CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:820

MIŠLJENJE NEZAVISNOG ODVJETNIKA

ANTHONYJA COLLINSA

od 26. listopada 2023.(1)

Spojeni predmeti C‑182/22 i C‑189/22

JU (C‑182/22)

SO (C‑189/22)

protiv

Scalable Capital GmbH

(zahtjevi za prethodnu odluku koje je uputio Amtsgericht München (Općinski sud u Münchenu, Njemačka))

„Zahtjev za prethodnu odluku – Zaštita pojedinaca u vezi s obradom osobnih podataka – Uredba (EU) 2016/679 – Članak 82. stavak 1. – Pravo na naknadu štete prouzročene obradom podataka kojom se krši ta uredba – Nematerijalna šteta – Krađa podataka – Krađa identiteta ili prijevara povezana s identitetom”

I. Uvod

1. Osoba JU u sporu koji je pokrenula protiv društva Scalable Capital GmbH (u daljnjem tekstu: Scalable Capital) (predmet C‑182/22) i osoba SO u uvelike identičnom sporu koji je pokrenula protiv istog društva (predmet C‑189/22) zahtijevaju naknadu nematerijalne štete koja im je kroz bol i patnju nanesena krađom(2), kako to sud koji je uputio zahtjeve opisuje, njihovih osobnih podataka spremljenih na aplikaciji za trgovanje društva Scalable Capital koju su počinile nepoznate treće osobe. Te treće osobe do sada nisu te podatke upotrijebile u prijevarne ili druge svrhe. Amtsgericht München (Općinski sud u Münchenu, Njemačka) traži od Suda smjernice u pogledu tumačenja pojma nematerijalne štete iz članka 82. Uredbe (EU) 2016/679(3) i uvjeta pod kojima se može dobiti naknada takve štete. Osobito pita čini li krađa tih podataka „krađu identiteta” u smislu uvodne izjave 75. OUZP‑a.

II. Pravni okvir – pravo Europske unije

2. Uvodna izjava 75. OUZP‑a glasi:

„Rizik za prava i obveze pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizaći iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare [povezane s identitetom], financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih profesionalnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete; ili ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; […]”

3. Uvodna izjava 85. OUZP‑a glasi:

„Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevara [povezana s identitetom], financijski gubici, neovlašteni obrnuti postupak pseudonimizacije, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih profesionalnom tajnom ili bilo koju drugu ekonomsku ili društvenu štetu za dotičnog pojedinca. […]”

4. U uvodnoj izjavi 146. OUZP‑a navedeno je sljedeće:

„Voditelj obrade ili izvršitelj obrade trebao bi nadoknaditi svaku štetu koju osoba može pretrpjeti zbog obrade kojom se krši ova Uredba. […] Pojam štete trebalo bi široko tumačiti s obzirom na sudsku praksu Suda tako da se u potpunosti odražavaju ciljevi ove Uredbe. […] Ispitanici bi trebali dobiti potpunu i učinkovitu naknadu za štetu koju su pretrpjeli. […]”

5. U skladu s člankom 82. OUZP‑a, naslovljenim „Pravo na naknadu štete i odgovornost”:

„1. Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu.

2. Svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu prouzročenu obradom kojom se krši ova Uredba. Izvršitelj obrade je odgovoran za štetu prouzročenu obradom samo ako nije poštovao obveze iz ove Uredbe koje su posebno namijenjene izvršiteljima obrade ili je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima.

3. Voditelj obrade ili izvršitelj obrade izuzet je od odgovornosti na temelju stavka 2. ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu.

[…]”

III. Sporovi u glavnim postupcima i prethodna pitanja

6. Osobe JU i SO otvorile su investicijske račune na aplikaciji za trgovanje kojom upravlja društvo Scalable Capital. Kako bi potvrdile svoje identitete, u aplikaciju su unijele osobne podatke, uključujući svoja imena, datume rođenja, poštanske adrese i adrese elektroničke pošte te digitalne kopije svojih osobnih iskaznica(4). Nesporno je da su nepoznati počinitelji ukrali te podatke.

7. Amtsgericht München (Općinski sud u Münchenu) je mišljenja da su ukradeni podaci relativno osjetljivi te da osobe JU i SO stoga imaju pravo na naknadu štete u skladu s člankom 82. OUZP‑a. Smatrajući da iznos naknade štete na koji osobe JU i SO imaju pravo ovisi o tumačenju članka 82. OUZP‑a, taj je sud odlučio prekinuti postupke i Sudu uputiti sljedeća prethodna pitanja:

„1. Treba li članak 82. [OUZP‑a] tumačiti na način da pravo na naknadu štete nema karakter sankcije ni u okviru određivanja njezine visine, a osobito da nema nikakvu opću ili posebnu odvraćajuću funkciju, nego samo funkciju kompenzacije i, u određenim okolnostima, funkciju zadovoljštine?

2.a Treba li za potrebe određivanja postojanja prava na naknadu nematerijalne štete smatrati da to pravo ima i funkciju individualne zadovoljštine, koja se ovdje shvaća kao privatni interes oštećenika da se sankcionira uzročno ponašanje, ili ono ima samo kompenzacijsku funkciju koja se ovdje shvaća u smislu naknade pretrpljene štete?

2.b.1 U slučaju da treba smatrati da pravo na naknadu nematerijalne štete ima i kompenzacijsku funkciju i funkciju zadovoljštine: treba li za potrebe određivanja postojanja tog prava smatrati da kompenzacijska funkcija ima strukturnu prednost pred funkcijom zadovoljštine ili barem prednost koja proizlazi iz odnosa pravila i iznimke? Dovodi li to do toga da se funkcija zadovoljštine može uzeti u obzir samo u slučaju namjerne povrede ili povrede krajnjom nepažnjom?

2.b.2 U slučaju da pravo na naknadu nematerijalne štete nema funkciju zadovoljštine: dovode li pri njegovu određivanju samo povrede zaštite podataka do kojih je došlo namjerno ili krajnjom nepažnjom do dodatne težine u smislu ocjenjivanja doprinosa uzročnosti?

3. Treba li prilikom procjene tumačenja naknade nematerijalne štete smatrati da postoji strukturna hijerarhija ili barem hijerarhijski odnos pravila i iznimke u slučaju kojeg doživljaj štete prouzročen povredom zaštite podataka ima manju težinu od doživljaja štete i boli koji se povezuju s tjelesnom povredom?

4. Pod pretpostavkom da je šteta nastala, može li nacionalni sud, ako šteta nije ozbiljna, dodijeliti samo minimalnu naknadu štete koja se, s aspekta oštećenika ili općenito, može smatrati tek simboličnom?

5. Treba li za tumačenje naknade nematerijalne štete pri procjeni njezinih posljedica smatrati da krađa identiteta u smislu uvodne izjave 75. [OUZP‑a] postoji tek ako je počinitelj kaznenog djela stvarno preuzeo identitet ispitanika, dakle, ako se na bilo koji način predstavljao kao ispitanik, ili je za takvu krađu identiteta dovoljna već okolnost da počinitelji kaznenog djela raspolažu podacima na temelju kojih se može utvrditi identitet ispitanika?”

IV. Postupak pred Sudom

8. Predsjednik Suda je odlukom od 19. travnja 2022. spojio predmete C‑182/22 i C‑189/22 za potrebe provođenja pisanog i usmenog dijela postupka i donošenja presude.

9. Predsjednik Suda je 1. lipnja 2022. odbio zahtjev društva Scalable Capital za anonimizaciju predmetnog postupka u skladu s člankom 95. stavkom 2. Poslovnika Suda.

10. Osoba SO, društvo Scalable Capital, Irska i Europska komisija podnijeli su pisana očitovanja.

11. Prije nego što Sudu, na njegov zahtjev, predložim kako treba odgovoriti na peto pitanje, osvrnut ću se na prigovore koji su izneseni u pogledu dopuštenosti prethodnih pitanja.

V. Ocjena

A. Dopuštenost

12. Društvo Scalable Capital tvrdi da gubitak nadzora nad osobnim podacima ne dovodi do nematerijalne štete u smislu članka 82. stavka 1. OUZP‑a ako pojedinac nije zbog toga imao daljnje posljedice. Iz teksta, općeg sustava i svrhe članka 82. OUZP‑a ne može se izvesti pretpostavka da takav gubitak nadzora čini takvu štetu. Sud koji je uputio zahtjeve stoga je pogriješio pretpostavivši da su osobe JU i SO pretrpjele nematerijalnu štetu. Shodno tomu, zahtjevi za prethodnu odluku nisu relevantni za rješavanje sporova koji se vode pred sudom koji je te zahtjeve uputio te stoga nisu dopušteni.

13. Komisiji nije jasno na koji je način peto pitanje relevantno za sporove koji se vode pred sudom koji je uputio zahtjeve. Taj sud samo ističe da stranke različito tumače pravo te navodi da se „krađa identiteta događa samo kada se protupravno pribavljeni podaci koriste za oponašanje ispitanika”. Osim toga, u petom se pitanju od Suda ne traži da protumači ijednu konkretnu odredbu OUZP‑a.

14. Prema ustaljenoj sudskoj praksi Suda, pitanja nacionalnog suda u pogledu tumačenja prava Unije uživaju pretpostavku relevantnosti. Sud može odbiti odgovoriti na takva pitanja samo ako je očito da traženo tumačenje prava Unije nema nikakve veze s činjeničnim stanjem ili predmetom spora u glavnom postupku, ako je problem hipotetski ili ako Sud ne raspolaže činjeničnim i pravnim elementima potrebnima kako bi dao koristan odgovor na postavljena pitanja(5).

15. Prigovor društva Scalable Capital na dopuštenost svih prethodnih pitanja temelji se na njegovu tumačenju članka 82. OUZP‑a i prava na naknadu štete te na navodnom nepostojanju nematerijalne štete. Prethodna pitanja odnose se na pravo ispitanika na naknadu štete u skladu s člankom 82. OUZP‑a. Utvrđivanje postojanja štete nužan je preduvjet za ostvarivanje naknade štete(6). Shodno tomu, prigovor društva Scalable Capital na dopuštenost zahtjevâ za prethodnu odluku tiče se merituma pitanja koja ti zahtjevi otvaraju. Argumenti u pogledu merituma pitanja otvorenih u zahtjevu za prethodnu odluku po samoj svojoj prirodi ne mogu dovesti u pitanje dopuštenost tog zahtjeva(7).

16. Kada je riječ o Komisijinu prigovoru na dopuštenost petog pitanja, nije očito da to pitanje nema nikakve veze sa sporovima pred sudom koji je uputio zahtjeve ili da je hipotetsko. Pred sudom koji je uputio zahtjeve pokrenuti su postupci za naknadu štete u skladu s OUZP‑om. Stranke se ne slažu čini li krađa osobnih podataka krađu identiteta u smislu uvodne izjave 75. OUZP‑a ili je za postojanje krađe identiteta potrebno da je „počinitelj stvarno preuzeo ispitanikov identitet”(8). Iako je sud koji je uputio zahtjeve veoma kratko objasnio svoje peto pitanje, iz tih zahtjevâ proizlazi da je to pitanje povezano s ostalim četirima pitanjima, koja se odnose na pojam nematerijalne štete i pravo na naknadu štete u skladu s člankom 82. OUZP‑a.

17. S obzirom na navedeno, savjetujem da Sud odbije sve prigovore na dopuštenost pitanja koja je postavio Amtsgericht München (Općinski sud u Münchenu).

B. Meritum

1. Očitovanja stranaka

18. Osoba SO navodi da se u uvodnoj izjavi 85. OUZP‑a pravi jasna razlika između krađe identiteta i prijevare povezane s identitetom. Krađa identiteta podrazumijeva mogućnost počinitelja da zloupotrebljava identitet osobe s ciljem zavaravanja drugih osoba u pogledu tog identiteta. Prijevara povezana s identitetom može se počiniti nakon krađe identiteta. Iz toga proizlazi da za postojanje krađe identiteta nije potrebna stvarna zloupotreba identiteta osobe. Na temelju vrste i količine ukradenih podataka o kojima je riječ u ovim predmetima može se pretpostaviti da je došlo do krađe identiteta, što znači da postoji pravo na naknadu štete.

19. Društvo Scalable Capital tvrdi da je o krađi identiteta riječ kada osoba zloupotrebljava osobne podatke pojedinca s ciljem „oponašanja” identiteta tog pojedinca. Krađa određenih podataka može dovesti do krađe identiteta ili je olakšati, ali sama po sebi ne čini krađu identiteta. Sustavno tumačenje uvodne izjave 75. OUZP‑a ide u prilog tom pristupu jer ostali primjeri u toj odredbi navode na to da mogućnost korištenja određenih osobnih podataka ne čini krađu identiteta. Cilj članka 82. OUZP‑a jest osigurati naknadu štete pojedincima koji štetu stvarno pretrpe. Široko tumačenje pojma krađe identiteta protivi se tom cilju jer bi njegovo prihvaćanje omogućilo da se naknada štete potražuje na temelju apstraktne mogućnosti nastanka štete u budućnosti.

20. Irska navodi da krađa identiteta podrazumijeva okolnosti u kojima osoba stvarno preuzme identitet pojedinca čiji su podaci protupravno prisvojeni. Za postojanje krađe identiteta stoga nije dovoljno da osoba posjeduje podatke na temelju kojih se utvrđuje identitet pojedinca. U svakom slučaju, postojanje prava na naknadu nematerijalne štete u skladu s člankom 82. OUZP‑a treba ocjenjivati s obzirom na meritum svakog pojedinog slučaja.

21. Komisija ističe da krađa identiteta nije definirana u OUZP‑u. U uvodnim izjavama 75. i 85. OUZP‑a krađa identiteta navodi se kao primjer fizičke, materijalne ili nematerijalne štete koja može nastati zbog obrade osobnih podataka. Prema Komisijinu mišljenju, krađa identiteta koja se navodi u tim uvodnim izjavama jest nezakonito stjecanje podataka s ciljem „oponašanja [ispitanikova] identiteta”(9). Za dokazivanje krađe identiteta potrebno je, na temelju konkretnih radnji i pripremnih koraka, dokazati počiniteljevu namjeru da se predstavlja kao ispitanik. Budući da iz ustaljene sudske prakse proizlazi da šteta mora biti „stvarna i izvjesna”(10), obično posjedovanje podataka na temelju kojih se može utvrditi ispitanikov identitet, koje nije popraćeno predstavljanjem sebe kao ispitanika, ne čini krađu identiteta.

2. Analiza

22. Sud koji je uputio zahtjeve svojim petim pitanjem želi utvrditi čini li sama krađa ispitanikovih osjetljivih osobnih podataka(11) koju je počinio nepoznati počinitelj krađu identiteta, što dovodi do prava na naknadu štete, ili je o krađi identiteta riječ ako počinitelj stvarno preuzme ispitanikov identitet ili poduzme radnje s tim ciljem. To se pitanje postavlja u kontekstu utvrđenja da su nepoznati počinitelji ukrali određene osjetljive osobne podatke osoba JU i SO s aplikacije za trgovanje društva Scalable Capital. Iako se čini da nije došlo do daljnje (zlo)upotrebe tih podataka, u budućnosti je nije moguće isključiti jer identitet počinitelja nije poznat te su oni i dalje na slobodi.

23. Članak 82. OUZP‑a općenito(12) potvrđuje pravo na naknadu svakog ispitanika koji je pretrpio „materijalnu ili nematerijalnu štetu” zbog kršenja OUZP‑a i odgovornost za tu štetu raspodjeljuje između voditelja obrade i/ili izvršitelja obrade. U toj se odredbi ne utvrđuju ni konkretna priroda ni oblik takve štete. U OUZP‑u se ne upućuje na prava država članica za potrebe određivanja značenja i opsega pojma „nematerijalna šteta”(13). Taj pojam stoga treba smatrati autonomnim pojmom prava Unije i ujednačeno ga tumačiti u svim državama članicama(14).

24. Za dobivanje naknade štete u skladu s člankom 82. OUZP‑a potrebno je dokazati povredu OUZP‑a, „stvarno pretrpljenu štetu” i uzročnu vezu između te povrede i te štete(15). OUZP ne predviđa sustav objektivne odgovornosti(16). Kompenzacijska priroda uređenja uspostavljenog člankom 82. stavkom 1. OUZP‑a usto isključuje dodjelu kaznene naknade štete(17). Naknada štete mora biti cjelovita i djelotvorna, što znači da se mora „potpuno nadoknadi[ti] šteta koja je konkretno pretrpljena zbog povrede [OUZP‑a]”(18). Nematerijalna šteta nanesena ispitaniku ne mora imati određen stupanj ozbiljnosti(19). Iako ne postoji de minimis prag visine štete koja mora nastati da bi postojalo pravo na njezinu naknadu, moraju postojati jasni i precizni dokazi o tome da je ispitanik pretrpio takvu štetu. Potencijalna ili hipotetska šteta(20), ili obična uznemirenost osobe činjenicom da su joj osobni podaci ukradeni, nisu dovoljni.

25. U skladu s člankom 82. stavkom 3. OUZP‑a, voditelj obrade ili izvršitelj obrade izuzet je od odgovornosti za štetu „ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu”. Sud do sada nije imao priliku podrobno razmatrati članak 82. stavak 3. OUZP‑a. Jezično tumačenje te odredbe upućuje na to da su za isključenje primjene tog izuzeća dovoljni svaka nepažnja ili propust voditelja obrade ili izvršitelja obrade (koji su doprinijeli šteti). Osim toga, teret dokazivanja(21) koji ta odredba nameće voditeljima obrade ili izvršiteljima obrade može zahtijevati da oni primjenjuju stalne mjere namijenjene sprečavanju povreda osobnih podataka kako bi bili izuzeti od odgovornosti(22).

26. Ispitanik kojem su ukradeni osobni podaci ima pravo na naknadu nematerijalne štete u skladu s člankom 82. stavkom 1. OUZP‑a ako su ispunjena tri uvjeta predviđena presudom Österreichische Post(23). Prema uvodnoj izjavi 7. OUZP‑a, „[p]ojedinci bi trebali imati nadzor nad vlastitim osobnim podacima”. Situacija u kojoj su ispitanici „spriječeni u obavljanju nadzora nad svojim osobnim podacima”(24) ili u kojoj su pojedinci izgubili „[nadzor] nad osobnim podacima”(25) može izazvati nematerijalnu štetu. Sud koji je uputio zahtjeve pita u tom kontekstu čini li krađa osobnih podataka krađu identiteta.

27. U operativnim odredbama OUZP‑a krađa identiteta ne spominje se niti se definira. U uvodnim izjavama 75. i 85. OUZP‑a samo se spominje „krađa identiteta ili prijevara [povezana s identitetom]”. U uvodnoj izjavi 75. „krađa identiteta ili prijevara [povezana s identitetom]” navedena je kao jedan od netaksativnih primjera(26) rizika kojima pojedinci u ostvarivanju svojih prava i sloboda mogu biti izloženi zbog obrade njihovih osobnih podataka. Slično tomu, u uvodnoj izjavi 85. OUZP‑a „krađa identiteta ili prijevara [povezana s identitetom]” navodi se kao primjer(27) štete koju može prouzročiti neodgovarajuće i nepravodobno rješavanje povrede osobnih podataka(28).

28. U više se uvodnih izjava(29) i odredbi(30) drugih Unijinih propisa koriste izrazi kao što su „krađa identiteta”(31), „prijevara povezana s identitetom” i „krađa identiteta ili prijevara [povezana s identitetom]”(32). Nisam pronašao nijednu odredbu Unijina zakonodavstva u kojoj su ti izrazi definirani(33). Dakle, oni se u zakonodavstvu Unije koriste ilustrativno(34).

29. To pokazuje i analiza različitih jezičnih verzija tih izraza u uvodnim izjavama 75. i 85. OUZP‑a. Dok su njemačka (Identitätsdiebstahl oder -betrug), engleska (identity theft or fraud), estonska (identiteedivargust või -pettust), irska (goid aitheantais nó calaois aitheantais), litavska (būti pavogta ar suklastota tapatybė), nizozemska (identiteitsdiefstal of -fraude), poljska (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), rumunjska (furt sau fraudă a identității) i slovačka (krádeži totožnosti alebo podvodu) jezična verzija uvelike slične, druge jezične verzije u različitoj mjeri od toga odstupaju: češka (krádeži či zneužití identity), francuska (vol ou une usurpation d’identité), grčka (κατάχρηση ή υποκλοπή ταυτότητας), portugalska (usurpação ou roubo da identidade), talijanska (furto o usurpazione d’identità) i španjolska (usurpación de identidad o fraude). Različite jezične verzije relevantnih uvodnih izjava OUZP‑a upućuju na to da se izrazi krađa identiteta, prijevara povezana s identitetom, zloupotreba identiteta, protupravno korištenje identiteta, pronevjera identiteta i prisvajanje identiteta preklapaju te da ih je moguće smatrati, barem donekle, međusobno zamjenjivima. Iz toga proizlazi da se u uvodnim izjavama 75. i 85. OUZP‑a, protivno tvrdnjama osobe SO izloženima u točki 18. ovog mišljenja, ne pravi jasna razlika između krađe identiteta i prijevare povezane s identitetom.

30. U uvodnim izjavama 75. i 85. OUZP‑a pravi se razlika između primjera „gubitka nadzora” ili spriječenosti u „obavljanju nadzora” nad osobnim podacima i primjera „krađe identiteta ili prijevare [povezane s identitetom]”. Krađa osobnih podataka(35) stoga sama po sebi ne čini krađu identiteta iako može u budućnosti dovesti do (zlo)upotrebe tih podataka. Krađa identiteta zahtijeva dodatnu radnju ili korak čiji štetni učinci idu dalje od štetnih učinaka krađe osobnih podataka(36). Da bi bila riječ o krađi identiteta, osoba koja je ukrala ispitanikove podatke more te podatke (zlo)upotrijebiti ili poduzeti konkretne korake kako bi ih (zlo)upotrijebila u nezakonite svrhe bez ispitanikove privole(37). Takve radnje obično podrazumijevaju prijevaru ili neki drugi oblik obmane te se obično izvršavaju radi financijske ili druge koristi ili radi nanošenja štete ispitaniku ili s njime povezanim osobama(38).

31. Iz navedenog slijedi da krađa osobnih podataka, iako ne čini krađu identiteta, može izazvati nematerijalnu štetu i dovesti do prava na naknadu štete u skladu s člankom 82. stavkom 1. OUZP‑a(39). Nematerijalnu štetu lakše je dokazati ako se utvrdi da je ispitanik zbog krađe njegovih osobnih podataka bio žrtva krađe identiteta ili prijevare povezane s identitetom(40). Međutim, pravo na naknadu nematerijalne štete nastale zbog krađe osobnih podataka u skladu s člankom 82. stavkom 1. OUZP‑a ne ovisi o postojanju krađe identiteta ili prijevare povezane s identitetom(41). Postojanje nematerijalne štete i prava na naknadu štete u skladu s člankom 82. stavkom 1. OUZP‑a treba ispitati s obzirom na kontekst svakog pojedinog slučaja, vodeći računa o svim relevantnim okolnostima.

VI. Zaključak

32. S obzirom na prethodna razmatranja, predlažem da Sud na peto pitanje koje je uputio Amtsgericht München (Općinski sud u Münchenu, Njemačka) odgovori na sljedeći način:

Članak 82. stavak 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)

treba tumačiti na način da krađa ispitanikovih osjetljivih osobnih podataka koju počini nepoznati počinitelj može dovesti do prava na naknadu nematerijalne štete ako se dokaže povreda Opće uredbe o zaštiti podataka, stvarno pretrpljena šteta i uzročna veza između te štete i te povrede. Za dodjelu takve naknade štete nije potrebno da počinitelj preuzme ispitanikov identitet, a posjedovanje podataka na temelju kojih se može utvrditi ispitanikov identitet samo po sebi ne čini krađu identiteta.

1 Izvorni jezik: engleski

2 Sud koji je uputio zahtjeve nije naveo koja je točno, prema nacionalnom pravu, pravna kvalifikacija djela koja su počinili počinitelji. Pojam „krađa” je širok te može uključivati protupravno prisvajanje podataka od strane trećih osoba.

3 Uredba Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1. i ispravci SL 2018., L 127, str. 2. i SL 2021., L 74, str. 35.) (u daljnjem tekstu: OUZP)

4 U odlukama kojima su upućeni zahtjevi usto je navedeno da, „s obzirom na to da je investicijskim računom upravljao robotski savjetnik, iz tužiteljevih transakcija ne može se vidjeti njegova sklonost riziku”.

5 Vidjeti, u tom pogledu, presudu od 2. rujna 2021., OTP Jelzálogbank i dr. (C‑932/19, EU:C:2021:673, t. 26. i navedenu sudsku praksu).

6 Sud je članak 82. OUZP‑a protumačio na način da postojanje „štete” koja je „pretrpljena” čini jedan od triju uvjeta koji moraju biti ispunjeni kako bi se dobila naknada štete u skladu s tom odredbom. Povreda OUZP‑a ne dovodi, sama po sebi, do prava na naknadu štete. Presuda od 4. svibnja 2023., Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka) (C‑300/21, EU:C:2023:370, t. 32. i 42.) (u daljnjem tekstu: presuda Österreichische Post).

7 Vidjeti, po analogiji, presudu od 12. prosinca 2019., Slovenské elektrárne (C‑376/18, EU:C:2019:1068, t. 29.).

8 Vidjeti tekst petog pitanja suda koji je uputio zahtjeve.

9 Vidjeti Europski odbor za zaštitu podataka, Smjernice 01/2021 o primjerima obavješćivanja o povredi osobnih podataka – donesene 14. prosinca 2021. – verzija 2.0, dostupno na https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf (europa.eu) (u daljnjem tekstu: smjernice iz 2021.).

10 Presuda od 4. travnja 2017., Ombudsman/Staelen (C‑337/15 P, EU:C:2017:256, t. 91. do 95. i 127. do 131.)

11 Prema članku 4. točki 1. OUZP‑a, „osobni podaci” „znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi (‚ispitanik’); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca”.

12 Vidjeti uvodnu izjavu 146. OUZP‑a.

13 Sud nije definirao pojam „nematerijalna šteta” u kontekstu članka 82. OUZP‑a. Slažem se s nezavisnim odvjetnikom G. Pitruzzellom da puko nezadovoljstvo ili uznemirenost ispitanika činjenicom da su njegovi podaci „hakirani” nije dostatno. Ispitanik mora dokazati da je zbog bojazni da će njegovi podaci biti zloupotrijebljeni pretrpio „emocionalnu štetu”. Vidjeti mišljenje nezavisnog odvjetnika G. Pitruzzelle u predmetu Nacionalna agencija za prihodite (C‑340/21, EU:C:2023:353, t. 81. do 83.).

14 Presuda Österreichische Post, t. 30.

15 Vidjeti članak 82. stavak 2. OUZP‑a i presudu Österreichische Post, t. 32. i 50.

16 Presuda Österreichische Post, t. 33. i 34. Vidjeti također mišljenje nezavisnog odvjetnika G. Pitruzzelle u predmetu Nacionalna agencija za prihodite (C‑340/21, EU:C:2023:353, t. 61.).

17 Presuda Österreichische Post, t. 58. Vidjeti također mišljenje nezavisnog odvjetnika M. Camposa Sáncheza‑Bordone u predmetu Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka) (C‑300/21, EU:C:2022:756, t. 27. do 55.), i mišljenje nezavisnog odvjetnika G. Pitruzzelle u predmetu Nacionalna agencija za prihodite (C‑340/21, EU:C:2023:353, t.74.).

18 Presuda Österreichische Post, t. 58.

19 Presuda Österreichische Post, t. 31. do 33., 51. i 58.). Vidjeti također uvodnu izjavu 146. OUZP‑a. Vidjeti, nasuprot tomu, mišljenje nezavisnog odvjetnika M. Camposa Sáncheza‑Bordone u predmetu Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka) (C‑300/21, EU:C:2022:756, t. 105.), i mišljenje nezavisnog odvjetnika G. Pitruzzelle u predmetu Nacionalna agencija za prihodite (C‑340/21, EU:C:2023:353, t. 78.).

20 Vidjeti, u tom pogledu, presudu Österreichische Post, t. 37.

21 Čini se da je za primjenu tog izuzeća moguće da se od voditelja obrade ili izvršitelja obrade zahtijeva dokaz o negativnom.

22 Nezavisni odvjetnik G. Pitruzzella smatra da za izbjegavanje odgovornosti u skladu s člankom 82. OUZP‑a voditelji sustava javnih ili privatnih subjekata koji raspolažu velikom količinom osobnih podataka moraju primjenjivati odgovarajuće mjere osobito za sprečavanje napada izvana: vidjeti njegovo mišljenje u predmetu Nacionalna agencija za prihodite (C‑340/21, EU:C:2023:353, t. 65. do 67.). Takve proaktivne mjere mogu biti otegotne i skupe. Sâm članak 82. OUZP‑a nameće voditeljima obrade i izvršiteljima obrade veoma strogu obvezu dužne pažnje.

23 Vidjeti točke 32. i 50. te presude. Vidjeti također točku 24. i bilješku 6. ovog mišljenja.

24 Uvodna izjava 75. OUZP‑a

25 Uvodna izjava 85. OUZP‑a

26 To jasno proizlazi iz uporabe izraza „može”, „mogla” i „posebno” u toj uvodnoj izjavi.

27 To jasno proizlazi iz uporabe izraza „može” i „kao što su” u toj uvodnoj izjavi. Vidjeti, po analogiji, presudu od 22. prosinca 2008., Wallentin‑Hermann (C‑549/07, EU:C:2008:771, t. 22.).

28 U članku 4. točki 12. OUZP‑a „povreda osobnih podataka” definirana je kao „kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani”.

29 Uvodne izjave olakšavaju tumačenje i razumijevanje Unijina zakonodavstva upućujući na, među ostalim, njegove ciljeve i kontekst njegova usvajanja. One pomažu pri određivanju značenja dvosmislenih zakonodavnih odredbi. Uvodne izjave ne mogu se koristiti kako bi se odredba protumačila contra legem. Presuda od 19. studenoga 1998., Nilsson i dr. (C‑162/97, EU:C:1998:554, t. 54.)

30 Vidjeti, primjerice, članak 86. točku (e) Odluke 2013/490/EU Vijeća i Komisije od 22. srpnja 2013. o sklapanju Sporazuma o stabilizaciji i pridruživanju između Europskih zajednica i njihovih država članica, s jedne strane, i Republike Srbije, s druge strane (SL 2013., L 278, str. 14.), te članak 2. stavak 2. točku (b) i članke 21. i 25. Uredbe (EU) 2019/817 Europskog parlamenta i Vijeća od 20. svibnja 2019. o uspostavi okvira za interoperabilnost informacijskih sustava EU‑a u području granica i viza i izmjeni uredaba (EZ) br. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 i (EU) 2018/1861 Europskog parlamenta i Vijeća te odluka Vijeća 2004/512/EZ i 2008/633/PUP (SL 2019., L 135, str. 27. i ispravak SL 2020., L 10, str. 4.).

31 Uvodna izjava 14. Direktive 2013/40/EU Europskog parlamenta i Vijeća od 12. kolovoza 2013. o napadima na informacijske sustave i o zamjeni Okvirne odluke Vijeća 2005/222/PUP (SL 2013., L 218, str. 8.) predviđa da „[u]spostava učinkovitih mjera protiv krađe identiteta i drugih kaznenih djela povezanih s identitetom predstavlja još jedan važan element integriranog pristupa borbi protiv kibernetičkog kriminala”. U uvodnoj izjavi 31. Direktive (EU) 2019/713 Europskog parlamenta i Vijeća od 17. travnja 2019. o borbi protiv prijevara i krivotvorenja u vezi s bezgotovinskim sredstvima plaćanja i zamjeni Okvirne odluke Vijeća 2001/413/PUP (SL 2019., L 123, str. 18.) navedeno je da „[p]rijevare i krivotvorenje u vezi s bezgotovinskim sredstvima plaćanja mogu uzrokovati teške gospodarske i negospodarske posljedice za žrtve. Ako takva prijevara obuhvaća npr. krađu identiteta, posljedice su često teške zbog štete po ugled i poslovanje, narušavanja kreditnog rejtinga pojedinca i teških emocionalnih boli.” U skladu s uvodnom izjavom 33. te direktive, „[d]ržave članice trebale bi donijeti mjere za pomoć i potporu takvim žrtvama koje se temelje na mjerama propisanima tom direktivom, no izravnije odgovaraju na posebne potrebe žrtava prijevare u vezi s krađom identiteta”.

32 Izraz „krađa identiteta ili prijevara [povezana s identitetom]” koristi se, a da nije definiran, u uvodnim izjavama drugih Unijinih propisa. Vidjeti, primjerice, uvodnu izjavu 46. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL 2018., L 295, str. 39.), i uvodne izjave 51. i 61. Direktive (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL 2016., L 119, str. 89. i ispravak SL 2018., L 127, str. 14.).

33 Prilog II. Uredbi Komisije (EU) 2018/1798 оd 21. studenoga 2018. o provedbi Uredbe (EZ) br. 808/2004 Europskog parlamenta i Vijeća o statistici Zajednice o informacijskom društvu za referentnu godinu 2019. (SL 2018., L 296, str. 2.) sadržava nekoliko primjera krađe identiteta odnosno upućivanja na nju. Među njima je situacija u kojoj „netko krade osobne podatke i oponaša njihova vlasnika/njihovu vlasnicu, npr. kupnja u ime ispitanika”, navedena kao primjer „krađe identiteta na internetu”.

34 Vidjeti, nasuprot tomu, članak 226‑4-1 Codea pénal français (francuski Kazneni zakonik) (izmijenjen Loiom n°2020‑936 du 30 juillet 2020 (Zakon br. 2020‑936 od 30. srpnja 2020. – članak 19.)), koji propisuje: „Tko prisvoji identitet druge osobe ili upotrebljava bilo koji podatak, ili više njih, na temelju kojih se može utvrditi njezin identitet kako bi se uznemirilo nju ili druge odnosno povrijedilo njezinu čast ili ugled, kaznit će se kaznom zatvora od jedne godine i novčanom kaznom u iznosu od 15 000 eura. To se kažnjivo djelo kažnjava istim kaznama kada je počinjeno na javnoj internetskoj komunikacijskoj mreži. Ako je počinitelj navedenih djela žrtvin bračni drug, izvanbračni partner ili partner iz građanskog pakta o solidarnosti (pacte civil de solidarité), kaznit će se kaznom zatvora od dvije godine i novčanom kaznom od 30 000 eura.” U glavi 18. U. S. Codea (Zakonik SAD‑a) člankom 1028.A odjeljkom (a) stavkom 1. utvrđeno je savezno kazneno djelo teške krađe identiteta. U njemu je propisano da „tko kaznenim djelom navedenim u odjeljku (c) i u vezi s njime bez zakonitog dopuštenja svjesno prenese, posjeduje ili upotrijebi podatak na temelju kojeg se može utvrditi identitet druge osobe kaznit će se, uz kaznu zapriječenu za to kazneno djelo, kaznom zatvora od dvije godine”. Vidjeti također članak 1028. odjeljak (a) stavak 7. u glavi 18. Zakonika SAD‑a, u kojem je utvrđeno savezno kazneno djelo krađe identiteta.

35 I posljedični gubitak nadzora nad ukradenim osobnim podacima

36 Krađa identiteta zahtijeva da počinitelj lažno predstavlja ispitanika, primjerice tako da ga oponaša ili samog sebe prikazuje kao ispitanika.

37 Protivno navodima osobe SO izloženima u točki 18. ovog mišljenja, u nedostatku (zlo)upotrebe osobnih podataka ili poduzimanja konkretnih koraka s tim ciljem, na temelju vrste i opsega tih podataka ne može se pretpostaviti postojanje krađe identiteta.

38 Za primjere krađe identiteta vidjeti: Agencija Europske unije za kibersigurnost, Krađa identiteta, ENISA‑ino Izvješće o prijetnjama – od siječnja 2019. do travnja 2020., dostupno na https://www.enisa.europa.eu/publications/enisa‑threat‑landscape-2020-identity‑theft; odjeljak 7.1. smjernica iz 2021., dostupnih na https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf(europa.eu), i Europski odbor za zaštitu podataka, Smjernice 01/2022 o pravima ispitanika – Pravo na pristup – verzija 1.0 – donesene 18. siječnja 2022., t. 105., dostupne na https://edpb.europa.eu/system/files/2022‑01/edpb_guidelines_012022_right‑of‑access_0.pdf.

39 Ako su ispunjena tri uvjeta opisana u točki 24. ovog mišljenja.

40 Nezavisni odvjetnik M. Campos Sánchez‑Bordona u svojem je mišljenju u predmetu Österreichische Post (Nematerijalna šteta u vezi s obradom osobnih podataka) (C‑300/21, EU:C:2022:756, t. 98. i 99.) naveo da rizici ili štete navedeni u uvodnim izjavama 75. i 85. OUZP‑a mogu biti „znatni” ili „ozbiljni”. U praksi, postojanje krađe identiteta pomoći će pri utvrđivanju postojanja štete.

41 To proizlazi iz činjenice da se „krađa identiteta ili prijevara [povezana s identitetom]” u uvodnim izjavama 75. i 85. OUZP‑a spominje uz druge primjere rizika ili štete kao što su „diskriminacija”, „financijski gubitak” i „šteta za ugled”.