Esialgne tõlge
KOHTUJURISTI ETTEPANEK
ANTHONY COLLINS
esitatud 26. oktoobril 2023(1)
Liidetud kohtuasjad C‑182/22 ja C‑189/22
JU (C‑182/22),
SO (C‑189/22)
versus
Scalable Capital GmbH
(eelotsusetaotlus, mille on esitanud Amtsgericht München (Müncheni esimese astme kohus, Saksamaa))
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 82 lõige 1 – Õigus hüvitisele kõnealust määrust rikkuva andmetöötlusega tekitatud kahju eest – Mittevaraline kahju – Andmevargus – Identiteedivargus või ‑pettus
I. Sissejuhatus
1. Kahes suuresti identses hagis, mille on Scalable Capital GmbH (edaspidi „Scalable Capital“) vastu esitanud JU (kohtuasi C‑182/22) ja SO (kohtuasi C‑189/22), nõuavad hagejad hüvitist mittevaralise kahju, nimelt väidetava valu ja kannatuste eest, mida on tekitanud asjaolu, mida eelotsusetaotluse esitanud kohus nimetab Scalable Capitali hallatavas kauplemisrakenduses säilitatud isikuandmete varguseks(2) tundmatute kolmandate isikute poolt. Kolmandad isikud ei ole seni andmeid pettuse või muul eesmärgil kasutanud. Amtsgericht München (Müncheni esimese astme kohus, Saksamaa) küsib Euroopa Kohtult, kuidas tõlgendada määruse (EL) 2016/679(3) artiklis 82 kasutatud mõistet „mittevaraline kahju“ ja millistel tingimustel sellist kahju hüvitatakse. Eelkõige soovib ta teada, kas kõnealuste andmete vargus on „identiteedivargus“, millele on viidatud isikuandmete kaitse üldmääruse põhjenduses 75.
II. Õigusraamistik – Euroopa Liidu õigus
2. Isikuandmete kaitse üldmääruse põhjendus 75 on sõnastatud järgmiselt:
„Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, materiaalne või mittemateriaalne kahju, eelkõige juhtudel, kui töötlemine võib põhjustada diskrimineerimist, identiteedivargust või ‑pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu, pseudonümiseerimise loata tühistamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; […]“.
3. Isikuandmete kaitse üldmääruse põhjenduses 85 on märgitud:
„Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigel ajal ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata tühistamine, maine kahjustamine, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. […]“.
4. Isikuandmete kaitse üldmääruse põhjendus 146 on sõnastatud järgmiselt:
„Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas. […] Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke. […] Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud. […]“.
5. Isikuandmete kaitse üldmääruse artiklis 82 „Õigus hüvitisele ja vastutus“ on sätestatud:
„1. Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.
2. Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Volitatud töötleja vastutab töötlemise käigus tekitatud kahju eest ainult siis, kui ta ei ole täitnud käesoleva määruse nõudeid, mis on suunatud konkreetselt volitatud töötlejatele, või kui ta pole järginud vastutava töötleja seaduslikke juhiseid või on tegutsenud nende vastaselt.
3. Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.
[…]“.
III. Põhikohtuasjad ja eelotsuse küsimused
6. JU ja SO avasid investeerimiskonto Scalable Capitali hallatavas kauplemisrakenduses. Enda autentimiseks registreeris kumbki rakenduses oma isikuandmed, sealhulgas oma nime, sünnikuupäeva, posti- ja e‑posti aadressi ning isikutunnistuse digitaalse koopia.(4) Vaidlust ei ole selle üle, et tundmatud kurjategijad varastasid need andmed.
7. Amtsgericht München (Müncheni esimese astme kohus) leiab, et varastatud andmed on suhteliselt delikaatsed ning JU‑l ja SO‑l on õigus hüvitisele isikuandmete kaitse üldmääruse artikli 82 alusel. Leides, et JU‑le ja SO‑le välja mõistetava hüvitise suurus sõltub isikuandmete kaitse üldmääruse artikli 82 tõlgendamisest, otsustas kohus menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et kahjuhüvitise saamise õigus ei ole ka hüvitise suuruse määramisel oma olemuselt karistuslik ja eelkõige ei ole see üldiselt või konkreetselt hoiatava funktsiooniga, vaid kahjuhüvitise saamise õigusel on üksnes kompenseeriv ja olenevalt asjaoludest rahulolu pakkuv funktsioon?
2.a. Kas mittevaralise kahju eest hüvitise suuruse määramisel tuleb lähtuda sellest, et kahjuhüvitise saamise õigusel on ka isikule rahulolu pakkuv funktsioon, mida tuleb käesolevas asjas mõista kui kahjustatud isiku isiklikku huvi selle vastu, et kahju tekitaja võetakse vastutusele, või on kahjuhüvitise saamise õigusel üksnes kompenseeriv funktsioon, mida tuleb käesolevas asjas mõista tekitatud häiringute kompenseerimise funktsioonina?
2.b.1. Juhul kui mittevaralise kahju eest hüvitise saamise õigusel on nii kompenseeriv kui ka rahulolu pakkuv funktsioon, siis kas hüvitise suuruse määramisel tuleb lähtuda sellest, et kompenseeriv funktsioon on rahulolu pakkuva funktsiooni suhtes ülesehituslikult või vähemasti reegli ja erandi suhtest tulenevalt prioriteetne? Kas selle tagajärjel tuleb rahulolu pakkuv funktsioon kõne alla vaid tahtliku või raskest hooletusest põhjustatud rikkumise korral?
2.b.2. Juhul kui mittevaralise kahju eest hüvitise saamise õigusel ei ole rahulolu pakkuvat funktsiooni, siis kas hüvitise suuruse määramisel loetakse raskendavatel asjaoludel toime pandud rikkumisteks vaid neid isikuandmetega seotud rikkumisi, mis on tahtlikud või põhjustatud raskest hooletusest?
3. Kas mittevaralise kahju eest hüvitise suuruse määramisel tuleb lähtuda ülesehituslikust hierarhiast või vähemasti reegli ja erandi suhte hierarhiast, mille puhul on isikuandmetega seotud rikkumisest põhjustatud häiringul väiksem kaal kui kehavigastusest tuleneval häiringul ja valutundel?
4. Kas liikmesriigi kohus võib juhul, kui ta leiab, et kahju on tekitatud, kuid rikkumine ei ole raske, välja mõista üksnes väikeses summas kahjuhüvitise, mida kahjustatud isik või üldsus võib teatavatel juhtudel tajuda vaid sümboolsena?
5. Kas mittevaralise kahjuhüvitise tagajärgede hindamisel tuleb lähtuda sellest, et identiteedivargusega isikuandmete kaitse üldmääruse põhjenduse 75 tähenduses on tegemist alles siis, kui kurjategija on tegelikult omandanud andmesubjekti identiteedi, on seega mingil kujul esitlenud ennast andmesubjektina, või seisneb identiteedivargus juba selles, et kurjategijate käes on andmed, mis võimaldavad andmesubjekti identifitseerida?“
IV. Menetlus Euroopa Kohtus
8. Euroopa Kohtu president liitis 19. aprilli 2022. aasta otsusega kohtuasjad C‑182/22 ja C‑189/22 kirjaliku ja suulise menetluse ning kohtuotsuse huvides.
9. Euroopa Kohtu president jättis 1. juunil 2022 rahuldamata Scalable Capitali taotluse muuta käesolev menetlus Euroopa Kohtu kodukorra artikli 95 lõike 2 kohaselt anonüümseks.
10. SO, Scalable Capital, Iirimaa ja Euroopa Komisjon esitasid kirjalikud seisukohad.
11. Kõigepealt käsitlen eelotsuse küsimuste vastuvõetavuse suhtes esitatud vastuväiteid, enne kui teen Euroopa Kohtule tema taotlusel ettepaneku, kuidas ta peaks vastama viiendale küsimusele.
V. Õiguslik hinnang
A. Vastuvõetavus
12. Scalable Capitali arvates ei tekita isikuandmete üle kontrolli kaotamine, kui sellel ei ole andmesubjektile täiendavaid tagajärgi, mittevaralist kahju isikuandmete kaitse üldmääruse artikli 82 lõike 1 tähenduses. Isikuandmete kaitse üldmääruse artikli 82 sõnastus, üldine ülesehitus ja eesmärk ei toeta eeldust, et kõnealuse kontrolli kaotamise tagajärjel tekib selline kahju. Eelotsusetaotluse esitanud kohus eksis seega, kui ta eeldas, et JU ja SO olid kandnud mittevaralist kahju. Eelotsusetaotlused ei ole seega eelotsusetaotluse esitanud kohtu menetluses olevate hagide lahendamisel asjakohased ja on seega vastuvõetamatud.
13. Komisjon leiab, et viienda küsimuse asjakohasus eelotsusetaotluse esitanud kohtule esitatud hagide lahendamisel on ebaselge. Eelotsusetaotluse esitanud kohus viitab pelgalt sellele, et pooled tõlgendavad õigusnorme erinevalt, ja märgib, et „identiteedivargusega on tegemist alles siis, kui keegi kasutab ebaseaduslikult saadud andmeid selleks, et omandada andmesubjekti identiteet“. Viienda küsimusega ei paluta Euroopa Kohtul tõlgendada isikuandmete kaitse üldmääruse konkreetset sätet.
14. Euroopa Kohtu väljakujunenud praktika kohaselt eeldatakse, et liikmesriigi kohtu esitatud küsimused liidu õiguse tõlgendamise kohta on asjakohased. Euroopa Kohus võib liikmesriigi kohtu esitatud eelotsusetaotluse jätta läbi vaatamata üksnes juhul, kui on ilmne, et taotletaval liidu õiguse tõlgendamisel puudub igasugune seos põhikohtuasja faktiliste asjaolude või esemega, kui probleem on hüpoteetiline või kui Euroopa Kohtule ei ole teada vajalikke faktilisi või õiguslikke asjaolusid, et anda tarvilik vastus talle esitatud küsimustele.(5)
15. Scalable Capitali vastuväide kõigi eelotsuse küsimuste vastuvõetavusele põhineb tõlgendusel, mille ta on andnud isikuandmete kaitse üldmääruse artiklile 82, hüvitise saamise õigusele ja mittevaralise kahju väidetavale puudumisele. Eelotsuse küsimused puudutavad andmesubjektide õigust hüvitisele isikuandmete kaitse üldmääruse artikli 82 alusel. Sellise hüvitise saamise vajalik eeltingimus on kahju olemasolu tuvastamine.(6) Scalable Capitali vastuväide eelotsusetaotluste vastuvõetavusele puudutab seega nendega tõstatatud küsimuste sisu. Eelotsusetaotluses esitatud küsimuste sisuga seotud argumendid ei saa oma olemuselt mõjutada eelotsusetaotluse vastuvõetavust.(7)
16. Mis puudutab komisjoni vastuväidet viienda küsimuse vastuvõetavusele, siis ei ole ilmne, et sellel küsimusel puudub igasugune seos eelotsusetaotluse esitanud kohtu menetletavate hagidega või et see on hüpoteetiline. Eelotsusetaotluse esitanud kohtule on esitatud hagid hüvitise saamiseks isikuandmete kaitse üldmääruse alusel. Pooled ei ole üksmeelel selles, kas isikuandmete vargus on identiteedivargus, millele on viidatud isikuandmete kaitse üldmääruse põhjenduses 75, või on identiteedivargusega tegemist alles siis, kui „kurjategija on tegelikult omandanud andmesubjekti identiteedi“.(8) Kuigi eelotsusetaotluse esitanud kohtu märkused viienda küsimuse kohta on napid, nähtub eelotsusetaotlustest, et see küsimus on seotud ülejäänud nelja küsimusega, mille ta esitas mittevaralise kahju mõiste ja isikuandmete kaitse üldmääruse artikli 82 alusel hüvitise saamise õiguse kohta.
17. Seetõttu teen Euroopa Kohtule ettepaneku vastuväited Amtsgericht Müncheni (Müncheni esimese astme kohus) esitatud küsimuste vastuvõetavusele tagasi lükata.
B. Sisulised küsimused
1. Menetlusosaliste seisukohad
18. SO sõnul eristatakse isikuandmete kaitse üldmääruse põhjenduses 85 selgelt identiteedivargust ja identiteedipettust. Identiteedivargus loob eeldused, et kurjategija võib isiku identiteeti kuritarvitada, eksitades teisi selle identiteedi suhtes. Identiteedipettus võidakse toime panna pärast identiteedivargust. Sellest järeldub, et identiteedivarguseks ei ole vaja isiku identiteeti tegelikult kuritarvitada. Käesoleval juhul varastatud andmete laad ja ulatus annavad alust eeldada identiteedivarguse toimumist, mis annab õiguse saada selle eest hüvitist.
19. Scalable Capital väidab, et identiteedivargusega on tegemist siis, kui isik kuritarvitab teise isiku isikuandmeid, et omandada selle isiku identiteet. Teatavate andmete vargus võib põhjustada või hõlbustada identiteedivargust, kuid ei ole iseenesest identiteedivargus. Seda lähenemisviisi toetab isikuandmete kaitse üldmääruse põhjenduse 75 süstemaatiline tõlgendamine, sest teistest selles sättes toodud näidetest ilmneb, et võimalus kasutada teatavaid isikuandmeid ei ole identiteedivargus. Isikuandmete kaitse üldmääruse artikli 82 eesmärk on hüvitada isikutele tegelikult kantud kahju. Identiteedivarguse mõiste lai tõlgendamine on selle eesmärgiga vastuolus, kuna see annaks aluse esitada kahju hüvitamise hagi juhul, kui on olemas abstraktne võimalus, et kahju võib tekkida tulevikus.
20. Iirimaa väidab, et identiteedivargus viitab olukorrale, kus üks isik tegelikult omandab selle isiku identiteedi, kelle andmed on omastatud. Identiteedivarguse toimumiseks ei piisa seega sellest, kui isiku käsutuses on teise isiku identifitseerimisandmed. Mittevaralise kahju hüvitamist isikuandmete kaitse üldmääruse artikli 82 alusel tuleb igal juhul hinnata sõltuvalt konkreetse juhtumi asjaoludest.
21. Komisjon märgib, et isikuandmete kaitse üldmääruses ei ole identiteedivargust määratletud. Isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 on identiteedivargusele viidatud kui näitele sellise isikuandmete töötlemise kohta, mis tõenäoliselt tekitab füüsilist, varalist või mittevaralist kahju. Komisjoni sõnul on identiteedivargus, millele neis põhjendustes on viidatud, andmete ebaseaduslik omandamine andmesubjekti identiteedi omastamiseks.(9) Identiteedivarguse tõendamiseks tuleb tuvastada kurjategija kavatsus esitleda end andmesubjektina, viidates konkreetsetele tegudele või nendeks tehtud ettevalmistustele. Kuna väljakujunenud kohtupraktika kohaselt peab kahju olema „tegelik ja kindel“(10), ei ole pelgalt andmesubjekti identifitseerimisandmete omamine – ilma et tehtaks samme enda esitlemiseks andmesubjektina – identiteedivargus.
2. Analüüs
22. Viienda küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas pelgalt andmesubjekti delikaatsete isikuandmete(11) vargus tundmatu kurjategija poolt on identiteedivargus, mis annab seega õiguse hüvitisele, või peab kurjategija identiteedivarguseks tegelikult omandama andmesubjekti identiteedi või astuma selleks samme. Selle küsimuse taustaks on tuvastus, et tundmatud kurjategijad varastasid Scalable Capitali kauplemisrakendusest JU ja SO delikaatsed isikuandmed. Kuigi tundub, et andmeid ei ole edaspidi kasutatud (kuritarvitatud), sest kurjategijate isik on teadmata ja neid ei ole tabatud, ei ole sellist tulevast (kuritarvitavat) kasutamist võimalik välistada.
23. Isikuandmete kaitse üldmääruse artikkel 82 kinnitab laialt(12) iga isikuandmete kaitse üldmääruse rikkumise tõttu „varalist või mittevaralist kahju“ kandnud andmesubjekti õigust hüvitisele ja jaotab vastutuse vastutava(te) töötleja(te) ja/või volitatud töötleja(te) vahel. Kõnealuses sättes ei ole kindlaks määratud sellise kahju konkreetset laadi ega vormi. Isikuandmete kaitse üldmäärus ei viita seoses mõiste „mittevaraline kahju“ tähenduse ja ulatuse kindlaksmääramisega liikmesriikide õigusele.(13) Seda mõistet tuleb seega käsitada liidu õiguse autonoomse mõistena ja tõlgendada kõikides liikmesriikides ühetaoliselt.(14)
24. Isikuandmete kaitse üldmääruse artikli 82 alusel makstakse hüvitist juhul, kui tõendatakse isikuandmete kaitse üldmääruse rikkumine, „tegeliku kahju tekitamine“ ning põhjuslik seos rikkumise ja kahju vahel.(15) Isikuandmete kaitse üldmääruses ei ole ette nähtud objektiivse vastutuse regulatsiooni.(16) Isikuandmete kaitse üldmääruse artikli 82 lõikes 1 sätestatud korra hüvituslik laad välistab ka karistusliku kahjuhüvitise väljamõistmise.(17) Selline hüvitis peab olema täielik ja tõhus, st „võimalda[ma] täielikult hüvitada [isikuandmete kaitse üldmääruse] rikkumisega konkreetselt tekitatud kahju“.(18) Andmesubjektile tekitatud mittevaraline kahju ei pea olema teatud raskusastmega.(19) Kuigi mittevaralise kahju tasemel ei ole miinimumkünnist, peavad olemas olema selged ja täpsed tõendid, et andmesubjekt sellist kahju kandis. Potentsiaalsest või hüpoteetilisest kahjust(20) või pelgalt murest oma isikuandmete varguse pärast ei piisa.
25. Isikuandmete kaitse üldmääruse artikli 82 lõike 3 kohaselt vabaneb vastutav töötleja või volitatud töötleja vastutusest, „kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest“. Euroopa Kohtul ei ole olnud võimalust isikuandmete kaitse üldmääruse artikli 82 lõiget 3 üksikasjalikult analüüsida. Selle sätte sõnasõnalise tõlgenduse kohaselt tundub igasugusest vastutava töötleja või volitatud töötleja (kaasaaitavast) hooletusest või eksimusest piisavat, et vastutusest vabanemist välistada. Lisaks võib tõendamiskoormis,(21) mille viidatud säte vastutusest vabanemist soovivatele vastutavatele töötlejatele või volitatud töötlejatele paneb, nõuda jätkuvate meetmete rakendamist andmetega seotud rikkumiste ennetamiseks.(22)
26. Andmesubjekti isikuandmete vargus annab õiguse saada isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel hüvitist mittevaralise kahju eest, kui kolm kohtuotsuses Österreichische Post(23) sätestatud tingimust on täidetud. Isikuandmete kaitse üldmääruse põhjenduses 7 on märgitud, et „[f]üüsilistel isikutel peaks olema kontroll oma isikuandmete üle“. Andmesubjektide jäämine ilma „kontrollist oma isikuandmete üle“(24) või füüsiliste isikute „kontrolli kaotamine oma isikuandmete üle“(25) võib kaasa tuua mittevaralise kahju. See on kontekst, milles eelotsusetaotluse esitanud kohus küsib, kas isikuandmete vargus kujutab endast identiteedivargust.
27. Isikuandmete kaitse üldmääruse regulatiivosa sätetes ei ole identiteedivargusele viidatud ega seda määratletud. Isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 on „identiteedivargusele või ‑pettusele“ pelgalt viidatud. Põhjenduses 75 on „identiteedivargus või ‑pettus“ esitatud mitteammendavas loetelus ühe näitena(26) isikuandmete töötlemisest tuleneva ohu kohta füüsiliste isikute õiguste ja vabaduste kasutamisele. Samamoodi on isikuandmete kaitse üldmääruse põhjenduses 85 viidatud „identiteedivargusele või ‑pettusele“ kui näitele(27) asjakohaselt ja õigeaegselt käsitlemata jäetud isikuandmetega seotud rikkumise tekitatud kahju kohta.(28)
28. Mitmes teiste ELi õigusaktide põhjenduses(29) ja sättes(30) on viidatud sellistele mõistetele nagu „identiteedivargus“,(31) „identiteedipettus“ ja „identiteedivargus või ‑pettus“.(32) Ma ei ole leidnud ühtegi ELi õigusakti sätet, milles need mõisted oleksid määratletud.(33)Liidu seadusandja viitab seega neile mõistetele näitlikustamise eesmärgil.(34)
29. See ilmneb ka isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 osutatud mõistete eri keeleversioonide analüüsist. Kui saksa- (Identitätsdiebstahl oder ‑betrug), inglis- (identity theft or fraud), eesti- (identiteedivargus või ‑pettus), iiri- (goid aitheantais nó calaois aitheantais), leedu- (būti pavogta ar suklastota tapatybė), hollandi- (identiteitsdiefstal of ‑fraude), poola- (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), rumeenia- (furt sau fraudă a identității) ja slovakikeelne versioon (krádeži totožnosti alebo podvodu) on suures osas sarnased, siis teised keeleversioonid – tšehhi (krádeži či zneužití identity), prantsuse (vol ou une usurpation d’identité), kreeka (κατάχρηση ή υποκλοπή ταυτότητας), portugali (usurpação ou roubo da identidade), itaalia (furto o usurpazione d’identità) ja hispaania (usurpación de identidad o fraude) – on neist suuremal või väiksemal määral erinevad. Isikuandmete kaitse üldmääruse asjakohaste põhjenduste eri keeleversioonidest nähtub, et mõisted „identiteedivargus“, „identiteedipettus“, „identiteedi kuritarvitamine“, „identiteedi väärkasutamine“, „identiteedi omastamine“ ja „identiteedi võtmine“ kattuvad ja neid võib vähemalt mõningal määral pidada omavahel asendatavateks. Sellest järeldub, et vastupidi SO väidetele, mis on esitatud käesoleva ettepaneku punktis 18, ei tehta isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 identiteedivargusel ja identiteedipettusel selget vahet.
30. Isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 on „kontrolli kaotamine“ või „[ilma jäämine] kontrollist“ oma isikuandmete üle ning „identiteedivargus või ‑pettus“ eraldi näited. Sellest tulenevalt ei ole isikuandmete vargus(35) iseenesest identiteedivargus, isegi kui see vargus võib viia nende andmete tulevase (kuritarvitava) kasutamiseni. Identiteedivarguseks on vaja täiendavat tegu või sammu, millel on andmesubjektile kahjulik mõju, minnes isikuandmete vargusest kaugemale.(36) Isik, kes varastab andmesubjekti isikuandmed, peab neid (kuritarvitavalt) kasutama või astuma konkreetseid samme, et neid ebaseaduslikel eesmärkidel ilma andmesubjekti nõusolekuta (kuritarvitavalt) kasutada.(37) Selline tegevus hõlmab üldjuhul pettust või muud liiki tüssamist ning see võetakse tavaliselt ette rahalise või muu kasu saamise eesmärgil või andmesubjekti või tema lähikonna kahjustamiseks.(38)
31. Eeltoodust tuleneb, et kuigi isikuandmete vargus ei kujuta endast identiteedivargust või ‑pettust, võib see vargus tekitada mittevaralist kahju ja anda õiguse hüvitisele isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel.(39) Mittevaralist kahju võib olla lihtsam tõendada, kui tuvastatakse, et andmesubjekt on oma isikuandmete varguse tõttu langenud identiteedivarguse või ‑pettuse ohvriks.(40) Isikuandmete kaitse üldmääruse artikli 82 lõike 1 kohane õigus mittevaralise kahju eest hüvitisele isikuandmete varguse korral ei sõltu siiski identiteedivarguse või ‑pettuse olemasolust.(41) Mittevaralist kahju ja isikuandmete kaitse üldmääruse artikli 82 lõike 1 kohast õigust hüvitisele tuleb hinnata iga juhtumi puhul eraldi, võttes arvesse kõiki asjakohaseid asjaolusid.
VI. Ettepanek
32. Eespool toodud kaalutlustest lähtudes teen Euroopa Kohtule ettepaneku vastata Amtsgericht Müncheni (Müncheni esimese astme kohus, Saksamaa) viiendale eelotsuse küsimusele järgmiselt:
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 82 lõiget 1 tuleb tõlgendada nii, et andmesubjekti delikaatsete isikuandmete vargus tundmatu kurjategija poolt võib anda õiguse mittevaralise kahju hüvitisele, kui tõendatakse isikuandmete kaitse üldmääruse rikkumine, kantud tegelik kahju ning põhjuslik seos kahju ja selle rikkumise vahel. Sellise hüvitise väljamõistmine ei eelda, et kurjategija omandaks andmesubjekti identiteedi, ja andmesubjekti identifitseerimisandmete omamine ei ole iseenesest identiteedivargus.