nije jasno na koji je način peto pitanje relevantno za sporove koji se vode pred sudom koji je uputio zahtjeve. Taj sud samo ističe da stranke različito tumače pravo te navodi da se „krađa identiteta događa samo kada se protupravno pribavljeni podaci koriste za oponašanje ispitanika”. Osim toga, u petom se pitanju od Suda ne traži da protumači ijednu konkretnu odredbu OUZP‑a.
14. Prema ustaljenoj sudskoj praksi Suda, pitanja nacionalnog suda u pogledu tumačenja prava Unije uživaju pretpostavku relevantnosti. Sud može odbiti odgovoriti na takva pitanja samo ako je očito da traženo tumačenje prava Unije nema nikakve veze s činjeničnim stanjem ili predmetom spora u glavnom postupku, ako je problem hipotetski ili ako Sud ne raspolaže činjeničnim i pravnim elementima potrebnima kako bi dao koristan odgovor na postavljena pitanja(5).
15. Prigovor društva Scalable Capital na dopuštenost svih prethodnih pitanja temelji se na njegovu tumačenju članka 82. OUZP‑a i prava na naknadu štete te na navodnom nepostojanju nematerijalne štete. Prethodna pitanja odnose se na pravo ispitanika na naknadu štete u skladu s člankom 82. OUZP‑a. Utvrđivanje postojanja štete nužan je preduvjet za ostvarivanje naknade štete(6). Shodno tomu, prigovor društva Scalable Capital na dopuštenost zahtjevâ za prethodnu odluku tiče se merituma pitanja koja ti zahtjevi otvaraju. Argumenti u pogledu merituma pitanja otvorenih u zahtjevu za prethodnu odluku po samoj svojoj prirodi ne mogu dovesti u pitanje dopuštenost tog zahtjeva(7).
16. Kada je riječ o Komisijinu prigovoru na dopuštenost petog pitanja, nije očito da to pitanje nema nikakve veze sa sporovima pred sudom koji je uputio zahtjeve ili da je hipotetsko. Pred sudom koji je uputio zahtjeve pokrenuti su postupci za naknadu štete u skladu s OUZP‑om. Stranke se ne slažu čini li krađa osobnih podataka krađu identiteta u smislu uvodne izjave 75. OUZP‑a ili je za postojanje krađe identiteta potrebno da je „počinitelj stvarno preuzeo ispitanikov identitet”(8). Iako je sud koji je uputio zahtjeve veoma kratko objasnio svoje peto pitanje, iz tih zahtjevâ proizlazi da je to pitanje povezano s ostalim četirima pitanjima, koja se odnose na pojam nematerijalne štete i pravo na naknadu štete u skladu s člankom 82. OUZP‑a.
17. S obzirom na navedeno, savjetujem da Sud odbije sve prigovore na dopuštenost pitanja koja je postavio Amtsgericht München (Općinski sud u Münchenu).
B. Meritum
1. Očitovanja stranaka
18. Osoba SO navodi da se u uvodnoj izjavi 85. OUZP‑a pravi jasna razlika između krađe identiteta i prijevare povezane s identitetom. Krađa identiteta podrazumijeva mogućnost počinitelja da zloupotrebljava identitet osobe s ciljem zavaravanja drugih osoba u pogledu tog identiteta. Prijevara povezana s identitetom može se počiniti nakon krađe identiteta. Iz toga proizlazi da za postojanje krađe identiteta nije potrebna stvarna zloupotreba identiteta osobe. Na temelju vrste i količine ukradenih podataka o kojima je riječ u ovim predmetima može se pretpostaviti da je došlo do krađe identiteta, što znači da postoji pravo na naknadu štete.
19. Društvo Scalable Capital tvrdi da je o krađi identiteta riječ kada osoba zloupotrebljava osobne podatke pojedinca s ciljem „oponašanja” identiteta tog pojedinca. Krađa određenih podataka može dovesti do krađe identiteta ili je olakšati, ali sama po sebi ne čini krađu identiteta. Sustavno tumačenje uvodne izjave 75. OUZP‑a ide u prilog tom pristupu jer ostali primjeri u toj odredbi navode na to da mogućnost korištenja određenih osobnih podataka ne čini krađu identiteta. Cilj članka 82. OUZP‑a jest osigurati naknadu štete pojedincima koji štetu stvarno pretrpe. Široko tumačenje pojma krađe identiteta protivi se tom cilju jer bi njegovo prihvaćanje omogućilo da se naknada štete potražuje na temelju apstraktne mogućnosti nastanka štete u budućnosti.
20. Irska navodi da krađa identiteta podrazumijeva okolnosti u kojima osoba stvarno preuzme identitet pojedinca čiji su podaci protupravno prisvojeni. Za postojanje krađe identiteta stoga nije dovoljno da osoba posjeduje podatke na temelju kojih se utvrđuje identitet pojedinca. U svakom slučaju, postojanje prava na naknadu nematerijalne štete u skladu s člankom 82. OUZP‑a treba ocjenjivati s obzirom na meritum svakog pojedinog slučaja.
21. Komisija ističe da krađa identiteta nije definirana u OUZP‑u. U uvodnim izjavama 75. i 85. OUZP‑a krađa identiteta navodi se kao primjer fizičke, materijalne ili nematerijalne štete koja može nastati zbog obrade osobnih podataka. Prema Komisijinu mišljenju, krađa identiteta koja se navodi u tim uvodnim izjavama jest nezakonito stjecanje podataka s ciljem „oponašanja [ispitanikova] identiteta”(9). Za dokazivanje krađe identiteta potrebno je, na temelju konkretnih radnji i pripremnih koraka, dokazati počiniteljevu namjeru da se predstavlja kao ispitanik. Budući da iz ustaljene sudske prakse proizlazi da šteta mora biti „stvarna i izvjesna”(10), obično posjedovanje podataka na temelju kojih se može utvrditi ispitanikov identitet, koje nije popraćeno predstavljanjem sebe kao ispitanika, ne čini krađu identiteta.
2. Analiza
22. Sud koji je uputio zahtjeve svojim petim pitanjem želi utvrditi čini li sama krađa ispitanikovih osjetljivih osobnih podataka(11) koju je počinio nepoznati počinitelj krađu identiteta, što dovodi do prava na naknadu štete, ili je o krađi identiteta riječ ako počinitelj stvarno preuzme ispitanikov identitet ili poduzme radnje s tim ciljem. To se pitanje postavlja u kontekstu utvrđenja da su nepoznati počinitelji ukrali određene osjetljive osobne podatke osoba JU i SO s aplikacije za trgovanje društva Scalable Capital. Iako se čini da nije došlo do daljnje (zlo)upotrebe tih podataka, u budućnosti je nije moguće isključiti jer identitet počinitelja nije poznat te su oni i dalje na slobodi.
23. Članak 82. OUZP‑a općenito(12) potvrđuje pravo na naknadu svakog ispitanika koji je pretrpio „materijalnu ili nematerijalnu štetu” zbog kršenja OUZP‑a i odgovornost za tu štetu raspodjeljuje između voditelja obrade i/ili izvršitelja obrade. U toj se odredbi ne utvrđuju ni konkretna priroda ni oblik takve štete. U OUZP‑u se ne upućuje na prava država članica za potrebe određivanja značenja i opsega pojma „nematerijalna šteta”(13). Taj pojam stoga treba smatrati autonomnim pojmom prava Unije i ujednačeno ga tumačiti u svim državama članicama(14).
24. Za dobivanje naknade štete u skladu s člankom 82. OUZP‑a potrebno je dokazati povredu OUZP‑a, „stvarno pretrpljenu štetu” i uzročnu vezu između te povrede i te štete(15). OUZP ne predviđa sustav objektivne odgovornosti(16). Kompenzacijska priroda uređenja uspostavljenog člankom 82. stavkom 1. OUZP‑a usto isključuje dodjelu kaznene naknade štete(17). Naknada štete mora biti cjelovita i djelotvorna, što znači da se mora „potpuno nadoknadi[ti] šteta koja je konkretno pretrpljena zbog povrede [OUZP‑a]”(18). Nematerijalna šteta nanesena ispitaniku ne mora imati određen stupanj ozbiljnosti(19). Iako ne postoji de minimis prag visine štete koja mora nastati da bi postojalo pravo na njezinu naknadu, moraju postojati jasni i precizni dokazi o tome da je ispitanik pretrpio takvu štetu. Potencijalna ili hipotetska šteta(20), ili obična uznemirenost osobe činjenicom da su joj osobni podaci ukradeni, nisu dovoljni.
25. U skladu s člankom 82. stavkom 3. OUZP‑a, voditelj obrade ili izvršitelj obrade izuzet je od odgovornosti za štetu „ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu”. Sud do sada nije imao priliku podrobno razmatrati članak 82. stavak 3. OUZP‑a. Jezično tumačenje te odredbe upućuje na to da su za isključenje primjene tog izuzeća dovoljni svaka nepažnja ili propust voditelja obrade ili izvršitelja obrade (koji su doprinijeli šteti). Osim toga, teret dokazivanja(21) koji ta odredba nameće voditeljima obrade ili izvršiteljima obrade može zahtijevati da oni primjenjuju stalne mjere namijenjene sprečavanju povreda osobnih podataka kako bi bili izuzeti od odgovornosti(22).
26. Ispitanik kojem su ukradeni osobni podaci ima pravo na naknadu nematerijalne štete u skladu s člankom 82. stavkom 1. OUZP‑a ako su ispunjena tri uvjeta predviđena presudom Österreichische Post(23). Prema uvodnoj izjavi 7. OUZP‑a, „[p]ojedinci bi trebali imati nadzor nad vlastitim osobnim podacima”. Situacija u kojoj su ispitanici „spriječeni u obavljanju nadzora nad svojim osobnim podacima”(24) ili u kojoj su pojedinci izgubili „[nadzor] nad osobnim podacima”(25) može izazvati nematerijalnu štetu. Sud koji je uputio zahtjeve pita u tom kontekstu čini li krađa osobnih podataka krađu identiteta.
27. U operativnim odredbama OUZP‑a krađa identiteta ne spominje se niti se definira. U uvodnim izjavama 75. i 85. OUZP‑a samo se spominje „krađa identiteta ili prijevara [povezana s identitetom]”. U uvodnoj izjavi 75. „krađa identiteta ili prijevara [povezana s identitetom]” navedena je kao jedan od netaksativnih primjera(26) rizika kojima pojedinci u ostvarivanju svojih prava i sloboda mogu biti izloženi zbog obrade njihovih osobnih podataka. Slično tomu, u uvodnoj izjavi 85. OUZP‑a „krađa identiteta ili prijevara [povezana s identitetom]” navodi se kao primjer(27) štete koju može prouzročiti neodgovarajuće i nepravodobno rješavanje povrede osobnih podataka(28).
28. U više se uvodnih izjava(29) i odredbi(30) drugih Unijinih propisa koriste izrazi kao što su „krađa identiteta”(31), „prijevara povezana s identitetom” i „krađa identiteta ili prijevara [povezana s identitetom]”(32). Nisam pronašao nijednu odredbu Unijina zakonodavstva u kojoj su ti izrazi definirani(33). Dakle, oni se u zakonodavstvu Unije koriste ilustrativno(34).
29. To pokazuje i analiza različitih jezičnih verzija tih izraza u uvodnim izjavama 75. i 85. OUZP‑a. Dok su njemačka (Identitätsdiebstahl oder -betrug), engleska (identity theft or fraud), estonska (identiteedivargust või -pettust), irska (goid aitheantais nó calaois aitheantais), litavska (būti pavogta ar suklastota tapatybė), nizozemska (identiteitsdiefstal of -fraude), poljska (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), rumunjska (furt sau fraudă a identității) i slovačka (krádeži totožnosti alebo podvodu) jezična verzija uvelike slične, druge jezične verzije u različitoj mjeri od toga odstupaju: češka (krádeži či zneužití identity), francuska (vol ou une usurpation d’identité), grčka (κατάχρηση ή υποκλοπή ταυτότητας), portugalska (usurpação ou roubo da identidade), talijanska (furto o usurpazione d’identità) i španjolska (usurpación de identidad o fraude). Različite jezične verzije relevantnih uvodnih izjava OUZP‑a upućuju na to da se izrazi krađa identiteta, prijevara povezana s identitetom, zloupotreba identiteta, protupravno korištenje identiteta, pronevjera identiteta i prisvajanje identiteta preklapaju te da ih je moguće smatrati, barem donekle, međusobno zamjenjivima. Iz toga proizlazi da se u uvodnim izjavama 75. i 85. OUZP‑a, protivno tvrdnjama osobe SO izloženima u točki 18. ovog mišljenja, ne pravi jasna razlika između krađe identiteta i prijevare povezane s identitetom.
30. U uvodnim izjavama 75. i 85. OUZP‑a pravi se razlika između primjera „gubitka nadzora” ili spriječenosti u „obavljanju nadzora” nad osobnim podacima i primjera „krađe identiteta ili prijevare [povezane s identitetom]”. Krađa osobnih podataka(35) stoga sama po sebi ne čini krađu identiteta iako može u budućnosti dovesti do (zlo)upotrebe tih podataka. Krađa identiteta zahtijeva dodatnu radnju ili korak čiji štetni učinci idu dalje od štetnih učinaka krađe osobnih podataka(36). Da bi bila riječ o krađi identiteta, osoba koja je ukrala ispitanikove podatke more te podatke (zlo)upotrijebiti ili poduzeti konkretne korake kako bi ih (zlo)upotrijebila u nezakonite svrhe bez ispitanikove privole(37). Takve radnje obično podrazumijevaju prijevaru ili neki drugi oblik obmane te se obično izvršavaju radi financijske ili druge koristi ili radi nanošenja štete ispitaniku ili s njime povezanim osobama(38).
31. Iz navedenog slijedi da krađa osobnih podataka, iako ne čini krađu identiteta, može izazvati nematerijalnu štetu i dovesti do prava na naknadu štete u skladu s člankom 82. stavkom 1. OUZP‑a(39). Nematerijalnu štetu lakše je dokazati ako se utvrdi da je ispitanik zbog krađe njegovih osobnih podataka bio žrtva krađe identiteta ili prijevare povezane s identitetom(40). Međutim, pravo na naknadu nematerijalne štete nastale zbog krađe osobnih podataka u skladu s člankom 82. stavkom 1. OUZP‑a ne ovisi o postojanju krađe identiteta ili prijevare povezane s identitetom(41). Postojanje nematerijalne štete i prava na naknadu štete u skladu s člankom 82. stavkom 1. OUZP‑a treba ispitati s obzirom na kontekst svakog pojedinog slučaja, vodeći računa o svim relevantnim okolnostima.
VI. Zaključak
32. S obzirom na prethodna razmatranja, predlažem da Sud na peto pitanje koje je uputio Amtsgericht München (Općinski sud u Münchenu, Njemačka) odgovori na sljedeći način:
Članak 82. stavak 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)
treba tumačiti na način da krađa ispitanikovih osjetljivih osobnih podataka koju počini nepoznati počinitelj može dovesti do prava na naknadu nematerijalne štete ako se dokaže povreda Opće uredbe o zaštiti podataka, stvarno pretrpljena šteta i uzročna veza između te štete i te povrede. Za dodjelu takve naknade štete nije potrebno da počinitelj preuzme ispitanikov identitet, a posjedovanje podataka na temelju kojih se može utvrditi ispitanikov identitet samo po sebi ne čini krađu identiteta.