OPINIA RZECZNIKA GENERALNEGO
ANTHONY’EGO MICHAELA COLLINSA
przedstawiona w dniu 26 października 2023 r.(1)
Sprawy połączone C‑182/22 i C‑189/22
JU (C‑182/22)
SO (C‑189/22)
przeciwko
Scalable Capital GmbH
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Amtsgericht München (sąd rejonowy w Monachium, Niemcy)]
Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 82 ust. 1 – Prawo do odszkodowania za szkody spowodowane przetwarzaniem danych naruszającym to rozporządzenie – Szkoda niemajątkowa – Kradzież danych – Kradzież tożsamości lub oszustwo dotyczące tożsamości
I. Wprowadzenie
1. W dwóch w dużej mierze podobnych pozwach wniesionych przez JU przeciwko Scalable Capital GmbH (zwanemu dalej „Scalable Capital”) (sprawa C‑182/22) i przez SO przeciwko Scalable Capital (sprawa C‑189/22) powodowie domagają się odszkodowania za szkodę niemajątkową za ból i cierpienie, jakich mieli doznać, spowodowane tym, co sąd odsyłający opisuje jako kradzież(2) przez nieznane osoby trzecie ich danych osobowych przechowywanych w służącej do obrotu aktywami finansowymi aplikacji prowadzonej przez Scalable Capital. Jak dotąd osoby trzecie nie wykorzystały danych do popełnienia oszustwa ani w żadnym innym celu. Amtsgericht München (sąd rejonowy w Monachium, Niemcy) zwraca się do Trybunału o dokonanie wykładni pojęcia szkody niemajątkowej, o której mowa w art. 82 rozporządzenia (UE) 2016/679(3), oraz przesłanek udzielenia odszkodowania za taką szkodę. W szczególności sąd ten zwraca się z pytaniem, czy kradzież tych danych stanowi „kradzież tożsamości”, o której mowa w motywie 75 RODO.
II. Ramy prawne – Prawo Unii
2. Motyw 75 RODO ma następujące brzmienie:
„Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi […]”.
3. Zgodnie z motywem 85 RODO:
„Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne […]”.
4. Zgodnie z motywem 146 RODO:
„Za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego […]. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia […]. Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody […]”.
5. Artykuł 82 RODO, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, stanowi:
„1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.
3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
[…]”.
III. Postępowania główne i pytania prejudycjalne
6. JU i SO otworzyli rachunki inwestycyjne w służącej do obrotu aktywami finansowymi aplikacji prowadzonej przez Scalable Capital. W celu zapewnienia weryfikacji ich tożsamości każdy z nich zapisał w aplikacji swoje dane osobowe, w tym imię i nazwisko, datę urodzenia, adres pocztowy i adres e‑mail oraz kopię cyfrową swojego dowodu tożsamości(4). Bezsporne jest, że nieznani sprawcy dopuścili się kradzieży tych danych.
7. Amtsgericht München (sąd rejonowy w Monachium) uważa, że skradzione dane są stosunkowo wrażliwe, i stwierdza, że JU i SO mają prawo do odszkodowania na podstawie art. 82 RODO. Zważywszy, że wysokość odszkodowania, jakie ma zostać przyznane JU i SO, zależy od wykładni art. 82 RODO, sąd ten postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1. Czy art. 82 [RODO] należy interpretować w ten sposób, że roszczenie o odszkodowanie nie ma charakteru sankcji, zwłaszcza ogólnej lub szczególnej funkcji odstraszającej, także w kontekście określania jego wysokości, lecz roszczenie o odszkodowanie ma jedynie funkcję wyrównawczą i ewentualnie funkcję rekompensaty?
2.a. Czy przy określaniu wysokości roszczenia o odszkodowanie za szkody niemajątkowe należy przyjąć, że roszczenie o odszkodowanie pełni także funkcję indywidualnej rekompensaty – rozumianej tu jako pozostający w sferze prywatnej poszkodowanego interes polegający na postrzeganiu zachowania powodującego szkodę jako ukaranego, czy też roszczenie o odszkodowanie pełni jedynie funkcję wyrównawczą – rozumianą tu jako funkcja kompensacji doznanych naruszeń?
2.b.1. Przy założeniu, że roszczenie o odszkodowanie za szkodę niemajątkową pełni zarówno funkcję wyrównawczą, jak i rekompensaty: Czy przy określaniu jego wysokości należy przyjąć, że funkcja wyrównawcza ma pierwszeństwo strukturalne, a przynajmniej pierwszeństwo, które należy postrzegać jako relację reguła–wyjątek, przed funkcją rekompensaty? Czy oznacza to, że funkcja rekompensaty może być brana pod uwagę tylko w przypadku naruszenia umyślnego lub wynikającego z rażącego niedbalstwa?
2.b.2. Jeżeli roszczenie o odszkodowanie za szkody niemajątkowe nie pełni funkcji rekompensaty: Czy przy określaniu jego wysokości tylko umyślne lub wynikające z rażącego niedbalstwa naruszenia ochrony danych mają dodatkowe znaczenie dla oceny przyczynienia się do powstania szkody?
3. Czy dla rozumienia odszkodowania za szkody niemajątkowe przy określaniu jego wysokości należy przyjąć, że istnieje strukturalna hierarchia lub przynajmniej hierarchia oparta na zasadzie wyjątku od reguły, w której doznanie naruszenia wynikające z naruszenia danych ma mniejszą wagę niż doznanie naruszenia i bólu związane z uszkodzeniem ciała?
4. Czy sąd odsyłający może, przy założeniu wystąpienia szkody o ograniczonej dolegliwości, zasądzić odszkodowanie, które pod względem materialnym jest niewielkie i tym samym w pewnych okolicznościach może być postrzegane przez poszkodowanego lub generalnie jako jedynie symboliczne?
5. Czy dla rozumienia odszkodowania za szkody niemajątkowe przy ocenie jego skutków należy przyjąć, że kradzież tożsamości w rozumieniu motywu 75 [RODO] ma miejsce tylko wtedy, gdy sprawca rzeczywiście przybrał tożsamość osoby, której dane dotyczą, tj. podszył się pod nią w jakiejkolwiek formie, czy też kradzież tożsamości polega już na tym, że w międzyczasie sprawcy dysponują danymi, które umożliwiają identyfikację osoby, której dane dotyczą?”.
IV. Postępowanie przed Trybunałem
8. Postanowieniem z dnia 19 kwietnia 2022 r. prezes Trybunału Sprawiedliwości połączył sprawy C‑182/22 i C‑189/22 do celów pisemnego i ustnego etapu postępowania oraz wydania wyroku.
9. W dniu 1 czerwca 2022 r. prezes Trybunału oddalił wniosek o anonimizację niniejszego postępowania złożony przez Scalable Capital na podstawie art. 95 § 2 regulaminu postępowania przed Trybunałem Sprawiedliwości.
10. Uwagi na piśmie zostały przedstawione przez SO, Scalable Capital, Irlandię oraz Komisję Europejską.
11. Zanim w odpowiedzi na wniosek Trybunału zaproponuję odpowiedź na pytanie piąte, w pierwszej kolejności odniosę się do zastrzeżeń co do dopuszczalności pytań prejudycjalnych.
V. Ocena
A. W przedmiocie dopuszczalności
12. Zdaniem Scalable Capital sama utrata kontroli nad danymi osobowymi, bez dalszych konsekwencji dla osoby, której dane dotyczą, nie powoduje powstania szkody niemajątkowej w rozumieniu art. 82 ust. 1 RODO. Brzmienie, ogólna systematyka i cel art. 82 RODO nie dają podstawy do przyjęcia istnienia domniemania, że taka szkoda urzeczywistnia się w następstwie utraty kontroli nad danymi. Zdaniem Scalable Capital sąd odsyłający popełnił zatem błąd, zakładając, że JU i SO doznali szkody niemajątkowej. Wnioski o wydanie orzeczenia w trybie prejudycjalnym są wobec tego irrelewantne dla rozpoznania powództw przez sąd odsyłający i jako takie są niedopuszczalne.
13. Komisja uważa, że przydatność pytania piątego dla rozpoznania powództw przez sąd odsyłający nie jest oczywista. Sąd odsyłający odwołuje się jedynie do rozbieżności w interpretacji przepisów przez strony i wskazuje, że „kradzież tożsamości ma miejsce tylko wtedy, gdy nielegalnie zdobyte dane zostają wykorzystane do podszycia się pod tożsamość danej osoby”. Zdaniem Komisji pytanie piąte nie wymaga również od Trybunału interpretacji konkretnego przepisu RODO.
14. Zgodnie z utrwalonym orzecznictwem Trybunału pytania dotyczące wykładni prawa Unii, z którymi zwrócił się sąd krajowy, korzystają z domniemania posiadania znaczenia dla sprawy. Odmowa wydania przez Trybunał orzeczenia w przedmiocie takich pytań jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia prawa Unii, o którą wnioskowano, nie ma związku ze stanem faktycznym lub z przedmiotem postępowania głównego, gdy problem jest natury hipotetycznej lub gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego, które są niezbędne do udzielenia przydatnej odpowiedzi na dane pytanie(5).
15. Podniesione przez Scalable Capital zastrzeżenie co do dopuszczalności wszystkich pytań prejudycjalnych opiera się na dokonanej przez tę spółkę wykładni art. 82 RODO, prawie do odszkodowania oraz na podnoszonym braku wystąpienia szkody niemajątkowej. Pytania prejudycjalne dotyczą prawa osób, których dane dotyczą, do odszkodowania na podstawie art. 82 RODO. Stwierdzenie istnienia szkody jest niezbędną przesłanką uzyskania takiego odszkodowania(6). Podniesione przez Scalable Capital zastrzeżenie co do dopuszczalności wniosków o wydanie orzeczenia w trybie prejudycjalnym dotyczy zatem istoty poruszonych w nich kwestii. Ze względu na swój charakter argumenty dotyczące istoty kwestii poruszonych we wniosku o wydanie orzeczenia w trybie prejudycjalnym nie mogą wpływać na dopuszczalność tego wniosku(7).
16. Jeżeli chodzi o zastrzeżenie Komisji co do dopuszczalności pytania piątego, to nie jest oczywiste, że pytanie to nie ma żadnego związku z postępowaniami głównymi ani że jest ono natury hipotetycznej. Do sądu odsyłającego wniesiono powództwa o odszkodowanie na podstawie RODO. Strony nie są zgodne co do tego, czy sama kradzież danych osobowych stanowi kradzież tożsamości, o której mowa w motywie 75 RODO, czy też aby doszło do kradzieży tożsamości, „sprawca [musi] rzeczywiście przybra[ć] tożsamość osoby, której dane dotyczą”(8). Jakkolwiek zwięzłe są uwagi sądu odsyłającego w przedmiocie pytania piątego, wnioski o wydanie orzeczenia w trybie prejudycjalnym wskazują, że pytanie to jest związane z czterema pozostałymi pytaniami, które sąd ten zadał w przedmiocie pojęcia szkody niemajątkowej i prawa do odszkodowania na podstawie art. 82 RODO.
17. W związku z tym proponuję, aby Trybunał nie uwzględniał zastrzeżeń co do dopuszczalności pytań zadanych przez Amtsgericht München (sąd rejonowy w Monachium).
B. Co do istoty
1. Uwagi stron
18. Według SO motyw 85 RODO wprowadza jasne rozróżnienie między kradzieżą tożsamości a oszustwem dotyczącym tożsamości. Kradzież tożsamości zakłada, że sprawca może w niewłaściwy sposób wykorzystać tożsamość danej osoby poprzez wprowadzenie w błąd innych podmiotów co do tożsamości tej osoby. Oszustwo dotyczące tożsamości może zostać popełnione po uprzedniej kradzieży tożsamości. Wynika z tego, że do popełnienia kradzieży tożsamości nie jest wymagane rzeczywiste niewłaściwe wykorzystanie tożsamości osoby. Charakter i zakres skradzionych danych w niniejszej sprawie pozwalają domniemywać, że doszło do kradzieży tożsamości, co daje podstawę prawa do odszkodowania z tego tytułu.
19. Scalable Capital podnosi, że kradzież tożsamości ma miejsce, gdy sprawca w niewłaściwy sposób wykorzystuje dane osobowe konkretnej osoby w celu podszycia się pod tożsamość tej osoby. Kradzież określonych danych może prowadzić do kradzieży tożsamości lub ją ułatwić, ale sama w sobie nie stanowi kradzieży tożsamości. Wykładnia systemowa motywu 75 RODO przemawia za przyjęciem tego podejścia, jako że pozostałe przykłady z tego przepisu wskazują, że możliwość użycia określonych danych osobowych nie stanowi kradzieży tożsamości. Artykuł 82 RODO ma na celu naprawienie szkód rzeczywiście poniesionych przez jednostki. Wykładnia rozszerzająca pojęcia kradzieży tożsamości jest sprzeczna z tym celem, ponieważ dawałaby ona podstawę do opierania powództwa o odszkodowanie na abstrakcyjnej możliwości wystąpienia szkody w przyszłości.
20. Irlandia podnosi, że kradzież tożsamości dotyczy okoliczności, w których strona rzeczywiście przybiera tożsamość osoby, której dane zostały przez nią przywłaszczone. Aby doszło do kradzieży tożsamości, niewystarczające jest zatem posiadanie przez stronę danych identyfikacyjnych danej osoby. Odszkodowanie za szkodę niemajątkową na podstawie art. 82 RODO powinno być w każdym wypadku rozpatrywane na podstawie indywidualnych okoliczności sprawy.
21. Komisja wskazuje, że RODO nie zawiera definicji kradzieży tożsamości. W motywach 75 i 85 RODO wymieniono kradzież tożsamości jako przykład takiego przetwarzania danych osobowych, które może spowodować uszczerbek fizyczny lub szkodę majątkową lub niemajątkową. Zdaniem Komisji kradzież tożsamości, o której mowa w tych motywach, jest niezgodnym z prawem pozyskaniem danych w celu podszycia się pod tożsamość osoby, której dane dotyczą(9). W celu udowodnienia kradzieży tożsamości zamiar podawania się sprawcy za osobę, której dane dotyczą, musi zostać wykazany poprzez wskazanie konkretnych działań lub czynności przygotowawczych zmierzających do takiej kradzieży. Skoro bowiem z utrwalonego orzecznictwa wynika, że szkoda musi być „rzeczywista i pewna”(10), to samo posiadanie danych identyfikacyjnych danej osoby, bez podjęcia przez sprawcę jakichkolwiek kroków zmierzających do podawania się za tę osobę, nie stanowi kradzieży tożsamości.
2. Analiza
22. Poprzez pytanie piąte sąd odsyłający zmierza do ustalenia, czy samo skradzenie przez nieznanego sprawcę wrażliwych danych osobowych osoby, której dane dotyczą(11), stanowi kradzież tożsamości, stanowiąc tym samym podstawę do dochodzenia odszkodowania, czy też aby doszło do kradzieży tożsamości, sprawca musi rzeczywiście przybrać tożsamość osoby, której dane dotyczą, lub podjąć kroki w tym celu. Pytanie to zostało zadane w kontekście tego, że doszło do stwierdzenia dokonania przez nieznanych sprawców kradzieży określonych wrażliwych danych osobowych JU i SO ze służącej do obrotu aktywami finansowymi aplikacji prowadzonej przez Scalable Capital. Chociaż wydaje się, że nie doszło do dalszego (niewłaściwego) wykorzystania danych, to z racji tego, że tożsamość sprawców pozostaje nieznana i nie zostali oni zatrzymani, nie można wykluczyć takiego (niewłaściwego) wykorzystania w przyszłości.
23. Artykuł 82 RODO potwierdza w sposób ogólny(12) prawo do odszkodowania przysługujące każdej osobie, której dane dotyczą, a która poniosła „szkodę majątkową lub niemajątkową” w wyniku naruszenia RODO, i rozdziela odpowiedzialność administratora(-ów) od odpowiedzialności podmiotu(-ów) przetwarzającego(-ych). Przepis ten nie wskazuje ani konkretnego charakteru, ani formy takiej szkody. RODO nie odsyła do ustawodawstwa państw członkowskich w celu zdefiniowania znaczenia i zakresu pojęcia „szkody niemajątkowej”(13). Pojęcie to należy zatem traktować jako autonomiczne pojęcie prawa Unii i interpretować je w sposób jednolity we wszystkich państwach członkowskich(14).
24. Odszkodowanie na podstawie art. 82 RODO jest należne po udowodnieniu naruszenia RODO, „poniesienia rzeczywistej szkody” oraz związku przyczynowego między tym naruszeniem i tą szkodą(15). RODO nie przewiduje systemu odpowiedzialności obiektywnej(16). Kompensacyjny charakter systemu, który wprowadza art. 82 ust. 1 RODO, wyklucza także zasądzenie odszkodowania o charakterze karnym(17). Odszkodowanie to musi być pełne i skuteczne, tak aby pozwalało na „pełną kompensację szkody poniesionej konkretnie w wyniku naruszenia [RODO]”(18). Szkoda niemajątkowa poniesiona przez osobę, której dane dotyczą, nie musi osiągnąć określonego stopnia wagi(19). Jakkolwiek nie ma minimalnego progu w odniesieniu do wagi szkody niemajątkowej, musi zostać jasno i dokładnie wykazane, że osoba, której dane dotyczą, taką szkodę poniosła. Szkoda potencjalna lub hipotetyczna(20) czy też zwykły niepokój związany z kradzieżą danych osobowych są niewystarczające.
25. Artykuł 82 ust. 3 RODO zwalnia administratora lub podmiot przetwarzający z odpowiedzialności, „jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody”. Trybunał nie miał jeszcze okazji szczegółowo zbadać art. 82 ust. 3 RODO. Wykładnia literalna tego przepisu wydaje się sugerować, że każde (mające charakter przyczynienia się) zaniedbanie lub uchybienie ze strony administratora lub podmiotu przetwarzającego wystarczy do wyłączenia możliwości zastosowania zwolnienia. Ponadto ciężar dowodu(21), który przepis ten nakłada na administratora(-ów) lub podmiot(-y) przetwarzający(-e) dążące(-ych) do zwolnienia ich z odpowiedzialności, może wymagać wdrożenia stałych środków mających na celu zapobieganie naruszeniom ochrony danych(22).
26. Kradzież danych osobowych osoby, której dane dotyczą, stanowi podstawę prawa do odszkodowania za szkodę niemajątkową na mocy art. 82 ust. 1 RODO, o ile spełnione są trzy przesłanki określone w wyroku w sprawie Österreichische Post(23). Zgodnie z motywem 7 RODO „[o]soby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi”. Sytuacja, w której osoby, których dane dotyczą, zostają „pozbawione […] możliwości sprawowania kontroli nad swoimi danymi osobowymi”(24) lub w której zachodzi utrata przez nie „kontroli nad własnymi danymi osobowymi”(25), może prowadzić do powstania szkody niemajątkowej. W tym właśnie kontekście sąd odsyłający zwraca się z pytaniem, czy kradzież danych osobowych stanowi kradzież tożsamości.
27. Przepisy części normatywnej RODO nie definiują ani nie odwołują się do pojęcia kradzieży tożsamości. Motywy 75 i 85 RODO jedynie odwołują się do „kradzieży tożsamości lub oszustwa dotyczącego tożsamości”. Katalog otwarty(26) z motywu 75 RODO wymienia „kradzież tożsamości lub oszustwo dotyczące tożsamości” jako przykładowe zagrożenie dla korzystania przez osoby fizyczne z przysługujących im praw lub wolności wynikające z przetwarzania ich danych osobowych. Motyw 85 RODO w podobny sposób odnosi się do „kradzieży lub sfałszowania tożsamości” jako przykładu(27) szkody wynikającej z braku odpowiedniej i szybkiej reakcji na naruszenie ochrony danych osobowych(28).
28. Szereg motywów(29) i przepisów(30) innych aktów prawnych Unii odnosi się do pojęć takich jak „kradzież tożsamości”(31), „oszustwo dotyczące tożsamości” czy „kradzież tożsamości lub oszustwo dotyczące tożsamości”(32). Nie znalazłem żadnego przepisu w prawie Unii, który definiowałby te pojęcia(33). Prawodawca Unii odwołuje się zatem do tych pojęć wyłącznie w celach ilustracyjnych(34).
29. Wynika to też jednoznacznie z analizy poszczególnych wersji językowych tych pojęć w motywach 75 i 85 RODO. Podczas gdy wersje językowe niemiecka (Identitätsdiebstahl oder -betrug), angielska (identity theft or fraud), estońska (identiteedivargust või -pettust), irlandzka (goid aitheantais nó calaois aitheantais), litewska (būti pavogta ar suklastota tapatybė), niderlandzka (identiteitsdiefstal of ‑fraude), polska (kradzież tożsamości lub oszustwo dotyczące tożsamości), rumuńska (furt sau fraudă a identității) i słowacka (krádeži totožnosti alebo podvodu) są w dużej mierze podobne, inne wersje językowe różnią się od nich bardziej lub mniej: czeska (krádeži či zneužití identité), francuska (vol ou une usurpation d’identité), grecka (κατάχρηση ή υποκλοπή ταυτότητας), portugalska (usurpação ou roubo da identidade), włoska (furto o usurpazione d’identità) i hiszpańska (usurpación de identidad o fraude). Różne wersje językowe odpowiednich motywów RODO wskazują, że terminy „kradzież tożsamości”, „oszustwo dotyczące tożsamości”, „nadużycie tożsamości”, „niewłaściwe wykorzystanie tożsamości”, „przywłaszczenie tożsamości” i „uzurpacja tożsamości” pokrywają się i można je uznać, przynajmniej w pewnym stopniu, za zamienne. Oznacza to, że motywy 75 i 85 RODO nie wprowadzają wyraźnego rozróżnienia między kradzieżą tożsamości a oszustwem dotyczącym tożsamości, wbrew twierdzeniom SO przedstawionym w pkt 18 niniejszej opinii.
30. Motywy 75 i 85 RODO odróżniają przykład „utraty kontroli” lub bycia pozbawionym możliwości „sprawowania kontroli” nad danymi osobowymi od „kradzieży tożsamości lub oszustwa dotyczącego tożsamości”. W konsekwencji sama kradzież danych osobowych(35) nie stanowi kradzieży tożsamości, nawet jeżeli może prowadzić do przyszłego (niewłaściwego) wykorzystania tych danych. Kradzież tożsamości wymaga dodatkowego działania lub kroku mającego szkodliwe skutki dla osoby, której dane dotyczą, które to skutki wykraczają poza kradzież danych osobowych(36). Osoba, która kradnie dane osobowe osoby, której dane dotyczą, musi bez zgody tej osoby (niewłaściwie) je wykorzystać lub podjąć konkretne kroki w celu ich (niewłaściwego) wykorzystania do celów niezgodnych z prawem(37). Takie działanie zazwyczaj wiąże się z oszustwem lub inną formą wprowadzenia w błąd i co do zasady jest dokonywane w celu osiągnięcia finansowej lub innej korzyści albo w celu zaszkodzenia osobie, której dane dotyczą, lub jej otoczeniu(38).
31. Z powyższego wynika, że o ile kradzież danych osobowych nie stanowi kradzieży tożsamości lub oszustwa dotyczącego tożsamości, to kradzież ta może prowadzić do powstania szkody niemajątkowej i prawa do odszkodowania na podstawie art. 82 ust. 1 RODO(39). Udowodnienie szkody niemajątkowej może być łatwiejsze w przypadku, gdy ustalono, że osoba, której dane dotyczą, padła ofiarą kradzieży tożsamości lub oszustwa dotyczącego tożsamości w następstwie kradzieży jej danych osobowych(40). Prawo do odszkodowania za szkodę niemajątkową na podstawie art. 82 ust. 1 RODO z tytułu kradzieży danych osobowych nie zależy jednak od zaistnienia kradzieży tożsamości lub oszustwa dotyczącego tożsamości(41). Szkoda niemajątkowa i prawo do odszkodowania na podstawie art. 82 ust. 1 RODO powinny być w każdym wypadku oceniane indywidualnie, z uwzględnieniem wszystkich istotnych okoliczności.
VI. Wnioski
32. W świetle powyższych rozważań proponuję, aby na piąte pytanie prejudycjalne przedłożone przez Amtsgericht München (sąd rejonowy w Monachium, Niemcy) Trybunał odpowiedział w następujący sposób:
Artykuł 82 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)
należy interpretować w ten sposób, że dokonanie przez nieznanego sprawcę kradzieży wrażliwych danych osobowych osoby, której dane dotyczą, może stanowić podstawę prawa do odszkodowania za szkodę niemajątkową pod warunkiem udowodnienia naruszenia ogólnego rozporządzenia o ochronie danych, poniesienia rzeczywistej szkody oraz istnienia związku przyczynowego między szkodą a naruszeniem. Przyznanie takiego odszkodowania nie wymaga, aby sprawca przybrał tożsamość osoby, której dane dotyczą, ale też samo w sobie posiadanie danych identyfikujących osobę, której dane dotyczą, nie stanowi kradzieży tożsamości.