Ideiglenes változat
ANTHONY MICHAEL COLLINS
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2023. október 26.(1)
C‑182/22. és C‑189/22. sz. egyesített ügyek
JU (C‑182/22)
SO (C‑189/22)
kontra
Scalable Capital GmbH
(az Amtsgericht München [müncheni helyi bíróság, Németország] által benyújtott előzetes döntéshozatal iránti kérelem)
„Előzetes döntéshozatal – A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme – (EU) 2016/679 rendelet – A 82. cikk (1) bekezdése – Az e rendeletet sértő adatkezeléssel okozott kár megtérítéséhez való jog – Nem vagyoni kár – Adatlopás – Személyazonosság‑lopás vagy személyazonossággal való visszaélés”
I. Bevezetés
1. A Scalable Capital GmbH (a továbbiakban: Scalable Capital) ellen JU által (C‑182/22. sz. ügy) és SO által (C‑189/22. sz. ügy) benyújtott, nagymértékben hasonló keresetben a felperesek nem vagyoni kártérítést követelnek az állítólagos fájdalom és szenvedés miatt, amelyet az előterjesztő bíróság közlése szerint a Scalable Capital által kezelt kereskedési alkalmazáson tárolt személyes adataik ismeretlen harmadik személyek általi ellopása(2) okozott. A szóban forgó adatokat harmadik személyek mindeddig nem használták fel csalárd módon, illetve egyéb célra. Az Amtsgericht München (müncheni helyi bíróság, Németország) a Bíróság iránymutatását kéri az (EU) 2016/679 rendelet(3) 82. cikkében foglalt nem vagyoni kár fogalmának értelmezése, valamint az ilyen kár megtérítésének feltételei tekintetében. E bíróság különösen arra vár választ, hogy az említett adatok ellopása a GDPR (75) preambulumbekezdésében hivatkozott „személyazonosság‑lopásnak” minősül‑e.
II. Jogi háttér – Az uniós jog
2. A GDPR (75) preambulumbekezdése értelmében:
„A természetes személyek jogait és szabadságait érintő – változó valószínűségű és súlyosságú – kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság‑lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes adataik felett; […].”
3. A GDPR (85) preambulumbekezdése kimondja:
„Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság‑lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt. […]”
4. A GDPR (146) preambulumbekezdésének szövegezése a következő:
„Az adatkezelő vagy az adatfeldolgozó az e rendeletet sértő adatkezelés miatt okozott kárt köteles megtéríteni. […] A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit. […] Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg.”
5. A GDPR „A kártérítéshez való jog és a felelősség” címet viselő 82. cikke értelmében:
„(1) Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.
(2) Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be az e rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.
(3) Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.
[…]”
III. Az alapeljárások és az előzetes döntéshozatalra előterjesztett kérdések
6. JU és SO befektetési számlát nyitott a Scalable Capital által kezelt kereskedési alkalmazásban. Személyazonosságuk igazolása érdekében mindketten személyes adatokat rögzítettek az alkalmazásban, ideértve a nevüket, születési dátumukat, postai és e‑mail címüket, valamint személyi igazolványuk digitális másolatát.(4) Az nem vitatott, hogy ezen adatokat ismeretlen elkövetők ellopták.
7. Az Amtsgericht München (müncheni helyi bíróság) úgy ítélte meg, hogy a lopás viszonylag érzékeny adatokat érintett, és megállapította, hogy JU és SO a GDPR 82. cikke alapján kártérítésre jogosult. Mivel a JU és SO részére megítélendő kártérítés összege a GDPR 82. cikkének értelmezésétől függ, az említett bíróság úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) Úgy kell‑e értelmezni a [GDPR] 82. cikkét, hogy a kártérítési igénynek még az összeg megállapítása során sincs szankciós jellege, különösen nincs általános vagy egyedi elrettentő funkciója, hanem a kártérítési igénynek csak kompenzációs és esetleg elégtételi funkciója van?
2.a) A nem vagyoni kártérítési igény értékelése során abból az értelmezésből kell‑e kiindulni, hogy a kártérítéshez való jognak van egy egyéni elégtételi funkciója is – jelen esetben a károsult magánszférájába tartozó azon érdekként értve, hogy a károkozó magatartás szankcionálását láthassa –, vagy a kártérítéshez való jognak csak kompenzációs funkciója van, ami alatt jelen esetben az elszenvedett sérelmek kompenzálásának funkcióját kell érteni?
2.b.1) Amennyiben úgy kell tekinteni, hogy a nem vagyoni kártérítéshez való jognak kompenzációs és elégtételi funkciója is van: az értékelés során abból kell‑e kiindulni, hogy a kompenzációs funkciónak rendszertani vagy legalábbis főszabály‑kivétel viszony szempontjából elsőbbséget kell tulajdonítani az elégtételi funkcióval szemben? Ez azt jelenti‑e, hogy az elégtételi funkció csak szándékos vagy súlyosan gondatlan jogsértések esetén jöhet szóba?
2.b.2) Ha a nem vagyoni kártérítési igénynek nincs elégtételi funkciója: az értékelés során csak az okozati közrehatásként értékelendő szándékos vagy súlyos gondatlanságból elkövetett adatvédelmi incidenseknek van nagyobb súlyuk?
3) A nem vagyoni kártérítési igény értékelése során ki lehet‑e indulni abból az értelmezésből, hogy létezik egy olyan rendszerszintű vagy legalábbis olyan főszabály‑kivétel viszonyon alapuló hierarchia, amely alapján a személyes adatok védelméhez való jog megsértéséből eredő sérelem megélését kisebb súlyúnak kell értékelni, mint a testi sértéssel együtt járó sérülés és fájdalom érzését?
4) Kár megállapítása esetén a súlyosság hiányára tekintettel van‑e lehetősége a nemzeti bíróságnak egy összegszerűségében a csekély mértéket meg nem haladó és így az ügy körülményeihez képest a károsult által vagy általánosságban véve is jelképesnek tekintett kártérítést megítélni?
5) A nem vagyoni kártérítés következményeinek megítélése során abból az értelmezésből kell‑e kiindulni, hogy a [GDPR] (75) preambulumbekezdése értelmében vett személyazonosság‑lopás csak akkor valósul meg, ha az elkövető ténylegesen felvette az érintett személyazonosságát, azaz valamilyen formában az érintettnek adta ki magát, vagy az ilyen személyazonosság‑lopás már azáltal is bekövetkezik, hogy az elkövetők immár olyan adatokkal rendelkeznek, amelyekkel az érintett azonosíthatóvá válik?”
IV. A Bíróság előtti eljárás
8. A Bíróság elnöke a 2022. április 19‑i határozatában az írásbeli és a szóbeli szakasz lefolytatása, valamint az ítélethozatal céljából egyesítette a C‑182/22. és a C‑189/22. sz. ügyeket.
9. A Bíróság elnöke 2022. június 1‑jén elutasította a Scalable Capital által a Bíróság eljárási szabályzata 95. cikkének (2) bekezdése alapján benyújtott kérelmet a jelen eljárásban a névtelenség biztosítására.
10. SO, a Scalable Capital, Írország és az Európai Bizottság nyújtott be írásbeli észrevételeket.
11. Mielőtt tanácsot adnék a Bíróság számára – erre irányuló kérelme alapján –, hogy milyen választ adjon az ötödik kérdésre, először az előterjesztett kérdések elfogadhatósága ellen felhozott kifogásokkal foglalkozom.
V. Értékelés
A. Elfogadhatóság
12. A Scalable Capital szerint nem okoz a GDPR 82. cikkének (1) bekezdése értelmében vett nem vagyoni kárt, ha a személyes adatok feletti rendelkezés elvesztése az érintett személy tekintetében nem jár további következményekkel. A GDPR 82. cikkének szövege, általános rendszere és célja nem támasztja alá azon vélelmet, hogy e kár a rendelkezés elvesztésével bekövetkezik. Az előterjesztő bíróság tehát tévedett, amikor azt feltételezte, hogy JU‑t és a SO‑t nem vagyoni kár érte. Következésképp az előzetes döntéshozatal iránti kérelmek nem döntő jelentőségűek az előterjesztő bíróság előtt indított keresetek elbírálása szempontjából, és ezért elfogadhatatlanok.
13. A Bizottság úgy véli, hogy nem egyértelmű az ötödik kérdés meghatározó jellege az előterjesztő bíróság előtt indított keresetek elbírálása szempontjából. Az előterjesztő bíróság csupán utal a felek eltérő jogértelmezésére, és megállapítja, hogy „személyazonosság‑lopás csak akkor valósul meg, ha valaki a jogtalanul megszerzett adatokat az érintett személyazonosságának színlelésére használja”. Az ötödik kérdés sem várja tehát a Bíróságtól a GDPR valamely konkrét rendelkezésének értelmezését.
14. A Bíróság állandó ítélkezési gyakorlata szerint a nemzeti bíróság által az uniós jog értelmezésére vonatkozóan előterjesztett kérdések releváns voltát vélelmezni kell. Az ilyen kérdések elbírálásának Bíróság általi elutasítása csak abban az esetben lehetséges, ha nyilvánvaló, hogy az uniós jog kért értelmezése nem függ össze az alapeljárás tényállásával vagy tárgyával, illetve ha a szóban forgó probléma hipotetikus jellegű, vagy a Bíróság nem rendelkezik azon ténybeli és jogi elemek ismeretével, amelyek szükségesek ahhoz, hogy a feltett kérdéseket hatékonyan megválaszolja.(5)
15. A Scalable Capital az előterjesztett valamennyi kérdés elfogadhatóságával szembeni kifogását a GDPR 82. cikke, a kártérítéshez való jog és a nem vagyoni kár állítólagos hiánya tekintetében saját maga által végzett értelmezésre alapozza. Az előzetes döntéshozatalra előterjesztett kérdések az érintetteknek a GDPR 82. cikke szerinti kártérítéshez való jogára vonatkoznak. A kár fennállásának megállapítása a kártérítés megítélésének szükséges előfeltétele.(6) A Scalable Capital által az előzetes döntéshozatal iránti kérelmek elfogadhatóságával szemben emelt kifogás tehát az e kérelmekben felvetett kérdések érdemére vonatkozik. Az előzetes döntéshozatal iránti kérelemben felvetett kérdések érdemére vonatkozó érvek természetüknél fogva nem érintik e kérelem elfogadhatóságát.(7)
16. A Bizottság által az ötödik kérdés elfogadhatóságával szemben emelt kifogásból nem tűnik ki nyilvánvalóan, hogy az említett kérdés nem függ össze az előterjesztő bíróság előtt folyamatban lévő eljárásokkal, vagy pedig hipotetikus. Az előterjesztő bíróság a GDPR szerinti kártérítésre irányuló kereseteket bírál el. A felek abban nem értenek egyet, hogy a személyes adatok ellopása a GDPR (75) preambulumbekezdésében említett személyazonosság‑lopásnak minősül, illetve hogy a személyazonosság‑lopás csak akkor valósul meg, „ha az elkövető ténylegesen felvette az érintett személyazonosságát”(8). Noha az előterjesztő bíróság észrevételei az ötödik kérdését illetően tömörek, az előzetes döntéshozatal iránti kérelmekből kiderül, hogy e kérdés összefügg az általa előterjesztett másik négy kérdéssel, amelyek a nem vagyoni kár fogalmára és a GDPR 82. cikke szerinti kártérítéshez való jogra vonatkoznak.
17. Következésképpen azt javaslom, hogy a Bíróság utasítsa el az Amtsgericht München (müncheni helyi bíróság) által feltett kérdések elfogadhatósága ellen felhozott különböző kifogásokat.
B. Az ügy érdeméről
1. A felek észrevételei
18. SO álláspontja szerint a GDPR (85) preambulumbekezdése egyértelműen különbséget tesz a személyazonosság‑lopás és a személyazonossággal való visszaélés között. A személyazonosság‑lopás azt feltételezi, hogy az elkövető visszaélhet egy személy személyazonosságával azáltal, hogy e személyazonosság tekintetében másokat félrevezet. A személyazonossággal való visszaélés a személyazonosság‑lopás után követhető el. Ebből következik, hogy a személyazonosság‑lopás megvalósulásához nem szükséges a személyazonossággal való tényleges visszaélés. A jelen ügyben ellopott adatok jellege és terjedelme alapján vélelmezhető, hogy személyazonosság‑lopás történt, ami e címen kártérítési jogot keletkeztet.
19. A Scalable Capital állítása szerint akkor valósul meg személyazonosság‑lopás, ha valaki visszaél egy magánszemély személyes adataival abból a célból, hogy annak személyazonosságát „színlelje”. Bizonyos adatok ellopása személyazonosság‑lopáshoz vezethet, illetve azt megkönnyítheti, ám önmagában nem minősül személyazonosság‑lopásnak. A GDPR (75) preambulumbekezdésének rendszeralapú értelmezése alátámasztja ezt a megközelítést, mivel az említett rendelkezésben foglalt egyéb példák arra utalnak, hogy bizonyos személyes adatok felhasználásának lehetősége nem minősül személyazonosság‑lopásnak. A GDPR 82. cikkének célja, hogy kártérítést nyújtson a magánszemélyek által ténylegesen elszenvedett kárért. A személyazonosság‑lopás fogalmának kiterjesztő értelmezése ellentétes e céllal, mivel a kártérítési keresetet a jövőbeni kár bekövetkezésének absztrakt lehetőségére alapozná.
20. Írország azt állítja, hogy a személyazonosság‑lopás olyan helyzetre utal, amelyben valaki ténylegesen felveszi a jogosulatlan adatszerzéssel érintett személy személyazonosságát. A személyazonosság‑lopáshoz tehát nem elegendő, hogy valaki egy másik személyt azonosító adatok birtokában legyen. Mindenesetre a GDPR 82. cikke szerinti nem vagyoni kár megtérítését az egyedi esetek érdemi vizsgálata alapján kell megítélni.
21. A Bizottság megjegyzi, hogy a GDPR nem határozza meg a személyazonosság‑lopás fogalmát. A GDPR (75) és (85) preambulumbekezdése a személyazonosság‑lopást példaként említi a személyes adatok olyan kezelésére, amely fizikai, vagyoni vagy nem vagyoni károkhoz vezethet. A Bizottság szerint az említett preambulumbekezdésekben említett személyazonosság‑lopás az adatok jogellenes megszerzése az érintett személy „személyazonosságának színenlése” céljából.(9) A személyazonosság‑lopás bizonyításához konkrét cselekmények, illetve előkészítő cselekmények megjelölésével szükséges szemléltetni az elkövető azon szándékát, hogy magát az érintett személynek adja ki. Mivel az állandó ítélkezési gyakorlat szerint a kárnak „ténylegesnek és biztosnak” kell lennie,(10) nem minősül személyazonosság‑lopásnak az érintett személyt azonosító adatok egyszerű birtoklása anélkül, hogy az illető bármilyen lépést tett volna annak érdekében, hogy az érintett személynek adja ki magát.
2. Elemzés
22. Az előterjesztő bíróság ötödik kérdése annak megállapítására irányul, hogy az érintett különleges személyes adatainak(11) ismeretlen elkövető általi ellopása önmagában személyazonosság‑lopásnak minősül‑e, és ezáltal kártérítésre való jogosultságot keletkeztet‑e, vagy pedig ahhoz, hogy ez bekövetkezzen, az elkövetőnek ténylegesen fel kell vennie az érintett személyazonosságát, illetve e célból lépéseket kell tennie. E kérdés azon megállapítással összefüggésben merül fel, hogy a Scalable Capital kereskedési alkalmazásából JU és SO egyes különleges adatait ismeretlen elkövetők ellopták. Noha úgy tűnik, hogy az adatok további (visszaélésszerű) felhasználására nem került sor, nem lehet kizárni az ilyen jövőbeli (visszaélésszerű) felhasználást, mivel az elkövetők személyazonossága ismeretlen, és elfogásuk azóta sem történt meg.
23. A GDPR 82. cikke nagy vonalakban(12) megerősíti az e rendelet megsértése következtében „vagyoni vagy nem vagyoni kárt” elszenvedett bármely személy kártérítéshez való jogát, és a felelősséget az adatkezelő(k) és/vagy az adatfeldolgozó(k) között osztja meg. E rendelkezés nem határozza meg sem az ilyen kár konkrét természetét, sem jellegét. A GDPR nem utal a tagállamok jogára a „nem vagyoni kár” kifejezés(13) jelentésének és terjedelmének meghatározása érdekében. E kifejezés ezért az uniós jog önálló fogalmaként kezelendő, és azt az összes tagállamban egységesen kell értelmezni.(14)
24. A GDPR 82. cikke szerinti kártérítés a GDPR megsértése, a „ténylegesen elszenvedett kár”, valamint a jogsértés és a kár közötti okozati összefüggés bizonyítása esetén fizetendő.(15) A GDPR nem rendelkezik objektív felelősségi rendszerről.(16) A GDPR 82. cikkének (1) bekezdése által bevezetett rendszer kompenzációs jellege kizárja a büntető jellegű kártérítés megítélését is.(17) A szóban forgó kártérítésnek teljesnek és ténylegesnek kell lennie, ami megköveteli „a [GDPR] megsértése miatt konkrétan elszenvedett kár teljes egészében való kompenzálását”.(18) Az érintettet ért nem vagyoni kárnak nem kell elérnie egy bizonyos súlyossági küszöböt.(19) Bár a nem vagyoni kár szintje tekintetében nincs de minimis küszöbérték, ám egyértelmű és pontos bizonyítékkal kell rendelkezni az érintettet ért ilyen kárról. A potenciális vagy hipotetikus kár,(20) illetve a személyes adatok ellopása miatt érzett puszta nyugtalanság nem elegendő.
25. A GDPR 82. cikkének (3) bekezdése mentesíti az adatkezelőt, illetve adatfeldolgozót a felelősség alól, „ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség”. A Bíróságnak még nem volt alkalma részletekbe menően vizsgálni a GDPR 82. cikkének (3) bekezdését. E rendelkezés szó szerinti értelmezésében úgy tűnik, hogy az adatkezelő vagy az adatfeldolgozó bármilyen (közreható) gondatlansága vagy mulasztása elegendő a mentesülés kizárásához. Ezenkívül az e rendelkezés által a mentesülni kívánó adatkezelő(k)re, illetve adatfeldolgozó(k)ra rótt bizonyítási teher(21) az adatvédelmi incidensek megelőzésére irányuló intézkedések folyamatos végrehajtását követelheti meg.(22)
26. Az érintett személyes adatainak ellopása a GDPR 82. cikkének (1) bekezdése alapján nem vagyoni kártérítésre való jogosultságot eredményez, amennyiben az Österreichische Post ítéletben(23) meghatározott három feltétel teljesül. A GDPR (7) preambulumbekezdése szerint „A természetes személyek számára biztosítani kell, hogy saját személyes adataik felett maguk rendelkezzenek.” Ha az érintettek „nem rendelkezhetnek saját személyes adataik felett”,(24) vagy ha a természetes személyek elveszítik „a személyes adataik feletti rendelkezés[t]”,(25) az nem vagyoni kárt okozhat. Az előterjesztő bíróság ebben az összefüggésben vizsgálja azt, hogy a személyes adatok ellopása személyazonosság‑lopásnak minősül‑e.
27. A GDPR rendelkező része nem hivatkozik a személyazonosság‑lopásra, és nem is határozza meg azt. A GDPR (75) és (85) preambulumbekezdésében egyszerűen csak „személyazonosság‑lopás vagy személyazonossággal való visszaélés” szerepel. A (75) preambulumbekezdésben a „személyazonosság‑lopás, vagy személyazonossággal való visszaélés” mindössze egy példa a személyes adatok kezeléséből származó, a természetes személyek jogait és szabadságait érintő kockázatok nem kimerítő felsorolásában.(26) A GDPR (85) preambulumbekezdése „a személyazonosság‑lopást vagy a személyazonossággal való visszaélést” szintén csak példaként említi(27) az adatvédelmi incidens által – megfelelő és kellő idejű intézkedés hiányában – okozott károk között.(28)
28. Más uniós jogszabályok számos preambulumbekezdése(29) és rendelkezése(30) hivatkozik olyan kifejezésekre, mint a „személyazonosság‑lopás”,(31) „személyazonossággal való visszaélés” és „személyazonosság‑lopás vagy személyazonossággal való visszaélés”(32). Az uniós jogszabályokban nem találtam egyetlen olyan rendelkezést sem, amely e fogalmakat meghatározta volna.(33)Az uniós jogalkotó tehát szemléltetés céljából hivatkozik az említett kifejezésekre.(34)
29. Ez a GDPR (75) és (85) preambulumbekezdésében szereplő kifejezések különböző nyelvi változatainak vizsgálatából is kitűnik. Míg a német (Identitätsdiebstahl oder ‑betrug), angol (identity theft or fraud), észt (identiteedivargust või ‑pettust), ír (goid aitheantais nó calaois aitheantais), litván (būti pavogta ar suklastota tapatybė), holland (identiteitsdiefstal of ‑fraude), a lengyel (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), a román (furt sau fraudă a identității) és a szlovák (krádeži totožnosti alebo podvodu) nyelvi változatok nagyrészt hasonlóak, más nyelvi változatok különböző mértékben eltérőek: cseh (krádeži či zneužití identity), francia (vol ou une usurpation d'identité), görög (κατάχρηση ή υποκλοπή ταυτότητας), portugál (usurpação ou roubo da identidade), olasz (furto o usurpazione d'identità) és spanyol (usurpación de identidad o fraude). A GDPR vonatkozó preambulumbekezdéseinek különböző nyelvi változatai azt jelzik, hogy a személyazonosság‑lopás, személyazonossággal való visszaélés, visszaélés a személyazonossággal, a személyazonosság visszaélésszerű felhasználása, a személyazonosság jogosulatlan felhasználása és a személyazonosság bitorlása kifejezések átfedik egymást, és – legalábbis bizonyos mértékig – felcserélhetőnek tekinthetők. Ebből következik, hogy a GDPR (75) és (85) preambulumbekezdése nem tesz egyértelmű különbséget a személyazonosság‑lopás és a személyazonossággal való visszaélés között, ellentétben SO az ezen indítvány 18. pontjában részletezett állításaival.
30. A GDPR (75) és (85) preambulumbekezdése a „rendelkezés elvesztése”, illetve a személyes adatok feletti „rendelkezés” lehetetlensége, valamint a „személyazonosság‑lopás vagy a személyazonossággal való visszaélés” között tesz különbséget. Következésképpen a személyes adatok ellopása(35) önmagában nem minősül személyazonosság‑lopásnak, még akkor sem, ha e lopás az adatok jövőbeli (visszaélésszerű) felhasználásához vezethet. A személyazonosság‑lopás olyan további cselekményt vagy fellépést igényel, amelynek az érintett tekintetében a személyes adatok ellopásán túlmutató káros hatásai vannak.(36) Az érintett személyes adatait eltulajdonító személynek ezen adatokat az érintett hozzájárulása nélkül, jogellenes célokra (visszaélésszerű módon) kell használnia, illetve konkrét lépéseket kell tennie azok (visszaélésszerű) használatára.(37) Az ilyen cselekmény jellemzően csalással vagy a megtévesztés más formájával jár, és általában pénzügyi vagy egyéb haszonszerzés céljából, illetve az érintett vagy annak környezete megkárosítása érdekében történik.(38)
31. A fentiekből következik, hogy bár a személyes adatok ellopása nem minősül személyazonosság‑lopásnak vagy személyazonossággal való visszaélésnek, a lopás a GDPR 82. cikkének (1) bekezdése szerinti nem vagyoni kárt és kártérítésre való jogot eredményezhet.(39) A nem vagyoni kár bizonyítása könnyebb, ha az érintettről kiderül, hogy személyes adatainak ellopása következtében személyazonosság‑lopás vagy személyazonossággal való visszaélés áldozata lett.(40) A személyes adatok ellopásával okozott nem vagyoni kárnak a GDPR 82. cikkének (1) bekezdésében foglalt megtérítéséhez való jog ugyanakkor nem függ a személyazonosság‑lopás vagy személyazonossággal való visszaélés bekövetkeztétől.(41) A GDPR 82. cikkének (1) bekezdése szerinti nem vagyoni kárt és kártérítéshez való jogot az egyedi eset alapján, az összes meghatározó körülmény figyelembevételével kell értékelni.
VI. Végkövetkeztetések
32. A fenti megfontolások tükrében azt javaslom a Bíróságnak, hogy az Amtsgericht München (müncheni helyi bíróság, Németország) által előterjesztett ötödik kérdésre a következőképpen válaszoljon:
„A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 82. cikkének (1) bekezdését
úgy kell értelmezni, hogy az érintettek különleges adatainak ismeretlen elkövető általi ellopása nem vagyoni kár megtérítésére adhat jogosultságot, amennyiben az általános adatvédelmi rendelet megsértése, a ténylegesen elszenvedett kár, valamint a kár és a jogsértés közötti okozati összefüggés bizonyított. Az ilyen kártérítés megítéléséhez nem szükséges, hogy az elkövető felvegye az érintett személyazonosságát, továbbá az érintettet azonosító adatok birtoklása önmagában nem minősül személyazonosság‑lopásnak.”