CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:820

Esialgne tõlge

KOHTUJURISTI ETTEPANEK

ANTHONY COLLINS

esitatud 26. oktoobril 2023(1)

Liidetud kohtuasjad C‑182/22 ja C‑189/22

JU (C‑182/22),

SO (C‑189/22)

versus

Scalable Capital GmbH

(eelotsusetaotlus, mille on esitanud Amtsgericht München (Müncheni esimese astme kohus, Saksamaa))

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 82 lõige 1 – Õigus hüvitisele kõnealust määrust rikkuva andmetöötlusega tekitatud kahju eest – Mittevaraline kahju – Andmevargus – Identiteedivargus või ‑pettus

I. Sissejuhatus

1. Kahes suuresti identses hagis, mille on Scalable Capital GmbH (edaspidi „Scalable Capital“) vastu esitanud JU (kohtuasi C‑182/22) ja SO (kohtuasi C‑189/22), nõuavad hagejad hüvitist mittevaralise kahju, nimelt väidetava valu ja kannatuste eest, mida on tekitanud asjaolu, mida eelotsusetaotluse esitanud kohus nimetab Scalable Capitali hallatavas kauplemisrakenduses säilitatud isikuandmete varguseks(2) tundmatute kolmandate isikute poolt. Kolmandad isikud ei ole seni andmeid pettuse või muul eesmärgil kasutanud. Amtsgericht München (Müncheni esimese astme kohus, Saksamaa) küsib Euroopa Kohtult, kuidas tõlgendada määruse (EL) 2016/679(3) artiklis 82 kasutatud mõistet „mittevaraline kahju“ ja millistel tingimustel sellist kahju hüvitatakse. Eelkõige soovib ta teada, kas kõnealuste andmete vargus on „identiteedivargus“, millele on viidatud isikuandmete kaitse üldmääruse põhjenduses 75.

II. Õigusraamistik – Euroopa Liidu õigus

2. Isikuandmete kaitse üldmääruse põhjendus 75 on sõnastatud järgmiselt:

„Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, materiaalne või mittemateriaalne kahju, eelkõige juhtudel, kui töötlemine võib põhjustada diskrimineerimist, identiteedivargust või ‑pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu, pseudonümiseerimise loata tühistamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; […]“.

3. Isikuandmete kaitse üldmääruse põhjenduses 85 on märgitud:

„Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigel ajal ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata tühistamine, maine kahjustamine, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. […]“.

4. Isikuandmete kaitse üldmääruse põhjendus 146 on sõnastatud järgmiselt:

„Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas. […] Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke. […] Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud. […]“.

5. Isikuandmete kaitse üldmääruse artiklis 82 „Õigus hüvitisele ja vastutus“ on sätestatud:

„1. Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

2. Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Volitatud töötleja vastutab töötlemise käigus tekitatud kahju eest ainult siis, kui ta ei ole täitnud käesoleva määruse nõudeid, mis on suunatud konkreetselt volitatud töötlejatele, või kui ta pole järginud vastutava töötleja seaduslikke juhiseid või on tegutsenud nende vastaselt.

3. Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.

[…]“.

III. Põhikohtuasjad ja eelotsuse küsimused

6. JU ja SO avasid investeerimiskonto Scalable Capitali hallatavas kauplemisrakenduses. Enda autentimiseks registreeris kumbki rakenduses oma isikuandmed, sealhulgas oma nime, sünnikuupäeva, posti- ja e‑posti aadressi ning isikutunnistuse digitaalse koopia.(4) Vaidlust ei ole selle üle, et tundmatud kurjategijad varastasid need andmed.

7. Amtsgericht München (Müncheni esimese astme kohus) leiab, et varastatud andmed on suhteliselt delikaatsed ning JU‑l ja SO‑l on õigus hüvitisele isikuandmete kaitse üldmääruse artikli 82 alusel. Leides, et JU‑le ja SO‑le välja mõistetava hüvitise suurus sõltub isikuandmete kaitse üldmääruse artikli 82 tõlgendamisest, otsustas kohus menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1. Kas isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et kahjuhüvitise saamise õigus ei ole ka hüvitise suuruse määramisel oma olemuselt karistuslik ja eelkõige ei ole see üldiselt või konkreetselt hoiatava funktsiooniga, vaid kahjuhüvitise saamise õigusel on üksnes kompenseeriv ja olenevalt asjaoludest rahulolu pakkuv funktsioon?

2.a. Kas mittevaralise kahju eest hüvitise suuruse määramisel tuleb lähtuda sellest, et kahjuhüvitise saamise õigusel on ka isikule rahulolu pakkuv funktsioon, mida tuleb käesolevas asjas mõista kui kahjustatud isiku isiklikku huvi selle vastu, et kahju tekitaja võetakse vastutusele, või on kahjuhüvitise saamise õigusel üksnes kompenseeriv funktsioon, mida tuleb käesolevas asjas mõista tekitatud häiringute kompenseerimise funktsioonina?

2.b.1. Juhul kui mittevaralise kahju eest hüvitise saamise õigusel on nii kompenseeriv kui ka rahulolu pakkuv funktsioon, siis kas hüvitise suuruse määramisel tuleb lähtuda sellest, et kompenseeriv funktsioon on rahulolu pakkuva funktsiooni suhtes ülesehituslikult või vähemasti reegli ja erandi suhtest tulenevalt prioriteetne? Kas selle tagajärjel tuleb rahulolu pakkuv funktsioon kõne alla vaid tahtliku või raskest hooletusest põhjustatud rikkumise korral?

2.b.2. Juhul kui mittevaralise kahju eest hüvitise saamise õigusel ei ole rahulolu pakkuvat funktsiooni, siis kas hüvitise suuruse määramisel loetakse raskendavatel asjaoludel toime pandud rikkumisteks vaid neid isikuandmetega seotud rikkumisi, mis on tahtlikud või põhjustatud raskest hooletusest?

3. Kas mittevaralise kahju eest hüvitise suuruse määramisel tuleb lähtuda ülesehituslikust hierarhiast või vähemasti reegli ja erandi suhte hierarhiast, mille puhul on isikuandmetega seotud rikkumisest põhjustatud häiringul väiksem kaal kui kehavigastusest tuleneval häiringul ja valutundel?

4. Kas liikmesriigi kohus võib juhul, kui ta leiab, et kahju on tekitatud, kuid rikkumine ei ole raske, välja mõista üksnes väikeses summas kahjuhüvitise, mida kahjustatud isik või üldsus võib teatavatel juhtudel tajuda vaid sümboolsena?

5. Kas mittevaralise kahjuhüvitise tagajärgede hindamisel tuleb lähtuda sellest, et identiteedivargusega isikuandmete kaitse üldmääruse põhjenduse 75 tähenduses on tegemist alles siis, kui kurjategija on tegelikult omandanud andmesubjekti identiteedi, on seega mingil kujul esitlenud ennast andmesubjektina, või seisneb identiteedivargus juba selles, et kurjategijate käes on andmed, mis võimaldavad andmesubjekti identifitseerida?“

IV. Menetlus Euroopa Kohtus

8. Euroopa Kohtu president liitis 19. aprilli 2022. aasta otsusega kohtuasjad C‑182/22 ja C‑189/22 kirjaliku ja suulise menetluse ning kohtuotsuse huvides.

9. Euroopa Kohtu president jättis 1. juunil 2022 rahuldamata Scalable Capitali taotluse muuta käesolev menetlus Euroopa Kohtu kodukorra artikli 95 lõike 2 kohaselt anonüümseks.

10. SO, Scalable Capital, Iirimaa ja Euroopa Komisjon esitasid kirjalikud seisukohad.

11. Kõigepealt käsitlen eelotsuse küsimuste vastuvõetavuse suhtes esitatud vastuväiteid, enne kui teen Euroopa Kohtule tema taotlusel ettepaneku, kuidas ta peaks vastama viiendale küsimusele.

V. Õiguslik hinnang

A. Vastuvõetavus

12. Scalable Capitali arvates ei tekita isikuandmete üle kontrolli kaotamine, kui sellel ei ole andmesubjektile täiendavaid tagajärgi, mittevaralist kahju isikuandmete kaitse üldmääruse artikli 82 lõike 1 tähenduses. Isikuandmete kaitse üldmääruse artikli 82 sõnastus, üldine ülesehitus ja eesmärk ei toeta eeldust, et kõnealuse kontrolli kaotamise tagajärjel tekib selline kahju. Eelotsusetaotluse esitanud kohus eksis seega, kui ta eeldas, et JU ja SO olid kandnud mittevaralist kahju. Eelotsusetaotlused ei ole seega eelotsusetaotluse esitanud kohtu menetluses olevate hagide lahendamisel asjakohased ja on seega vastuvõetamatud.

13. Komisjon leiab, et viienda küsimuse asjakohasus eelotsusetaotluse esitanud kohtule esitatud hagide lahendamisel on ebaselge. Eelotsusetaotluse esitanud kohus viitab pelgalt sellele, et pooled tõlgendavad õigusnorme erinevalt, ja märgib, et „identiteedivargusega on tegemist alles siis, kui keegi kasutab ebaseaduslikult saadud andmeid selleks, et omandada andmesubjekti identiteet“. Viienda küsimusega ei paluta Euroopa Kohtul tõlgendada isikuandmete kaitse üldmääruse konkreetset sätet.

14. Euroopa Kohtu väljakujunenud praktika kohaselt eeldatakse, et liikmesriigi kohtu esitatud küsimused liidu õiguse tõlgendamise kohta on asjakohased. Euroopa Kohus võib liikmesriigi kohtu esitatud eelotsusetaotluse jätta läbi vaatamata üksnes juhul, kui on ilmne, et taotletaval liidu õiguse tõlgendamisel puudub igasugune seos põhikohtuasja faktiliste asjaolude või esemega, kui probleem on hüpoteetiline või kui Euroopa Kohtule ei ole teada vajalikke faktilisi või õiguslikke asjaolusid, et anda tarvilik vastus talle esitatud küsimustele.(5)

15. Scalable Capitali vastuväide kõigi eelotsuse küsimuste vastuvõetavusele põhineb tõlgendusel, mille ta on andnud isikuandmete kaitse üldmääruse artiklile 82, hüvitise saamise õigusele ja mittevaralise kahju väidetavale puudumisele. Eelotsuse küsimused puudutavad andmesubjektide õigust hüvitisele isikuandmete kaitse üldmääruse artikli 82 alusel. Sellise hüvitise saamise vajalik eeltingimus on kahju olemasolu tuvastamine.(6) Scalable Capitali vastuväide eelotsusetaotluste vastuvõetavusele puudutab seega nendega tõstatatud küsimuste sisu. Eelotsusetaotluses esitatud küsimuste sisuga seotud argumendid ei saa oma olemuselt mõjutada eelotsusetaotluse vastuvõetavust.(7)

16. Mis puudutab komisjoni vastuväidet viienda küsimuse vastuvõetavusele, siis ei ole ilmne, et sellel küsimusel puudub igasugune seos eelotsusetaotluse esitanud kohtu menetletavate hagidega või et see on hüpoteetiline. Eelotsusetaotluse esitanud kohtule on esitatud hagid hüvitise saamiseks isikuandmete kaitse üldmääruse alusel. Pooled ei ole üksmeelel selles, kas isikuandmete vargus on identiteedivargus, millele on viidatud isikuandmete kaitse üldmääruse põhjenduses 75, või on identiteedivargusega tegemist alles siis, kui „kurjategija on tegelikult omandanud andmesubjekti identiteedi“.(8) Kuigi eelotsusetaotluse esitanud kohtu märkused viienda küsimuse kohta on napid, nähtub eelotsusetaotlustest, et see küsimus on seotud ülejäänud nelja küsimusega, mille ta esitas mittevaralise kahju mõiste ja isikuandmete kaitse üldmääruse artikli 82 alusel hüvitise saamise õiguse kohta.

17. Seetõttu teen Euroopa Kohtule ettepaneku vastuväited Amtsgericht Müncheni (Müncheni esimese astme kohus) esitatud küsimuste vastuvõetavusele tagasi lükata.

B. Sisulised küsimused

1. Menetlusosaliste seisukohad

18. SO sõnul eristatakse isikuandmete kaitse üldmääruse põhjenduses 85 selgelt identiteedivargust ja identiteedipettust. Identiteedivargus loob eeldused, et kurjategija võib isiku identiteeti kuritarvitada, eksitades teisi selle identiteedi suhtes. Identiteedipettus võidakse toime panna pärast identiteedivargust. Sellest järeldub, et identiteedivarguseks ei ole vaja isiku identiteeti tegelikult kuritarvitada. Käesoleval juhul varastatud andmete laad ja ulatus annavad alust eeldada identiteedivarguse toimumist, mis annab õiguse saada selle eest hüvitist.

19. Scalable Capital väidab, et identiteedivargusega on tegemist siis, kui isik kuritarvitab teise isiku isikuandmeid, et omandada selle isiku identiteet. Teatavate andmete vargus võib põhjustada või hõlbustada identiteedivargust, kuid ei ole iseenesest identiteedivargus. Seda lähenemisviisi toetab isikuandmete kaitse üldmääruse põhjenduse 75 süstemaatiline tõlgendamine, sest teistest selles sättes toodud näidetest ilmneb, et võimalus kasutada teatavaid isikuandmeid ei ole identiteedivargus. Isikuandmete kaitse üldmääruse artikli 82 eesmärk on hüvitada isikutele tegelikult kantud kahju. Identiteedivarguse mõiste lai tõlgendamine on selle eesmärgiga vastuolus, kuna see annaks aluse esitada kahju hüvitamise hagi juhul, kui on olemas abstraktne võimalus, et kahju võib tekkida tulevikus.

20. Iirimaa väidab, et identiteedivargus viitab olukorrale, kus üks isik tegelikult omandab selle isiku identiteedi, kelle andmed on omastatud. Identiteedivarguse toimumiseks ei piisa seega sellest, kui isiku käsutuses on teise isiku identifitseerimisandmed. Mittevaralise kahju hüvitamist isikuandmete kaitse üldmääruse artikli 82 alusel tuleb igal juhul hinnata sõltuvalt konkreetse juhtumi asjaoludest.

21. Komisjon märgib, et isikuandmete kaitse üldmääruses ei ole identiteedivargust määratletud. Isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 on identiteedivargusele viidatud kui näitele sellise isikuandmete töötlemise kohta, mis tõenäoliselt tekitab füüsilist, varalist või mittevaralist kahju. Komisjoni sõnul on identiteedivargus, millele neis põhjendustes on viidatud, andmete ebaseaduslik omandamine andmesubjekti identiteedi omastamiseks.(9) Identiteedivarguse tõendamiseks tuleb tuvastada kurjategija kavatsus esitleda end andmesubjektina, viidates konkreetsetele tegudele või nendeks tehtud ettevalmistustele. Kuna väljakujunenud kohtupraktika kohaselt peab kahju olema „tegelik ja kindel“(10), ei ole pelgalt andmesubjekti identifitseerimisandmete omamine – ilma et tehtaks samme enda esitlemiseks andmesubjektina – identiteedivargus.

2. Analüüs

22. Viienda küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas pelgalt andmesubjekti delikaatsete isikuandmete(11) vargus tundmatu kurjategija poolt on identiteedivargus, mis annab seega õiguse hüvitisele, või peab kurjategija identiteedivarguseks tegelikult omandama andmesubjekti identiteedi või astuma selleks samme. Selle küsimuse taustaks on tuvastus, et tundmatud kurjategijad varastasid Scalable Capitali kauplemisrakendusest JU ja SO delikaatsed isikuandmed. Kuigi tundub, et andmeid ei ole edaspidi kasutatud (kuritarvitatud), sest kurjategijate isik on teadmata ja neid ei ole tabatud, ei ole sellist tulevast (kuritarvitavat) kasutamist võimalik välistada.

23. Isikuandmete kaitse üldmääruse artikkel 82 kinnitab laialt(12) iga isikuandmete kaitse üldmääruse rikkumise tõttu „varalist või mittevaralist kahju“ kandnud andmesubjekti õigust hüvitisele ja jaotab vastutuse vastutava(te) töötleja(te) ja/või volitatud töötleja(te) vahel. Kõnealuses sättes ei ole kindlaks määratud sellise kahju konkreetset laadi ega vormi. Isikuandmete kaitse üldmäärus ei viita seoses mõiste „mittevaraline kahju“ tähenduse ja ulatuse kindlaksmääramisega liikmesriikide õigusele.(13) Seda mõistet tuleb seega käsitada liidu õiguse autonoomse mõistena ja tõlgendada kõikides liikmesriikides ühetaoliselt.(14)

24. Isikuandmete kaitse üldmääruse artikli 82 alusel makstakse hüvitist juhul, kui tõendatakse isikuandmete kaitse üldmääruse rikkumine, „tegeliku kahju tekitamine“ ning põhjuslik seos rikkumise ja kahju vahel.(15) Isikuandmete kaitse üldmääruses ei ole ette nähtud objektiivse vastutuse regulatsiooni.(16) Isikuandmete kaitse üldmääruse artikli 82 lõikes 1 sätestatud korra hüvituslik laad välistab ka karistusliku kahjuhüvitise väljamõistmise.(17) Selline hüvitis peab olema täielik ja tõhus, st „võimalda[ma] täielikult hüvitada [isikuandmete kaitse üldmääruse] rikkumisega konkreetselt tekitatud kahju“.(18) Andmesubjektile tekitatud mittevaraline kahju ei pea olema teatud raskusastmega.(19) Kuigi mittevaralise kahju tasemel ei ole miinimumkünnist, peavad olemas olema selged ja täpsed tõendid, et andmesubjekt sellist kahju kandis. Potentsiaalsest või hüpoteetilisest kahjust(20) või pelgalt murest oma isikuandmete varguse pärast ei piisa.

25. Isikuandmete kaitse üldmääruse artikli 82 lõike 3 kohaselt vabaneb vastutav töötleja või volitatud töötleja vastutusest, „kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest“. Euroopa Kohtul ei ole olnud võimalust isikuandmete kaitse üldmääruse artikli 82 lõiget 3 üksikasjalikult analüüsida. Selle sätte sõnasõnalise tõlgenduse kohaselt tundub igasugusest vastutava töötleja või volitatud töötleja (kaasaaitavast) hooletusest või eksimusest piisavat, et vastutusest vabanemist välistada. Lisaks võib tõendamiskoormis,(21) mille viidatud säte vastutusest vabanemist soovivatele vastutavatele töötlejatele või volitatud töötlejatele paneb, nõuda jätkuvate meetmete rakendamist andmetega seotud rikkumiste ennetamiseks.(22)

26. Andmesubjekti isikuandmete vargus annab õiguse saada isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel hüvitist mittevaralise kahju eest, kui kolm kohtuotsuses Österreichische Post(23) sätestatud tingimust on täidetud. Isikuandmete kaitse üldmääruse põhjenduses 7 on märgitud, et „[f]üüsilistel isikutel peaks olema kontroll oma isikuandmete üle“. Andmesubjektide jäämine ilma „kontrollist oma isikuandmete üle“(24) või füüsiliste isikute „kontrolli kaotamine oma isikuandmete üle“(25) võib kaasa tuua mittevaralise kahju. See on kontekst, milles eelotsusetaotluse esitanud kohus küsib, kas isikuandmete vargus kujutab endast identiteedivargust.

27. Isikuandmete kaitse üldmääruse regulatiivosa sätetes ei ole identiteedivargusele viidatud ega seda määratletud. Isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 on „identiteedivargusele või ‑pettusele“ pelgalt viidatud. Põhjenduses 75 on „identiteedivargus või ‑pettus“ esitatud mitteammendavas loetelus ühe näitena(26) isikuandmete töötlemisest tuleneva ohu kohta füüsiliste isikute õiguste ja vabaduste kasutamisele. Samamoodi on isikuandmete kaitse üldmääruse põhjenduses 85 viidatud „identiteedivargusele või ‑pettusele“ kui näitele(27) asjakohaselt ja õigeaegselt käsitlemata jäetud isikuandmetega seotud rikkumise tekitatud kahju kohta.(28)

28. Mitmes teiste ELi õigusaktide põhjenduses(29) ja sättes(30) on viidatud sellistele mõistetele nagu „identiteedivargus“,(31) „identiteedipettus“ ja „identiteedivargus või ‑pettus“.(32) Ma ei ole leidnud ühtegi ELi õigusakti sätet, milles need mõisted oleksid määratletud.(33)Liidu seadusandja viitab seega neile mõistetele näitlikustamise eesmärgil.(34)

29. See ilmneb ka isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 osutatud mõistete eri keeleversioonide analüüsist. Kui saksa- (Identitätsdiebstahl oder ‑betrug), inglis- (identity theft or fraud), eesti- (identiteedivargus või ‑pettus), iiri- (goid aitheantais nó calaois aitheantais), leedu- (būti pavogta ar suklastota tapatybė), hollandi- (identiteitsdiefstal of ‑fraude), poola- (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), rumeenia- (furt sau fraudă a identității) ja slovakikeelne versioon (krádeži totožnosti alebo podvodu) on suures osas sarnased, siis teised keeleversioonid – tšehhi (krádeži či zneužití identity), prantsuse (vol ou une usurpation d’identité), kreeka (κατάχρηση ή υποκλοπή ταυτότητας), portugali (usurpação ou roubo da identidade), itaalia (furto o usurpazione d’identità) ja hispaania (usurpación de identidad o fraude) – on neist suuremal või väiksemal määral erinevad. Isikuandmete kaitse üldmääruse asjakohaste põhjenduste eri keeleversioonidest nähtub, et mõisted „identiteedivargus“, „identiteedipettus“, „identiteedi kuritarvitamine“, „identiteedi väärkasutamine“, „identiteedi omastamine“ ja „identiteedi võtmine“ kattuvad ja neid võib vähemalt mõningal määral pidada omavahel asendatavateks. Sellest järeldub, et vastupidi SO väidetele, mis on esitatud käesoleva ettepaneku punktis 18, ei tehta isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 identiteedivargusel ja identiteedipettusel selget vahet.

30. Isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 on „kontrolli kaotamine“ või „[ilma jäämine] kontrollist“ oma isikuandmete üle ning „identiteedivargus või ‑pettus“ eraldi näited. Sellest tulenevalt ei ole isikuandmete vargus(35) iseenesest identiteedivargus, isegi kui see vargus võib viia nende andmete tulevase (kuritarvitava) kasutamiseni. Identiteedivarguseks on vaja täiendavat tegu või sammu, millel on andmesubjektile kahjulik mõju, minnes isikuandmete vargusest kaugemale.(36) Isik, kes varastab andmesubjekti isikuandmed, peab neid (kuritarvitavalt) kasutama või astuma konkreetseid samme, et neid ebaseaduslikel eesmärkidel ilma andmesubjekti nõusolekuta (kuritarvitavalt) kasutada.(37) Selline tegevus hõlmab üldjuhul pettust või muud liiki tüssamist ning see võetakse tavaliselt ette rahalise või muu kasu saamise eesmärgil või andmesubjekti või tema lähikonna kahjustamiseks.(38)

31. Eeltoodust tuleneb, et kuigi isikuandmete vargus ei kujuta endast identiteedivargust või ‑pettust, võib see vargus tekitada mittevaralist kahju ja anda õiguse hüvitisele isikuandmete kaitse üldmääruse artikli 82 lõike 1 alusel.(39) Mittevaralist kahju võib olla lihtsam tõendada, kui tuvastatakse, et andmesubjekt on oma isikuandmete varguse tõttu langenud identiteedivarguse või ‑pettuse ohvriks.(40) Isikuandmete kaitse üldmääruse artikli 82 lõike 1 kohane õigus mittevaralise kahju eest hüvitisele isikuandmete varguse korral ei sõltu siiski identiteedivarguse või ‑pettuse olemasolust.(41) Mittevaralist kahju ja isikuandmete kaitse üldmääruse artikli 82 lõike 1 kohast õigust hüvitisele tuleb hinnata iga juhtumi puhul eraldi, võttes arvesse kõiki asjakohaseid asjaolusid.

VI. Ettepanek

32. Eespool toodud kaalutlustest lähtudes teen Euroopa Kohtule ettepaneku vastata Amtsgericht Müncheni (Müncheni esimese astme kohus, Saksamaa) viiendale eelotsuse küsimusele järgmiselt:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 82 lõiget 1 tuleb tõlgendada nii, et andmesubjekti delikaatsete isikuandmete vargus tundmatu kurjategija poolt võib anda õiguse mittevaralise kahju hüvitisele, kui tõendatakse isikuandmete kaitse üldmääruse rikkumine, kantud tegelik kahju ning põhjuslik seos kahju ja selle rikkumise vahel. Sellise hüvitise väljamõistmine ei eelda, et kurjategija omandaks andmesubjekti identiteedi, ja andmesubjekti identifitseerimisandmete omamine ei ole iseenesest identiteedivargus.

1 Algkeel: inglise.

2 Eelotsusetaotluse esitanud kohus ei anna kurjategijate tegudele täpset õiguslikku kvalifikatsiooni riigisisese õiguse alusel. Mõiste „vargus“ on lai ja võib hõlmata andmete omastamist kolmandate isikute poolt.

3 Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1) (edaspidi „isikuandmete kaitse üldmäärus“).

4 Eelotsusetaotlustes on märgitud ka seda, et „[v]äärtpaberikontot haldas virtuaalne nõustaja, mistõttu ei nähtunud tehtud tehingust hageja riskivalmiduse profiili“.

5 Vt selle kohta 2. septembri 2021. aasta kohtuotsus OTP Jelzálogbank jt (C‑932/19, EU:C:2021:673, punkt 26 ja seal viidatud kohtupraktika).

6 Euroopa Kohus on tõlgendanud isikuandmete kaitse üldmääruse artiklit 82 nii, et „kantud“ või „tekitatud“ „kahju“ olemasolu on üks kolmest selles sättes ette nähtud hüvitise saamise õiguse tingimusest. Pelgalt isikuandmete kaitse üldmääruse rikkumine ei anna õigust hüvitisele. 4. mai 2023. aasta kohtuotsus Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju) (C‑300/21, EU:C:2023:370, punktid 32 ja 42) (edaspidi „kohtuotsus Österreichische Post“).

7 Vt analoogia alusel 12. detsembri 2019. aasta kohtuotsus Slovenské elektrárne (C‑376/18, EU:C:2019:1068, punkt 29).

8 Vt eelotsusetaotluse esitanud kohtu viienda küsimuse sõnastus.

9 Vt Euroopa Andmekaitsenõukogu suunised 01/2021 isikuandmetega seotud rikkumisest teatamise näidete kohta, vastu võetud 14. detsembril 2021, versioon 2.0, kättesaadav veebiaadressil https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf (europa.eu) (edaspidi „2021. aasta suunised“).

10 4. aprilli 2017. aasta kohtuotsus ombudsman vs. Staelen (C‑337/15 P, EU:C:2017:256, punktid 91–95 ja 127–131).

11 Isikuandmete kaitse üldmääruse artikli 4 punktis 1 on sätestatud, et „isikuandmed“ on „igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal“.

12 Vt isikuandmete kaitse üldmääruse põhjendus 146.

13 Euroopa Kohus ei ole mõistet „mittevaraline kahju“ isikuandmete kaitse üldmääruse artikli 82 kontekstis määratlenud. Nõustun kohtujurist Pitruzzellaga, et ärritusest või ebamugavustundest oma andmete „häkkimise“ pärast ei piisa. Sellise nõude rahuldamiseks peab andmesubjekt tõendama, et hirm oma andmete kuritarvitamise ees on põhjustanud talle „emotsionaalset kahju“. Vt kohtujurist Pitruzzella ettepanek kohtuasjas Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punktid 81–83).

14 Kohtuotsus Österreichische Post, punkt 30.

15 Vt isikuandmete kaitse üldmääruse artikli 82 lõige 2 ja kohtuotsus Österreichische Post, punktid 32 ja 50.

16 Kohtuotsus Österreichische Post, punktid 33 ja 34. Vt ka kohtujurist Pitruzzella ettepanek kohtuasjas Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punkt 61).

17 Kohtuotsus Österreichische Post, punkt 58. Vt ka kohtujurist Campos Sánchez-Bordona ettepanek kohtuasjas Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju) (C‑300/21, EU:C:2022:756, punktid 27–55) ning kohtujurist Pitruzzella ettepanek kohtuasjas Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punkt 74).

18 Kohtuotsus Österreichische Post, punkt 58.

19 Kohtuotsus Österreichische Post, punktid 31–33, 51 ja 58. Vt ka isikuandmete kaitse üldmääruse põhjendus 146. Vt seevastu kohtujurist Campos Sánchez-Bordona ettepanek kohtuasjas Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju) (C‑300/21, EU:C:2022:756, punkt 105) ja kohtujurist Pitruzzella ettepanek kohtuasjas Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punkt 78).

20 Vt selle kohta kohtuotsus Österreichische Post, punkt 37.

21 Tundub, et vastutusest vabanemiseks võib vastutava(te)l töötleja(te)l ja/või volitatud töötleja(te)l olla vaja tõendada negatiivset asjaolu.

22 Kohtujurist Pitruzzella leiab, et isikuandmete kaitse üldmääruse artikli 82 kohase vastutuse vältimiseks peavad selliste avalik-õiguslike ja eraõiguslike isikute süsteemide vastutavad töötlejad, kus on suur hulk isikuandmeid, ette nägema asjakohased meetmed just oma süsteemide kaitsmiseks väljastpoolt tulevate rünnakute vastu: vt tema ettepanek kohtuasjas Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punktid 65–67). Sellised ennetavad meetmed võivad olla koormavad ja kulukad. Isikuandmete kaitse üldmääruse artikkel 82 ise paneb vastutavatele töötlejatele ja volitatud töötlejatele väga suure hoolsuskohustuse.

23 Vt selle kohtuotsuse punktid 32 ja 50. Vt ka käesoleva ettepaneku punkt 24 ja 6. joonealune märkus.

24 Isikuandmete kaitse üldmääruse põhjendus 75.

25 Isikuandmete kaitse üldmääruse põhjendus 85.

26 See ilmneb sõnade „võivad“, „võib“ ja „eelkõige“ kasutamisest selles põhjenduses.

27 See ilmneb sõnade „võib“ ja „nagu“ kasutamisest selles põhjenduses. Vt analoogia alusel 22. detsembri 2008. aasta kohtuotsus Wallentin-Hermann (C‑549/07, EU:C:2008:771, punkt 22).

28 Isikuandmete kaitse üldmääruse artikli 4 punktis 12 on „isikuandmetega seotud rikkumine“ määratletud kui „turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avaldamise või neile juurdepääsu“.

29 Põhjendused hõlbustavad ELi õigusaktide tõlgendamist ja mõistmist, osutades muu hulgas nende eesmärkidele ja vastuvõtmise kontekstile. Need aitavad kindlaks teha mitmeti mõistetavate õigusnormide tähendust. Põhjendusi ei saa kasutada sätte tõlgendamiseks contra legem. 19. novembri 1998. aasta kohtuotsus Nilsson jt (C‑162/97, EU:C:1998:554, punkt 54).

30 Vt nt nõukogu ja komisjoni 22. juuli 2013. aasta otsuse 2013/490/EL ühelt poolt Euroopa ühenduste ja nende liikmesriikide ning teiselt poolt Serbia Vabariigi vahelise stabiliseerimis- ja assotsieerimislepingu sõlmimise kohta (ELT 2013, L 278, lk 14) artikli 86 punkt e ning Euroopa Parlamendi ja nõukogu 20. mai 2019. aasta määruse (EL) 2019/817, millega luuakse ELi infosüsteemide koostalitlusvõime raamistik piiride ja viisade valdkonnas ning muudetakse Euroopa Parlamendi ja nõukogu määrusi (EÜ) nr 767/2008, (EL) 2016/399, (EL) 2017/2226, (EL) 2018/1240, (EL) 2018/1726 ja (EL) 2018/1861 ning nõukogu otsuseid 2004/512/EÜ ja 2008/633/JSK (ELT 2019, L 135, lk 27), artikli 2 lõike 2 punkt b ning artiklid 21 ja 25.

31 Euroopa Parlamendi ja nõukogu 12. augusti 2013. aasta direktiivi 2013/40/EL, milles käsitletakse infosüsteemide vastu suunatud ründeid ja millega asendatakse nõukogu raamotsus 2005/222/JSK (ELT 2013, L 218, lk 8), põhjenduses 14 on märgitud, et „[k]überkuritegevuse vastase võitluse integreeritud lähenemisviisi täiendavaks oluliseks elemendiks on tõhusate meetmete kehtestamine identiteedivarguse ja teiste identiteediga seonduvate kuritegude vastu“. Euroopa Parlamendi ja nõukogu 17. aprilli 2019. aasta direktiivi (EL) 2019/713, mis käsitleb mittesularahaliste maksevahenditega seotud pettuste ja võltsimise vastast võitlust ja millega asendatakse nõukogu raamotsus 2001/413/JSK (ELT 2019, L 123, lk 18), põhjendus 31 on järgmine: „Mittesularahaliste maksevahenditega seotud pettus ja võltsimine võivad põhjustada ohvritele tõsiseid majanduslikke ja muid tagajärgi. Kui sellise pettusega kaasneb näiteks identiteedivargus, on tagajärjed maine- ja ametialase kahju, isiku krediidireitingule põhjustatud kahju ja tõsise emotsionaalse kahju tõttu sageli veel raskemad“. Selle direktiivi põhjenduses 33 on märgitud, et „[l]iikmesriigid peaksid võtma meetmeid selliste ohvrite abistamiseks ja toetamiseks, tuginedes kõnealuses direktiivis sätestatud meetmetele, kuid reageerides vahetumalt identiteedivargusega seotud pettuse ohvrite konkreetsetele vajadustele“.

32 Mõistet „identiteedivargus või ‑pettus“ kasutatakse ilma määratluseta muude ELi õigusaktide põhjendustes. Vt nt Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määruse (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT 2018, L 295, lk 39), põhjendus 46 ning Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, L 119, lk 89), põhjendused 51 ja 61.

33 Komisjoni 21. novembri 2018. aasta määruse (EL) 2018/1798, millega rakendatakse Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 808/2004 infoühiskonda käsitleva ühenduse statistika kohta vaatlusaastal 2019 (ELT 2018, L 296, lk 2), II lisa sisaldab mitut identiteedivarguse näidet või viidet. Nende hulgas on nii näide „keegi varastab vastaja isikuandmed ja esineb vastajana, sooritades näiteks tema nime all oste“ kui ka näide „identiteedivargus võrgus“.

34 Vt seevastu Prantsuse karistusseadustiku (Code pénal français, mida on muudetud 30. juuli 2020. aasta seadusega nr 2020-936 (LOI n°2020-936 du 30 juillet 2020)) artikkel 226-4-1, milles on sätestatud: „Teise isiku identiteedi vargus või tema identifitseerimist võimaldavate andmete kasutamine, et häirida tema või teiste meelerahu või kahjustada tema au või mainet, on karistatav üheaastase vangistuse ja 15 000 euro suuruse rahatrahviga. Samu karistusi kohaldatakse juhul, kui kuritegu pannakse toime üldkasutatavas veebipõhises sidevõrgus. Kui need teod on toime pannud kannatanu abikaasa või elukaaslane või kannatanuga registreeritud kooselu lepingu (pacte civil de solidarité) alusel seotud partner, karistatakse selliste tegude eest kahe aasta pikkuse vangistuse ja 30 000 euro suuruse rahatrahviga.“ Ameerika Ühendriikide seadustiku 18. jaotise (18 U.S. Code) § 1028A punkti a lõikes 1 on identiteedivargus raskendavatel asjaoludel sätestatud Ameerika Ühendriikide föderaalkuriteona. Selles on ette nähtud, et „isikut, kes annab punktis c loetletud mis tahes kuriteo toimepanemisel või sellega seoses teadlikult üle, valdab või kasutab seadusliku aluseta teise isiku identifitseerimisvahendit, karistatakse lisaks selle kuriteo eest ette nähtud karistusele kahe aasta pikkuse vangistusega“. Vt ka Ameerika Ühendriikide seadustiku 18. jaotise (18 U.S. Code) § 1028 punkti a lõige 7, milles on identiteedivargus sätestatud Ameerika Ühendriikide föderaalkuriteona.

35 Sellest tulenev kontrolli kaotamine varastatud isikuandmete üle.

36 Identiteedivarguseks on vaja, et kurjategija kujutaks andmesubjekti vääralt, näiteks kehastuks andmesubjektiks või esitleks end andmesubjektina.

37 Vastupidi SO väidetele, mis on esitatud käesoleva ettepaneku punktis 18, ei anna varastatud andmete laad ja ulatus alust eeldada identiteedivargust, kui neid andmeid ei ole kasutatud (kuritarvitavalt) või selliseks kasutuseks ei ole astutud konkreetseid samme.

38 Identiteedivarguse näidete kohta vt Euroopa Liidu Küberturvalisuse Amet (ENISA), „Identity theft – ENISA Threat Landscape –January 2019 to April 2020“, kättesaadav veebiaadressil https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-identity-theft; 2021. aasta suuniste punkt 7.1, kättesaadav veebiaadressil https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf (europa.eu), ja Euroopa Andmekaitsenõukogu suunised 01/2022 andmesubjekti õiguste kohta – õigus tutvuda andmetega, versioon 1.0, vastu võetud 18. jaanuaril 2022, punkt 105, kättesaadav veebiaadressil https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf.

39 Kui on täidetud käesoleva ettepaneku punktis 24 kirjeldatud kolm tingimust.

40 Kohtujurist Campos Sánchez-Bordona märkis oma ettepanekus kohtuasjas Österreichische Post (isikuandmete töötlemisega seotud mittevaraline kahju) (C‑300/21, EU:C:2022:756, punktid 98 ja 99), et isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 toodud näited ohu või kahju kohta võivad olla „tõsised“ või „kõige raskemad“. Praktikas aitab identiteedivarguse või ‑pettuse esinemine tuvastada kahju olemasolu.

41 See tuleneb sellest, et „identiteedipettus või ‑vargus“ on isikuandmete kaitse üldmääruse põhjendustes 75 ja 85 esitatud koos teiste ohtude või kahju näidetega, nagu „diskrimineerimine“, „rahaline kahju“ ja „maine kahjustamine“.