CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:820

Προσωρινό κείμενο

ΠΡΟΤΑΣΕΙΣ ΤΟΥ ΓΕΝΙΚΟΥ ΕΙΣΑΓΓΕΛΕΑ

MICHAEL ANTHONY COLLINS

της 26ης Οκτωβρίου 2023 (1)

Συνεκδικαζόμενες υποθέσεις C‑182/22 και C‑189/22

JU (C‑182/22)

SO (C‑189/22)

κατά

Scalable Capital GmbH

[αίτηση του Amtsgericht München (ειρηνοδικείου Μονάχου, Γερμανία)
για την έκδοση προδικαστικής αποφάσεως]

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 82, παράγραφος 1 – Δικαίωμα αποζημίωσης λόγω βλάβης προκληθείσας από επεξεργασία δεδομένων που παραβιάζει τον εν λόγω κανονισμό – Μη υλική ζημία – Υποκλοπή δεδομένων – Κατάχρηση ή υποκλοπή ταυτότητας»

I. Εισαγωγή

1. Στο πλαίσιο δύο πολύ παρεμφερών αγωγών που ασκήθηκαν από τους JU (υπόθεση C‑182/22) και SO (υπόθεση C‑189/22) κατά της Scalable Capital GmbH (στο εξής: Scalable Capital), οι ενάγοντες ζητούν να τους επιδικαστεί χρηματική ικανοποίηση λόγω της μη υλικής ζημίας που ισχυρίζονται ότι υπέστησαν συνεπεία της, καλούμενης από το αιτούν δικαστήριο, υποκλοπής (2) από άγνωστους δράστες των δεδομένων τους προσωπικού χαρακτήρα, τα οποία ήταν αποθηκευμένα στην ηλεκτρονική εφαρμογή χρηματιστηριακών συναλλαγών που διαχειρίζεται η Scalable Capital. Μέχρι σήμερα, οι δράστες δεν έχουν κάνει χρήση των εν λόγω δεδομένων για δόλιους ή άλλους σκοπούς. Το Amtsgericht München (ειρηνοδικείο Μονάχου, Γερμανία) ζητεί από το Δικαστήριο διευκρινίσεις ως προς την ερμηνεία της έννοιας της μη υλικής ζημίας που προβλέπεται από το άρθρο 82 του κανονισμού (ΕΕ) 2016/679 (3), καθώς και τις προϋποθέσεις υπό τις οποίες είναι δυνατή η επιδίκαση χρηματικής ικανοποίησης για τέτοιου είδους ζημία. Ειδικότερα, το αιτούν δικαστήριο διερωτάται αν η υποκλοπή των δεδομένων συνιστά «κατάχρηση ταυτότητας», για την οποία γίνεται λόγος στην αιτιολογική σκέψη 75 του ΓΚΠΔ.

II. Νομικό πλαίσιο – Το δίκαιο της Ένωσης

2. Η αιτιολογική σκέψη 75 του ΓΚΠΔ αναφέρει τα εξής:

«Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ποικίλης πιθανότητας και σοβαρότητας, είναι δυνατόν να προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη, ιδίως όταν η επεξεργασία μπορεί να οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, βλάβη φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο, παράνομη άρση της ψευδωνυμοποίησης, ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα· όταν τα υποκείμενα των δεδομένων θα μπορούσαν να στερηθούν των δικαιωμάτων και ελευθεριών τους ή να εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα· […]».

3. Η αιτιολογική σκέψη 85 του ΓΚΠΔ αναφέρει τα εξής:

«Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο. […]»

4. Η αιτιολογική σκέψη 146 του ΓΚΠΔ αναφέρει τα εξής:

«Κάθε ζημία την οποία υφίσταται ένα πρόσωπο ως αποτέλεσμα επεξεργασίας κατά παράβαση του παρόντα κανονισμού θα πρέπει να αποτελεί αντικείμενο αποζημίωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία. […] Η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι του παρόντος κανονισμού. […] Τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν. […]»

5. Το άρθρο 82 του ΓΚΠΔ, το οποίο επιγράφεται «Δικαίωμα αποζημίωσης και ευθύνη», προβλέπει τα εξής:

«1. Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.

2. Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. Ο εκτελών την επεξεργασία ευθύνεται για τη ζημία που προκάλεσε η επεξεργασία μόνο εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του παρόντος κανονισμού που αφορούν ειδικότερα τους εκτελούντες την επεξεργασία ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας.

3. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.

[…]»

III. Οι διαφορές των κύριων δικών και τα προδικαστικά ερωτήματα

6. Οι JU και SO έχουν ανοίξει επενδυτικούς λογαριασμούς στην ηλεκτρονική εφαρμογή χρηματιστηριακών συναλλαγών την οποία διαχειρίζεται η Scalable Capital. Προς επαλήθευση των ταυτοτήτων τους, έκαστος εξ αυτών καταχώρισε διάφορα δεδομένα προσωπικού χαρακτήρα στην εφαρμογή, μεταξύ των οποίων τα ονόματα, τις ημερομηνίες γέννησης, τις διευθύνσεις και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, καθώς και ψηφιακά αντίγραφα των δελτίων ταυτότητάς τους (4). Δεν αμφισβητείται ότι άγνωστοι δράστες υπέκλεψαν τα εν λόγω δεδομένα.

7. Το Amtsgericht München (ειρηνοδικείο Μονάχου) φρονεί ότι ο ευαίσθητος χαρακτήρας των υποκλαπέντων δεδομένων δεν είναι αμελητέος και κρίνει ότι οι JU και SO έχουν δικαίωμα χρηματικής ικανοποίησης δυνάμει του άρθρου 82 του ΓΚΠΔ. Λαμβανομένου υπόψη ότι το ύψος της αποζημίωσης που πρέπει να καταβληθεί στους JU και SO εξαρτάται από την ερμηνεία του άρθρου 82 του ΓΚΠΔ, το εν λόγω δικαστήριο αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

«1. Έχει το άρθρο 82 του [ΓΚΠΔ] την έννοια ότι η αξίωση για αποζημίωση, ακόμη και στο πλαίσιο της επιμέτρησης του ύψους της, δεν έχει τον χαρακτήρα κυρώσεως, ιδίως δεν επιτελεί λειτουργία γενικής ή ειδικής αποτροπής, αλλά ότι η αξίωση για αποζημίωση έχει μόνον αντισταθμιστική λειτουργία και, υπό ορισμένες συνθήκες, λειτουργία παροχής ικανοποίησης στον ζημιωθέντα;

2.α. Πρέπει, όσον αφορά την επιμέτρηση της χρηματικής ικανοποίησης για μη υλική ζημία, να θεωρηθεί ότι η αξίωση για αποζημίωση έχει επίσης λειτουργία παροχής ικανοποίησης σε ατομικό επίπεδο, νοουμένης εν προκειμένω υπό την έννοια του απτομένου της ιδιωτικής σφαίρας συμφέροντος του ζημιωθέντος να δει ότι τιμωρείται η ζημιογόνος συμπεριφορά, ή μήπως η αξίωση για αποζημίωση επιτελεί μόνον αντισταθμιστική λειτουργία, νοούμενη εν προκειμένω υπό την έννοια της λειτουργίας που αποσκοπεί να αντισταθμίσει τις βλάβες που προκλήθηκαν;

2.β.1. Σε περίπτωση που γίνει δεκτό ότι η χρηματική ικανοποίηση για μη υλική ζημία επιτελεί συγχρόνως αντισταθμιστική λειτουργία και λειτουργία παροχής ικανοποίησης στον ζημιωθέντα: Πρέπει, κατά την επιμέτρηση της χρηματικής ικανοποίησης, να θεωρηθεί ότι η αντισταθμιστική λειτουργία υπερισχύει, από απόψεως δομής, της λειτουργίας παροχής ικανοποίησης στον ζημιωθέντα ή, τουλάχιστον, ότι υπερισχύει υπό την έννοια της υπάρξεως μεταξύ των δύο λειτουργιών σχέσεως κανόνα-εξαιρέσεως; Μήπως αυτό σημαίνει ότι η λειτουργία παροχής ικανοποίησης στον ζημιωθέντα λαμβάνεται υπόψη μόνο σε περίπτωση παραβιάσεων που διαπράττονται από δόλο ή βαριά αμέλεια;

2.β.2. Σε περίπτωση που η χρηματική ικανοποίηση για μη υλική ζημία δεν επιτελεί λειτουργία παροχής ικανοποίησης στον ζημιωθέντα: Έχουν, κατά την επιμέτρηση της χρηματικής ικανοποίησης, μεγαλύτερη βαρύτητα, όσον αφορά την εκτίμηση των παραγόντων με αιτιώδη συμβολή, μόνον οι παραβιάσεις δεδομένων που διαπράττονται από δόλο ή βαριά αμέλεια;

3. Έχει η χρηματική ικανοποίηση για μη υλική ζημία την έννοια ότι κατά την επιμέτρησή της πρέπει να γίνει δεκτό ότι υφίσταται σχέση ιεράρχησης από απόψεως δομής ή, τουλάχιστον, σχέση ιεράρχησης με τη μορφή σχέσης κανόνα-εξαιρέσεως, στο πλαίσιο της οποίας η αίσθηση της βλάβης που προκαλείται από την παραβίαση δεδομένων είναι ήσσονος βαρύτητας σε σχέση με την αίσθηση της βλάβης και του πόνου που συνδέονται με τη σωματική βλάβη;

4. Σε περίπτωση που γίνει δεκτή η ύπαρξη ζημίας, έχει το εθνικό δικαστήριο τη δυνατότητα, λαμβανομένου υπόψη ότι η ζημία δεν είναι σοβαρή, να επιδικάσει αποζημίωση η οποία, από υλικής απόψεως, είναι πολύ μικρή και, επομένως, υπό ορισμένες συνθήκες, εκλαμβάνεται από τον ζημιωθέντα, ή γενικότερα, ως απλώς συμβολική;

5. Έχει η χρηματική ικανοποίηση για μη υλική ζημία την έννοια ότι κατά την εκτίμηση των συνεπειών της πρέπει να γίνει δεκτό ότι κατάχρηση ταυτότητας, κατά την έννοια της αιτιολογικής σκέψεως 75 του Γενικού Κανονισμού για την Προστασία Δεδομένων, υφίσταται μόνο, εάν ο δράστης έχει πράγματι οικειοποιηθεί την ταυτότητα του υποκειμένου των δεδομένων, δηλαδή έχει υποδυθεί, με οποιονδήποτε τρόπο, το υποκείμενο των δεδομένων, ή η κατάχρηση ταυτότητας έγκειται ήδη στο γεγονός ότι οι δράστες διαθέτουν, εν τω μεταξύ, δεδομένα που καθιστούν δυνατή την ταυτοποίηση του υποκειμένου των δεδομένων;»

IV. Η διαδικασία ενώπιον του Δικαστηρίου

8. Με απόφαση της 19ης Απριλίου 2022, ο Πρόεδρος του Δικαστηρίου της Ευρωπαϊκής Ένωσης διέταξε τη συνεκδίκαση των υποθέσεων C‑182/22 και C‑189/22 προς διευκόλυνση της γραπτής και της προφορικής διαδικασίας καθώς και προς έκδοση κοινής απόφασης.

9. Την 1η Ιουνίου 2022 ο Πρόεδρος του Δικαστηρίου απέρριψε το αίτημα που υπέβαλε η Scalable Capital δυνάμει του άρθρου 95, παράγραφος 2, του Κανονισμού Διαδικασίας του Δικαστηρίου, περί μη δημοσιοποίησης των ονομάτων των μετεχόντων στην παρούσα διαδικασία.

10. Ο SO, η Scalable Capital, η Ιρλανδία και η Ευρωπαϊκή Επιτροπή κατέθεσαν γραπτές παρατηρήσεις.

11. Θα εξετάσω αρχικώς τις ενστάσεις απαραδέκτου των προδικαστικών ερωτημάτων και ακολούθως θα προτείνω στο Δικαστήριο, κατόπιν σχετικού αιτήματός του, την απάντηση που θα πρέπει να δοθεί στο πέμπτο προδικαστικό ερώτημα.

V. Ανάλυση

Α. Επί του παραδεκτού

12. Κατά τη Scalable Capital, η απώλεια του ελέγχου επί των δεδομένων προσωπικού χαρακτήρα που δεν έχει περαιτέρω επιπτώσεις για τον ενδιαφερόμενο δεν συνεπάγεται μη υλική ζημία κατά την έννοια του άρθρου 82, παράγραφος 1, του ΓΚΠΔ. Το γράμμα, η όλη οικονομία και ο σκοπός του άρθρου 82 του ΓΚΠΔ δεν συνηγορούν υπέρ της υπάρξεως τεκμηρίου ότι επέρχεται τέτοιου είδους ζημία λόγω της απώλειας του ελέγχου. Ως εκ τούτου, κατά τη Scalable Capital, το αιτούν δικαστήριο υπέπεσε σε σφάλμα καθόσον έκρινε ότι οι JU και SO υπέστησαν μη υλική ζημία. Κατά συνέπεια, οι αιτήσεις προδικαστικής αποφάσεως ουδεμία επιρροή ασκούν στην επί λυση των διαφορών που εκκρεμούν ενώπιον του αιτούντος δικαστηρίου και, ως εκ τούτου, πρέπει να απορριφθούν ως απαράδεκτες.

13. Η Επιτροπή φρονεί ότι δεν είναι σαφές κατά πόσον το πέμπτο προδικαστικό ερώτημα είναι λυσιτελές για την επίλυση των ένδικων διαφορών που εκκρεμούν ενώπιον του αιτούντος δικαστηρίου. Το αιτούν δικαστήριο αναφέρεται απλώς στις διαφορετικές ερμηνείες του νόμου από τους διαδίκους και σημειώνει ότι «κατάχρηση ταυτότητας υφίσταται μόνο, όταν ένα πρόσωπο χρησιμοποιεί τα παρανόμως αποκτηθέντα δεδομένα προκειμένου να υποδυθεί το υποκείμενο των δεδομένων». Επιπλέον, με το πέμπτο προδικαστικό ερώτημα δεν ζητείται από το Δικαστήριο η ερμηνεία συγκεκριμένης διάταξης του ΓΚΠΔ.

14. Κατά πάγια νομολογία του Δικαστηρίου, τα υποβαλλόμενα από εθνικό δικαστήριο ερωτήματα που αφορούν την ερμηνεία του δικαίου της Ένωσης θεωρούνται κατά τεκμήριο λυσιτελή. Το Δικαστήριο μπορεί να αρνηθεί να απαντήσει μόνον αν προκύπτει ότι η ερμηνεία του δικαίου της Ένωσης την οποία ζητεί το εθνικό δικαστήριο δεν έχει καμία σχέση με το υποστατό ή με το αντικείμενο της διαφοράς της κύριας δίκης, αν το πρόβλημα είναι υποθετικής φύσεως ή ακόμη αν το Δικαστήριο δεν διαθέτει τα πραγματικά και νομικά στοιχεία που είναι αναγκαία προκειμένου να δώσει χρήσιμη απάντηση στο εν λόγω ερώτημα (5).

15. Η ένσταση απαραδέκτου που προβάλλει η Scalable Capital κατά του συνόλου των προδικαστικών ερωτημάτων στηρίζεται στη δική της ερμηνεία του άρθρου 82 του ΓΚΠΔ, του δικαιώματος αποζημίωσης και της προβαλλόμενης απουσίας μη υλικής ζημίας. Τα προδικαστικά ερωτήματα αφορούν το δικαίωμα χρηματικής ικανοποίησης των υποκειμένων των δεδομένων δυνάμει του άρθρου 82 του ΓΚΠΔ. Η απόδειξη ύπαρξης ζημίας συνιστά αναγκαία προϋπόθεση για τη θεμελίωση δικαιώματος αποζημίωσης (6). Επομένως, η ένσταση απαραδέκτου που προβάλλει η Scalable Capital κατά των προδικαστικών ερωτημάτων αφορά την ουσία των ζητημάτων που εγείρουν τα εν λόγω ερωτήματα. Ως εκ της φύσεώς τους, επιχειρήματα τα οποία αφορούν την ουσία των ζητημάτων που εγείρονται με την αίτηση προδικαστικής αποφάσεως δεν θίγουν το παραδεκτό της (7).

16. Όσον αφορά δε την ένσταση απαραδέκτου της Επιτροπής επί του πέμπτου προδικαστικού ερωτήματος, δεν είναι πρόδηλο ότι το συγκεκριμένο ερώτημα δεν σχετίζεται με τις αγωγές των κυρίων δικών ή ότι είναι υποθετικής φύσεως. Το αιτούν δικαστήριο έχει επιληφθεί αγωγών αποζημίωσης δυνάμει του ΓΚΠΔ. Οι διάδικοι διαφωνούν ως προς το αν η υποκλοπή δεδομένων προσωπικού χαρακτήρα συνιστά την κατάχρηση ταυτότητας στην οποία αναφέρεται η αιτιολογική σκέψη 75 του ΓΚΠΔ ή αν για να συντρέχει κατάχρηση ταυτότητας, πρέπει «ο δράστης [να] έχει πράγματι οικειοποιηθεί την ταυτότητα του ενδιαφερομένου» (8). Μολονότι οι παρατηρήσεις του αιτούντος δικαστηρίου επί του πέμπτου προδικαστικού ερωτήματος είναι συνοπτικές, οι διατάξεις περί παραπομπής υποδηλώνουν ότι το συγκεκριμένο ερώτημα είναι στενά συνδεδεμένο με τα υπόλοιπα τέσσερα ερωτήματα που θέτει το δικαστήριο αυτό σχετικά με την έννοια της μη υλικής ζημίας και το δικαίωμα χρηματικής ικανοποίησης δυνάμει του άρθρου 82 του ΓΚΠΔ.

17. Ως εκ τούτου, προτείνω στο Δικαστήριο να απορρίψει τις ενστάσεις απαραδέκτου των προδικαστικών ερωτημάτων που υπέβαλε το Amtsgericht München (ειρηνοδικείο Μονάχου).

Β. Επί της ουσίας

1. Οι παρατηρήσεις των μετεχόντων στη διαδικασία

18. Κατά τον SO, η αιτιολογική σκέψη 85 του ΓΚΠΔ διακρίνει σαφώς μεταξύ της κατάχρησης και της υποκλοπής ταυτότητας. Η κατάχρηση ταυτότητας προϋποθέτει ότι ο δράστης μπορεί να οικειοποιηθεί ψευδώς την ταυτότητα ενός προσώπου παραπλανώντας τρίτους ως προς την ταυτότητα αυτή. Η υποκλοπή ταυτότητας μπορεί να τελεστεί μετά την κατάχρηση ταυτότητας. Εξ αυτού συνάγεται ότι για την κατάχρηση ταυτότητας δεν απαιτείται η πραγματική κατάχρηση της ταυτότητας ενός προσώπου. Από τη φύση και την έκταση των δεδομένων που υποκλάπηκαν στη συγκεκριμένη περίπτωση τεκμαίρεται ότι τελέστηκε κατάχρηση ταυτότητας, η οποία θεμελιώνει δικαίωμα χρηματικής ικανοποίησης εξ αυτού του λόγου.

19. Η Scalable Capital υποστηρίζει ότι κατάχρηση ταυτότητας συντρέχει όταν ένα πρόσωπο χρησιμοποιεί ψευδώς τα δεδομένα προσωπικού χαρακτήρα άλλου προσώπου προκειμένου να σφετεριστεί την ταυτότητα του εν λόγω ιδιώτη. Η υποκλοπή ορισμένων δεδομένων ενδέχεται να έχει ως αποτέλεσμα ή να διευκολύνει την κατάχρηση ταυτότητας, αλλά δεν συνιστά, αυτή καθεαυτήν, κατάχρηση ταυτότητας. Η συστηματική ερμηνεία της αιτιολογικής σκέψης 75 του ΓΚΠΔ συνηγορεί υπέρ αυτής της προσέγγισης, καθόσον τα υπόλοιπα παραδείγματα που παρατίθενται στην εν λόγω διάταξη καταδεικνύουν ότι η δυνατότητα χρήσης ορισμένων δεδομένων προσωπικού χαρακτήρα δεν συνιστά κατάχρηση ταυτότητας. Σκοπός του άρθρου 82 του ΓΚΠΔ είναι η επιδίκαση χρηματικής ικανοποίησης στους ιδιώτες για βλάβη που έχουν πράγματι υποστεί. Η διασταλτική ερμηνεία της έννοιας της κατάχρησης ταυτότητας είναι αντίθετη προς τον σκοπό αυτόν, καθόσον θα καθιστούσε δυνατή τη θεμελίωση αγωγής αποζημίωσης με βάση τη γενική κι αόριστη πιθανότητα επέλευσης μελλοντικής βλάβη.

20. Η Ιρλανδία υποστηρίζει ότι η κατάχρηση ταυτότητας αφορά την περίπτωση κατά την οποία ο δράστης οικειοποιείται πράγματι την ταυτότητα του προσώπου τα δεδομένα του οποίου έχουν υπεξαιρεθεί. Επομένως, για να συντρέχει κατάχρηση ταυτότητας δεν αρκεί ο δράστης να έχει στην κατοχή του τα δεδομένα ταυτοποίησης ενός προσώπου. Εν πάση περιπτώσει, η προβλεπόμενη από το άρθρο 82 του ΓΚΠΔ αποζημίωση για μη υλική ζημία πρέπει να εξετάζεται σε συνάρτηση με την ουσία κάθε περίπτωσης ξεχωριστά.

21. Η Επιτροπή επισημαίνει ότι ο ΓΚΠΔ δεν ορίζει την κατάχρηση ταυτότητας. Οι αιτιολογικές σκέψεις 75 και 85 του ΓΚΠΔ αναφέρονται στην κατάχρηση ταυτότητας ως ένα από τα παραδείγματα επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που ενδέχεται να προκαλέσει σωματική, υλική ή μη υλική βλάβη. Κατά την Επιτροπή, η κατάχρηση ταυτότητας στην οποία αναφέρονται οι εν λόγω αιτιολογικές σκέψεις συνίσταται στην παράνομη απόκτηση των δεδομένων με σκοπό την παράνομη οικειοποίηση της ταυτότητας του ενδιαφερομένου (9). Προκειμένου να αποδειχθεί η κατάχρηση ταυτότητας, θα πρέπει να αποδεικνύεται η πρόθεση του δράστη να παρουσιάσει τον εαυτό του, μέσω τέλεσης συγκεκριμένων πράξεων ή προπαρασκευαστικών ενεργειών, ως το πρόσωπο του οποίου τα δεδομένα υποκλάπηκαν. Δεδομένου ότι, κατά πάγια νομολογία, η βλάβη πρέπει να είναι «πραγματική και βέβαιη» (10), απλώς και μόνον η κατοχή των δεδομένων ταυτοποίησης του ενδιαφερομένου, χωρίς την τέλεση οποιασδήποτε πράξεως προκειμένου ο δράστης να παρουσιαστεί ως το πρόσωπο αυτό, δεν συνιστά κατάχρηση ταυτότητας.

2. Ανάλυση

22. Με το πέμπτο προδικαστικό ερώτημα ζητείται να διευκρινιστεί αν απλώς και μόνον η υποκλοπή ευαίσθητων δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων (11) από άγνωστο δράστη συνιστά κατάχρηση ταυτότητας και, ως εκ τούτου, θεμελιώνει δικαίωμα χρηματικής ικανοποίησης ή αν για τη θεμελίωση του σχετικού δικαιώματος απαιτείται ο δράστης να έχει πράγματι οικειοποιηθεί την ταυτότητα του υποκειμένου των δεδομένων ή να έχει προβεί σε ενέργειες προς τον σκοπό αυτόν. Το συγκεκριμένο ζήτημα εγείρεται στο πλαίσιο της διαπιστώσεως ότι άγνωστοι δράστες υπέκλεψαν ορισμένα ευαίσθητα δεδομένα προσωπικού χαρακτήρα των JU και SO από την ηλεκτρονική εφαρμογή χρηματιστηριακών συναλλαγών της Scalable Capital. Μολονότι, κατά τα φαινόμενα, δεν έχει υπάρξει περαιτέρω (κατά)χρηση των εν λόγω δεδομένων, δεν μπορεί να αποκλειστεί το ενδεχόμενο μελλοντικής (κατά)χρησης, λαμβανομένου υπόψη ότι η ταυτότητα των δραστών παραμένει μέχρι στιγμής άγνωστη και οι ίδιοι δεν έχουν συλληφθεί.

23. Το άρθρο 82 του ΓΚΠΔ επιβεβαιώνει, σε γενικές γραμμές(12), το δικαίωμα κάθε υποκειμένου των δεδομένων που έχει υποστεί «υλική ή μη υλική ζημία» λόγω παράβασης του ΓΚΠΔ να αποζημιωθεί και επιμερίζει την ευθύνη μεταξύ του υπευθύνου επεξεργασίας και/ή του εκτελούντος την επεξεργασία. Η εν λόγω διάταξη δεν αποσαφηνίζει ούτε τον ιδιαίτερο χαρακτήρα ούτε τη μορφή της βλάβης. Ο ΓΚΠΔ δεν παραπέμπει στο δίκαιο των κρατών μελών όσον αφορά την έννοια και το περιεχόμενο του όρου «μη υλική ζημία» (13). Επομένως, ο όρος αυτός πρέπει να θεωρηθεί ως αυτοτελής έννοια του δικαίου της Ένωσης και να ερμηνεύεται ομοιόμορφα σε όλα τα κράτη μέλη (14).

24. Η προβλεπόμενη από το άρθρο 82 του ΓΚΠΔ αποζημίωση καταβάλλεται εφόσον αποδειχθεί παράβαση του ΓΚΠΔ, «πραγματική βλάβη» και αιτιώδης συνάφεια μεταξύ της εν λόγω παραβάσεως και της βλάβης (15). Ο ΓΚΠΔ δεν θεσπίζει κάποιο σύστημα αντικειμενικής ευθύνης (16). Ο αντισταθμιστικός χαρακτήρας του καθεστώτος που θεσπίζει το άρθρο 82, παράγραφος 1, του ΓΚΠΔ, αποκλείει επίσης την επιδίκαση τιμωρητικής αποζημίωσης (17). Η εν λόγω αποζημίωση πρέπει να είναι πλήρης και αποτελεσματική και με τον τρόπο αυτό να «παρέχει τη δυνατότητα πλήρους αποκαταστάσεως της συγκεκριμένης ζημίας που προκλήθηκε από την παράβαση του [ΓΚΠΔ]» (18). Η μη υλική ζημία την οποία υπέστη το υποκείμενο των δεδομένων δεν χρειάζεται να βαίνει πέραν ενός ορισμένου ορίου ως προς τη βαρύτητά της (19). Μολονότι δεν υπάρχει κατώτατο όριο όσον αφορά τον βαθμό της μη υλικής ζημίας, θα πρέπει να υπάρχουν σαφή και ακριβή αποδεικτικά στοιχεία ότι το υποκείμενο των δεδομένων έχει πράγματι υποστεί τη ζημία αυτή. Δυνητική ή υποθετική ζημία (20) ή απλώς ανησυχία που αφορά την υποκλοπή των δεδομένων προσωπικού χαρακτήρα ενός προσώπου, δεν αρκούν.

25. Το άρθρο 82, παράγραφος 3, του ΓΚΠΔ απαλλάσσει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία από την ευθύνη «εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας». Το Δικαστήριο δεν είχε μέχρι σήμερα την ευκαιρία να εξετάσει ενδελεχώς το άρθρο 82, παράγραφος 3, του ΓΚΠΔ. Η γραμματική ερμηνεία της εν λόγω διάταξης φαίνεται να υποδηλώνει ότι οποιαδήποτε ενδεχόμενη (συντρέχουσα) αμέλεια ή παράλειψη εκ μέρους του υπευθύνου ή εκτελούντος την επεξεργασία αρκεί για τον αποκλεισμό από την εφαρμογή της εξαίρεσης. Επιπλέον, το βάρος αποδείξεως (21) που επιβάλλει η συγκεκριμένη διάταξη στον υπεύθυνο ή εκτελούντα την επεξεργασία που επιδιώκει να επωφεληθεί της εξαίρεσης ενδέχεται να απαιτεί τη λήψη συνεχιζόμενων μέτρων με σκοπό την αποτροπή παραβιάσεων των δεδομένων (22).

26. Η υποκλοπή των δεδομένων προσωπικού χαρακτήρα ενός υποκειμένου των δεδομένων γεννά δικαίωμα αποζημίωσης για μη υλική ζημία δυνάμει του άρθρου 82, παράγραφος 1, του ΓΚΠΔ, εφόσον πληρούνται οι τρεις προϋποθέσεις που τίθενται με την απόφαση Österreichische Post (23). Κατά την αιτιολογική σκέψη 7 του ΓΚΠΔ, «[τ]α φυσικά πρόσωπα θα πρέπει να έχουν τον έλεγχο των δικών τους δεδομένων προσωπικού χαρακτήρα». Στην περίπτωση που τα υποκείμενα των δεδομένων «εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα» (24) ή τα φυσικά πρόσωπα χάνουν «τον έλεγχο επί των δεδομένων τους προσωπικού χαρακτήρα» (25), δύναται να θεμελιωθεί μη υλική ζημία. Σε αυτό ακριβώς το πλαίσιο, το αιτούν δικαστήριο διερωτάται αν η υποκλοπή δεδομένων προσωπικού χαρακτήρα συνιστά κατάχρηση ταυτότητας.

27. Οι λειτουργικές διατάξεις του ΓΚΠΔ ούτε αναφέρουν την κατάχρηση ταυτότητας ούτε παραθέτουν ορισμό της. Οι αιτιολογικές σκέψεις 75 και 85 του ΓΚΠΔ αναφέρονται απλώς στην «κατάχρηση ή υποκλοπή ταυτότητας». Η αιτιολογική σκέψη 75 αναφέρει την «κατάχρηση ή υποκλοπή ταυτότητας» ως ένα από τα παραδείγματα του μη εξαντλητικού καταλόγου (26) των κινδύνων που διατρέχουν τα φυσικά πρόσωπα κατά την άσκηση των δικαιωμάτων και ελευθεριών τους λόγω της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα. Ομοίως, η αιτιολογική σκέψη 85 αναφέρει την «κατάχρηση ή υποκλοπή ταυτότητας» ως παράδειγμα (27) βλάβης λόγω της αδυναμίας αντιμετώπισης της παραβίασης δεδομένων προσωπικού χαρακτήρα κατά τρόπο κατάλληλο και έγκαιρο (28).

28. Αρκετές αιτιολογικές σκέψεις (29) και διατάξεις (30) άλλων νομοθετημάτων της Ένωσης αναφέρονται σε όρους όπως «κλοπή ταυτότητας» (31), «υποκλοπή ταυτότητας» και «κατάχρηση ή υποκλοπή ταυτότητας» (32). Δεν κατάφερα να εντοπίσω οποιαδήποτε διάταξη της νομοθεσίας της Ένωσης η οποία να παραθέτει ορισμούς των εν λόγω όρων (33). Επομένως, ο νομοθέτης της Ένωσης χρησιμοποιεί τους όρους αυτούς ενδεικτικά (34).

29. Τούτο καθίσταται επίσης προφανές από την εξέταση των διαφόρων γλωσσικών αποδόσεων των εν λόγω όρων στις αιτιολογικές σκέψεις 75 και 85 του ΓΚΠΔ. Μολονότι οι γλωσσικές αποδόσεις στη γερμανική (Identitätsdiebstahl oder –betrug), την αγγλική (identity theft or fraud), την εσθονική (identiteedivargust või –pettust), την ιρλανδική (goid aitheantais nó calaois aitheantais), τη λιθουανική (būti pavogta ar suklastota tapatybė), την ολλανδική (identiteitsdiefstal of –fraude), την πολωνική (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), τη ρουμανική (furt sau fraudă a identității) και τη σλοβακική γλώσσα (krádeži totožnosti alebo podvodu) είναι σε μεγάλο βαθμό παρεμφερείς, οι εκδοχές τους στις υπόλοιπες γλώσσες διαφοροποιούνται ποικιλοτρόπως: τσεχικά (krádeži či zneužití identity), γαλλικά (vol ou une usurpation d’identité), ελληνικά (κατάχρηση ή υποκλοπή ταυτότητας), πορτογαλικά (usurpação ou roubo da identidade), ιταλικά (furto o usurpazione d’identità) και ισπανικά (usurpación de identidad o fraude). Οι διαφορετικές γλωσσικές εκδοχές των σχετικών αιτιολογικών σκέψεων του ΓΚΠΔ υποδηλώνουν ότι οι όροι κατάχρηση ταυτότητας, υποκλοπή ταυτότητας, κλοπή ταυτότητας, υπεξαίρεση ταυτότητας και αντιποίηση ταυτότητας αλληλεπικαλύπτονται και μπορεί να θεωρηθεί ότι, τουλάχιστον μέχρι ενός ορισμένου βαθμού, μπορούν να χρησιμοποιούνται εκ περιτροπής. Εξ αυτού προκύπτει ότι οι αιτιολογικές σκέψεις 75 και 85 του ΓΚΠΔ δεν κάνουν σαφή διάκριση μεταξύ της κατάχρησης και της υποκλοπής ταυτότητας, εν αντιθέσει προς τους ισχυρισμούς του SO, οι οποίοι παρατέθηκαν στο σημείο 18 των παρουσών προτάσεων.

30. Οι αιτιολογικές σκέψεις 75 και 85 του ΓΚΠΔ διακρίνουν μεταξύ του παραδείγματος της «απώλειας ελέγχου» ή της παρεμπόδισης από την «άσκηση ελέγχου» στα δεδομένα προσωπικού χαρακτήρα και του παραδείγματος της «κατάχρησης ή υποκλοπής ταυτότητας». Κατά συνέπεια, η υποκλοπή των δεδομένων προσωπικού χαρακτήρα (35) δεν συνιστά αφ’ εαυτής κατάχρηση ταυτότητας, ακόμη και αν η υποκλοπή αυτή ενδέχεται να συνεπάγεται τη μελλοντική (κατά)χρηση των εν λόγω δεδομένων. Η κατάχρηση ταυτότητας απαιτεί μια επιπλέον ενέργεια ή μέτρο με επιβλαβείς συνέπειες για το υποκείμενο των δεδομένων, η οποία βαίνει πέραν της υποκλοπής των δεδομένων προσωπικού χαρακτήρα (36). Το πρόσωπο που υποκλέπτει τα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων θα πρέπει να κάνει (κατά)χρηση αυτών ή να προβεί σε συγκεκριμένες ενέργειες προκειμένου να κάνει (κατά)χρηση των εν λόγω δεδομένων για παράνομους σκοπούς χωρίς τη συναίνεση του ως άνω προσώπου (37). Στις ενέργειες αυτές περιλαμβάνεται συνήθως η απάτη ή κάποιου άλλου είδους εξαπάτηση η οποία πραγματοποιείται, κατά κανόνα, με σκοπό την αποκόμιση χρηματοοικονομικού ή άλλου οφέλους ή προκειμένου να επιφέρει βλάβη στο υποκείμενο των δεδομένων ή τους οικείους του (38).

31. Εκ των ανωτέρω προκύπτει ότι, μολονότι η υποκλοπή των δεδομένων προσωπικού χαρακτήρα δεν συνιστά κατάχρηση ή υποκλοπή ταυτότητας, ενδέχεται να συνεπάγεται την επέλευση μη υλικής ζημίας και να θεμελιώνει δικαίωμα χρηματικής ικανοποίησης δυνάμει του άρθρου 82, παράγραφος 1, του ΓΚΠΔ (39). Η ύπαρξη μη υλικής ζημίας αποδεικνύεται ενδεχομένως ευχερέστερα στην περίπτωση που κριθεί ότι το υποκείμενο των δεδομένων υπήρξε θύμα κατάχρησης ή υποκλοπής ταυτότητας συνεπεία της υποκλοπής των δεδομένων προσωπικού χαρακτήρα (40). Ωστόσο, το δικαίωμα αποζημίωσης για μη υλική ζημία δυνάμει του άρθρου 82, παράγραφος 1, του ΓΚΠΔ, για την υποκλοπή των δεδομένων προσωπικού χαρακτήρα δεν εξαρτάται από την ύπαρξη κατάχρησης ή υποκλοπής ταυτότητας (41). Η μη υλική ζημία και το δικαίωμα αποζημίωσης δυνάμει του άρθρου 82, παράγραφος 1, του ΓΚΠΔ πρέπει να εξετάζονται κατά περίπτωση, λαμβανομένων υπόψη όλων των κρίσιμων περιστάσεων.

VI. Πρόταση

32. Κατόπιν των ανωτέρω παρατηρήσεων, προτείνω στο Δικαστήριο να απαντήσει στο πέμπτο προδικαστικό ερώτημα που του υποβλήθηκε από το Amtsgericht München (ειρηνοδικείο Μονάχου, Γερμανία) ως ακολούθως:

Το άρθρο 82, παράγραφος 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),

έχει την έννοια ότι:

η υποκλοπή από άγνωστο δράστη των ευαίσθητων δεδομένων προσωπικού χαρακτήρα ενός υποκειμένου δεδομένων γεννά δικαίωμα αποζημίωσης για μη υλική ζημία εφόσον αποδειχθεί παραβίαση του Γενικού Κανονισμού για την Προστασία Δεδομένων, πραγματική βλάβη και αιτιώδης συνάφεια μεταξύ της βλάβης και της εν λόγω παραβιάσεως. Για την επιδίκαση της ως άνω χρηματικής ικανοποίησης δεν απαιτείται ο δράστης να έχει οικειοποιηθεί την ταυτότητα του υποκειμένου των δεδομένων, ούτε συνιστά κατάχρηση ταυτότητας αυτή καθεαυτήν η κατοχή δεδομένων ταυτοποίησης του υποκειμένου των δεδομένων.

1 Γλώσσα του πρωτοτύπου: η αγγλική.

2 Το αιτούν δικαστήριο δεν αποδίδει ακριβή νομικό χαρακτηρισμό στις πράξεις των δραστών κατά την εθνική νομοθεσία. Ο όρος «υποκλοπή» έχει ευρεία έννοια και μπορεί να περιλαμβάνει την υπεξαίρεση των δεδομένων από τρίτους.

3 Κανονισμός του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1) (στο εξής: ΓΚΠΔ).

4 Η διάταξη περί παραπομπής αναφέρει επίσης ότι «[τ]ον λογαριασμό θεματοφυλακής των κινητών αξιών διαχειριζόταν ένας ρομποτικός σύμβουλος, ούτως ώστε από τις πραγματοποιούμενες συναλλαγές να μην προκύπτει το προφίλ του ενάγοντος όσον αφορά την ανάληψη κινδύνου εκ μέρους του».

5 Πρβλ. απόφαση της 2ας Σεπτεμβρίου 2021, OTP Jelzálogbank κ.λπ. (C‑932/19, EU:C:2021:673, σκέψη 26 και εκεί μνημονευόμενη νομολογία).

6 Το Δικαστήριο έχει ερμηνεύσει το άρθρο 82 του ΓΚΠΔ υπό την έννοια ότι η ύπαρξη «ζημίας» την οποία «υπέστη» ένα πρόσωπο συνιστά μία εκ των τριών προϋποθέσεων που πρέπει να πληρούνται προκειμένου να θεμελιωθεί δικαίωμα αποζημίωσης δυνάμει του εν λόγω κανονισμού. Απλώς και μόνον η παράβαση των διατάξεων του ΓΚΠΔ δεν αρκεί προς θεμελίωση δικαιώματος αποζημίωσης. Απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω παράνομης επεξεργασία δεδομένων) (C‑300/21, EU:C:2023:370, σκέψεις 32 και 42) (στο εξής: απόφαση Österreichische Post).

7 Βλ., κατ’ αναλογίαν, απόφαση της 12ης Δεκεμβρίου 2019, Slovenské elektrárne (C‑376/18, EU:C:2019:1068, σκέψη 29).

8 Βλ. διατύπωση του πέμπτου προδικαστικού ερωτήματος.

9 Βλ. Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, «Κατευθυντήριες γραμμές 01/2021 σχετικά με παραδείγματα γνωστοποίησης παραβιάσεων δεδομένων προσωπικού χαρακτήρα – Εκδόθηκαν στις 14 Δεκεμβρίου 2021 – Έκδοση 2.0», διαθέσιμο στην ηλεκτρονική διεύθυνση: https://edpb.europa.eu/system/files/2022-09/edpb_guidelines_012021_pdbnotification_adopted_el.pdf (στο εξής: κατευθυντήριες γραμμές του 2021).

10 Απόφαση της 4ης Απριλίου 2017, Ευρωπαίος Διαμεσολαβητής κατά Staelen (C‑337/15 P, EU:C:2017:256, σκέψεις 91 έως 95 και 127 έως 131).

11 Το άρθρο 4, σημείο 1, του ΓΚΠΔ προβλέπει ότι με τον όρο «δεδομένα προσωπικού χαρακτήρα» νοείται «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου».

12 Βλ. αιτιολογική σκέψη 146 του ΓΚΠΔ.

13 Το Δικαστήριο δεν έχει ορίσει την έννοια «μη υλική ζημία» στο πλαίσιο του άρθρου 82 του ΓΚΠΔ. Συμφωνώ με τον γενικό εισαγγελέα G. Pitruzzella ότι ο εκνευρισμός ή η δυσαρέσκεια που προκαλείται από το γεγονός ότι τα προσωπικά δεδομένα ενός προσώπου έχουν «υποκλαπεί» δεν αρκεί. Για την ευδοκίμηση της αγωγής του, το υποκείμενο των δεδομένων πρέπει να αποδείξει ότι ο φόβος της κατάχρησης των δεδομένων τού προκάλεσε «συναισθηματική βλάβη». Βλ. προτάσεις του γενικού εισαγγελέα G. Pitruzzella στην υπόθεση Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, σημεία 81 έως 83).

14 Απόφαση Österreichische Post (σκέψη 30).

15 Βλ. άρθρο 82, παράγραφος 2, του ΓΚΠΔ και απόφαση Österreichische Post (σκέψεις 32 και 50).

16 Απόφαση Österreichische Post (σκέψεις 33 και 34). Βλ., επίσης, προτάσεις του γενικού εισαγγελέα G. Pitruzzella στην υπόθεση Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, σημείο 61).

17 Απόφαση Österreichische Post (σκέψη 58). Βλ., επίσης, προτάσεις του γενικού εισαγγελέα M. Campos Sánchez-Bordona στην υπόθεση Österreichische Post (Μη υλική ζημία λόγω παράνομης επεξεργασίας δεδομένων) (C‑300/21, EU:C:2022:756, σημεία 27 έως 55) και του γενικού εισαγγελέα G. Pitruzzella στην υπόθεση Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, σημείο 74).

18 Απόφαση Österreichische Post (σκέψη 58).

19 Απόφαση Österreichische Post (σκέψεις 31 έως 33, 51 και 58). Βλ., επίσης, αιτιολογική σκέψη 146 του ΓΚΠΔ. Βλ., κατ’ αντιδιαστολή, προτάσεις του γενικού εισαγγελέα M. Campos Sánchez-Bordona στην υπόθεση Österreichische Post (Μη υλική ζημία λόγω παράνομης επεξεργασίας δεδομένων) (C‑300/21, EU:C:2022:756, σημείο 105) και του γενικού εισαγγελέα G. Pitruzzella στην υπόθεση Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, σημείο 78).

20 Πρβλ. απόφαση Österreichische Post (σκέψη 37).

21 Κατά τα φαινόμενα, για να εμπίπτουν στο πεδίο εφαρμογής της εξαίρεσης, οι υπεύθυνοι και/ή οι εκτελούντες την επεξεργασία ενδέχεται να πρέπει να αποδείξουν ένα αρνητικό γεγονός.

22 Ο γενικός εισαγγελέας G. Pitruzzella φρονεί ότι, προκειμένου να αποφύγουν την ευθύνη δυνάμει του άρθρου 82 του ΓΚΠΔ, οι υπεύθυνοι επεξεργασίας συστημάτων δημόσιων ή ιδιωτικών φορέων που κατέχουν μεγάλο όγκο δεδομένων προσωπικού χαρακτήρα πρέπει να θεσπίζουν κατάλληλα μέτρα για την αντιμετώπιση ιδίως εξωτερικών επιθέσεων: βλ. προτάσεις του G. Pitruzzella στην υπόθεση Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, σημεία 65 έως 67). Τα προληπτικά αυτά μέτρα ενδέχεται να είναι επαχθή και δαπανηρά. Το άρθρο 82 του ίδιου του ΓΚΠΔ επιβάλλει πολύ αυξημένη υποχρέωση μέριμνας στους υπευθύνους και τους εκτελούντες την επεξεργασία.

23 Βλ. σκέψεις 32 και 50 της συγκεκριμένης αποφάσεως. Βλ., επίσης, σημείο 24 και υποσημείωση 6 των παρουσών προτάσεων.

24 Αιτιολογική σκέψη 75 του ΓΚΠΔ.

25 Αιτιολογική σκέψη 85 του ΓΚΠΔ.

26 Τούτο καθίσταται σαφές από τη χρήση των όρων «είναι δυνατόν», «θα μπορούσε» και «ιδίως» στην εν λόγω αιτιολογική σκέψη.

27 Τούτο καθίσταται σαφές από τη χρήση των όρων «μπορεί» και «όπως» στη συγκεκριμένη αιτιολογική σκέψη. Βλ., κατ’ αναλογίαν, απόφαση της 22ας Δεκεμβρίου 2008, Wallentin‑Hermann (C‑549/07, EU:C:2008:771, σκέψη 22).

28 Το άρθρο 4, παράγραφος 12, του ΓΚΠΔ προβλέπει ότι ως «παραβίαση δεδομένων προσωπικού χαρακτήρα» νοείται «η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία».

29 Οι αιτιολογικές σκέψεις διευκολύνουν την ερμηνεία και την κατανόηση της νομοθεσίας της Ένωσης επισημαίνοντας, μεταξύ άλλων, τους επιδιωκόμενους σκοπούς και το πλαίσιο εντός του οποίου αυτή θεσπίστηκε. Συμβάλλουν στην αποσαφήνιση του νοήματος αμφιλεγόμενων νομοθετικών διατάξεων. Οι αιτιολογικές σκέψεις δεν μπορούν να χρησιμοποιηθούν για την contra legem ερμηνεία νομοθετικών διατάξεων. Βλ. απόφαση της 19ης Νοεμβρίου 1998, Nilsson κ.λπ. (C‑162/97, EU:C:1998:554, σκέψη 54).

30 Βλ., για παράδειγμα, άρθρο 86, στοιχείο εʹ, της απόφασης 2013/490/ΕΕ του Συμβουλίου και της Επιτροπής, της 22ας Ιουλίου 2013, για τη σύναψη της συμφωνίας σταθεροποίησης και σύνδεσης μεταξύ των Ευρωπαϊκών Κοινοτήτων και των κρατών μελών τους, αφενός, και της Δημοκρατίας της Σερβίας, αφετέρου (ΕΕ 2013, L 278, σ. 14), και άρθρο 2, παράγραφος 2, στοιχείο βʹ, , άρθρο 21 και , άρθρο 25 του κανονισμού (ΕΕ) του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 20ής Μαΐου 2019, για τη θέσπιση πλαισίου διαλειτουργικότητας μεταξύ των συστημάτων πληροφοριών της ΕΕ στον τομέα των συνόρων και θεωρήσεων και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 767/2008, (ΕΕ) 2016/399, (ΕΕ) 2017/2226, (ΕΕ) 2018/1240, (ΕΕ) 2018/1726 και (ΕΕ) 2018/1861 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, και των αποφάσεων 2004/512/ΕΚ και 2008/633/ΔΕΥ του Συμβουλίου (ΕΕ 2019, L 135, σ. 27).

31 Η αιτιολογική σκέψη 14 της οδηγίας 2013/40/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Αυγούστου 2013, για τις επιθέσεις κατά συστημάτων πληροφοριών και την αντικατάσταση της απόφασης-πλαισίου 2005/222/ΔΕΥ του Συμβουλίου (ΕΕ 2013, L 218, σ. 8), αναφέρει ότι «[η] θέσπιση αποτελεσματικών μέτρων κατά της κλοπής ταυτότητας και άλλων αδικημάτων σχετικών με την ταυτότητα αποτελεί ένα άλλο σημαντικό στοιχείο μιας ολοκληρωμένης προσέγγισης του εγκλήματος στον κυβερνοχώρο». Κατά την αιτιολογική σκέψη 31 της οδηγίας (ΕΕ) 2019/713 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Απριλίου 2019, για την καταπολέμηση της απάτης και της πλαστογραφίας μέσων πληρωμής πλην των μετρητών και την αντικατάσταση της απόφασης-πλαίσιο 2001/413/ΔΕΥ του Συμβουλίου (ΕΕ 2019, L 123, σ. 18), «[η] απάτη και η πλαστογραφία μέσων πληρωμής πλην των μετρητών ενδέχεται να έχουν σοβαρές οικονομικές και μη οικονομικές συνέπειες για τα θύματα τους. Όταν η απάτη αυτή διαπράττεται, για παράδειγμα, με την κλοπή ταυτότητας, οι συνέπειές της συχνά επιδεινώνονται λόγω της δυσφήμησης και της επαγγελματικής ζημίας, της υποβάθμισης της πιστοληπτικής ικανότητας ενός ατόμου και της σοβαρής ηθικής βλάβης». Η αιτιολογική σκέψη 33 της οδηγίας αυτής αναφέρει ότι «[τ]α κράτη μέλη θα πρέπει να θεσπίζουν μέτρα συνδρομής και στήριξης προς αυτά τα θύματα τα οποία να εμπνέονται από τα μέτρα που απαιτούνται από την εν λόγω οδηγία αλλά να ανταποκρίνονται πιο άμεσα στις ειδικές ανάγκες των θυμάτων απάτης που συνδέονται με την κλοπή ταυτότητας».

32 Οι όροι «κατάχρηση ή υποκλοπή ταυτότητας» χρησιμοποιούνται, χωρίς να ορίζονται, στις αιτιολογικές σκέψεις άλλων νομοθετικών πράξεων της Ένωσης. Βλ., για παράδειγμα, αιτιολογική σκέψη 46 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ 2018, L 295, σ. 39), και αιτιολογικές σκέψεις 51 και 61 της οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ 2016, L 119, σ. 89).

33 Στο παράρτημα II του κανονισμού (ΕΕ) 2018/1798 της Επιτροπής, της 21ης Νοεμβρίου 2018, για την εφαρμογή του κανονισμού (ΕΚ) αριθ. 808/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τις κοινοτικές στατιστικές για την κοινωνία της πληροφορίας για το έτος αναφοράς 2019 (ΕΕ 2018, L 296, σ. 2), αναφέρονται αρκετά παραδείγματα και περιπτώσεις κατάχρησης ταυτότητας. Μεταξύ αυτών συγκαταλέγεται η περίπτωση κατά την οποία «κάποιος κλέβει τα δεδομένα προσωπικού χαρακτήρα του χρήστη και τον πλαστοπροσωπεί, π.χ. προβαίνει σε διαδικτυακές αγορές χρησιμοποιώντας το ονοματεπώνυμό του», ως παράδειγμα της «διαδικτυακής κλοπής ταυτότητας».

34 Βλ., κατ’ αντιδιαστολή, άρθρο 226‑4‑1 του Code pénal français (γαλλικού ποινικού κώδικα) [όπως τροποποιήθηκε από το άρθρο 19 του loi n°2020‑936 du 30 juillet 2020 (νόμου 2020‑936 της 30ής Ιουλίου 2020)], το οποίο προβλέπει τα εξής: «Η υποκλοπή της ταυτότητας τρίτου ή η χρήση ενός ή περισσοτέρων στοιχείων δεδομένων οποιουδήποτε είδους διά των οποίων το πρόσωπο αυτό μπορεί να ταυτοποιηθεί με στόχο τη διατάραξη της ηρεμίας του εν λόγω προσώπου ή τρίτων ή τη βλάβη της τιμής ή της υπόληψής του, τιμωρείται με ποινή φυλάκισης ενός έτους και χρηματικό πρόστιμο 15 000 ευρώ. Οι ίδιες ποινές επιβάλλονται στην περίπτωση που το αδίκημα τελείται σε δημόσιο διαδικτυακό μέσο κοινωνικής δικτύωσης. Στην περίπτωση που το αδίκημα τελείται από τον/τη σύζυγο, τον/τη σύντροφο ή το πρόσωπο με το οποίο το θύμα έχει συνάψει σύμφωνο συμβίωσης, οι ανωτέρω πράξεις τιμωρούνται με ποινή φυλάκισης δύο ετών και χρηματικό πρόστιμο 30 000 ευρώ». Το άρθρο 18 του U.S. Code § 1028A, στοιχείο a, σημείο 1, θεσπίζει το ομοσπονδιακό αδίκημα της διακεκριμένης κλοπής ταυτότητας. Προβλέπει ότι «όποιος, στο πλαίσιο και σε συνδυασμό με οποιαδήποτε από τις αξιόποινες πράξεις που απαριθμούνται στο εδάφιο c, εν γνώσει του μεταφέρει, κατέχει ή χρησιμοποιεί παρανόμως οποιοδήποτε μέσο ταυτοποίησης άλλου προσώπου, τιμωρείται, πέραν της ποινής που προβλέπεται για την αξιόποινη αυτή πράξη, με ποινή φυλάκισης δύο ετών». Βλ., επίσης, άρθρο 18 του U.S. Code § 1028, στοιχείο a, σημείο 7, το οποίο θεσπίζει το ομοσπονδιακό αδίκημα της κλοπής ταυτότητας.

35 Και η επακόλουθη απώλεια ελέγχου επί των υποκλαπέντων δεδομένων προσωπικού χαρακτήρα.

36 Η κατάχρηση ταυτότητας προϋποθέτει ότι ο δράστης παριστάνει ψευδώς το υποκείμενο των δεδομένων υποδυόμενος, για παράδειγμα, το υποκείμενο των δεδομένων ή παρουσιάζοντας τον εαυτό του ως υποκείμενο των δεδομένων.

37 Σε αντίθεση με τους ισχυρισμούς του SO, οι οποίοι παρατέθηκαν στο σημείο 18 των παρουσών προτάσεων, σε περίπτωση που δεν υφίσταται οποιαδήποτε (κατά)χρηση των υποκλαπέντων δεδομένων ή δεν έχει γίνει καμία συγκεκριμένη σχετική ενέργεια, δεν τεκμαίρεται από τη φύση και το περιεχόμενο των εν λόγω δεδομένων η ύπαρξη κατάχρησης ταυτότητας.

38 Για παραδείγματα κατάχρησης ταυτότητας, βλ. Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια, «Identity Theft – ENISA Threat Landscape – From January 2019 to April 2020», διαθέσιμο στην ηλεκτρονική διεύθυνση https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-identity-theft· Κατευθυντήριες γραμμές του 2021, κεφάλαιο 7.1, διαθέσιμο στην ηλεκτρονική διεύθυνση https://edpb.europa.eu/system/files/2022-09/edpb_guidelines_012021_pdbnotification_adopted_el.pdf· και Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, «Guidelines 01/2022 on data subject rights – Right of access – Version 1.0 – Adopted on 18 January 2022», σημείο 105, διαθέσιμο στην ηλεκτρονική διεύθυνση https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf.

39 Εφόσον πληρούνται οι προϋποθέσεις που παρατέθηκαν στο σημείο 24 των παρουσών προτάσεων.

40 Στις προτάσεις του στην υπόθεση Österreichische Post (Μη υλική ζημία λόγω παράνομης επεξεργασίας δεδομένων) (C‑300/21, EU:C:2022:756, σημεία 98 και 99), ο γενικός εισαγγελέας M. Campos Sánchez-Bordona επισημαίνει ότι τα παραδείγματα κινδύνων ή ζημίας που αναφέρονται στις αιτιολογικές σκέψεις του ΓΚΠΔ μπορούν να είναι «σημαντικά» ή «σοβαρότερου χαρακτήρα». Στην πράξη, η ύπαρξη κατάχρησης ή υποκλοπής ταυτότητας συμβάλλει στην απόδειξη ύπαρξης βλάβης.

41 Τούτο προκύπτει από το στοιχείο ότι η «κατάχρηση ή υποκλοπή ταυτότητας» για την οποία γίνεται λόγος στις αιτιολογικές σκέψεις 75 και 85 του ΓΚΠΔ παρατίθεται μαζί με άλλα παραδείγματα κινδύνων ή βλάβης, όπως τις «διακρίσεις», την «οικονομική απώλεια» και τη «βλάβη της φήμης».