Language of document : ECLI:EU:C:2023:820

Ideiglenes változat

ANTHONY MICHAEL COLLINS

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2023. október 26.(1)

C182/22. és C189/22. sz. egyesített ügyek

JU (C182/22)

SO (C189/22)

kontra

Scalable Capital GmbH

(az Amtsgericht München [müncheni helyi bíróság, Németország] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal – A természetes személyeknek a személyes adatok kezelése tekintetében történő védelme – (EU) 2016/679 rendelet – A 82. cikk (1) bekezdése – Az e rendeletet sértő adatkezeléssel okozott kár megtérítéséhez való jog – Nem vagyoni kár – Adatlopás – Személyazonosság‑lopás vagy személyazonossággal való visszaélés”






I.      Bevezetés

1.        A Scalable Capital GmbH (a továbbiakban: Scalable Capital) ellen JU által (C‑182/22. sz. ügy) és SO által (C‑189/22. sz. ügy) benyújtott, nagymértékben hasonló keresetben a felperesek nem vagyoni kártérítést követelnek az állítólagos fájdalom és szenvedés miatt, amelyet az előterjesztő bíróság közlése szerint a Scalable Capital által kezelt kereskedési alkalmazáson tárolt személyes adataik ismeretlen harmadik személyek általi ellopása(2) okozott. A szóban forgó adatokat harmadik személyek mindeddig nem használták fel csalárd módon, illetve egyéb célra. Az Amtsgericht München (müncheni helyi bíróság, Németország) a Bíróság iránymutatását kéri az (EU) 2016/679 rendelet(3) 82. cikkében foglalt nem vagyoni kár fogalmának értelmezése, valamint az ilyen kár megtérítésének feltételei tekintetében. E bíróság különösen arra vár választ, hogy az említett adatok ellopása a GDPR (75) preambulumbekezdésében hivatkozott „személyazonosság‑lopásnak” minősül‑e.

II.    Jogi háttér – Az uniós jog

2.        A GDPR (75) preambulumbekezdése értelmében:

„A természetes személyek jogait és szabadságait érintő – változó valószínűségű és súlyosságú – kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság‑lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes adataik felett; […].”

3.        A GDPR (85) preambulumbekezdése kimondja:

„Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság‑lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt. […]”

4.        A GDPR (146) preambulumbekezdésének szövegezése a következő:

„Az adatkezelő vagy az adatfeldolgozó az e rendeletet sértő adatkezelés miatt okozott kárt köteles megtéríteni. […] A kár fogalmát a Bíróság ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit. […] Az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg.”

5.        A GDPR „A kártérítéshez való jog és a felelősség” címet viselő 82. cikke értelmében:

„(1)      Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.

(2)      Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az e rendeletet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be az e rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.

(3)      Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

[…]”

III. Az alapeljárások és az előzetes döntéshozatalra előterjesztett kérdések

6.        JU és SO befektetési számlát nyitott a Scalable Capital által kezelt kereskedési alkalmazásban. Személyazonosságuk igazolása érdekében mindketten személyes adatokat rögzítettek az alkalmazásban, ideértve a nevüket, születési dátumukat, postai és e‑mail címüket, valamint személyi igazolványuk digitális másolatát.(4) Az nem vitatott, hogy ezen adatokat ismeretlen elkövetők ellopták.

7.        Az Amtsgericht München (müncheni helyi bíróság) úgy ítélte meg, hogy a lopás viszonylag érzékeny adatokat érintett, és megállapította, hogy JU és SO a GDPR 82. cikke alapján kártérítésre jogosult. Mivel a JU és SO részére megítélendő kártérítés összege a GDPR 82. cikkének értelmezésétől függ, az említett bíróság úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      Úgy kell‑e értelmezni a [GDPR] 82. cikkét, hogy a kártérítési igénynek még az összeg megállapítása során sincs szankciós jellege, különösen nincs általános vagy egyedi elrettentő funkciója, hanem a kártérítési igénynek csak kompenzációs és esetleg elégtételi funkciója van?

2.a)      A nem vagyoni kártérítési igény értékelése során abból az értelmezésből kell‑e kiindulni, hogy a kártérítéshez való jognak van egy egyéni elégtételi funkciója is – jelen esetben a károsult magánszférájába tartozó azon érdekként értve, hogy a károkozó magatartás szankcionálását láthassa –, vagy a kártérítéshez való jognak csak kompenzációs funkciója van, ami alatt jelen esetben az elszenvedett sérelmek kompenzálásának funkcióját kell érteni?

2.b.1)      Amennyiben úgy kell tekinteni, hogy a nem vagyoni kártérítéshez való jognak kompenzációs és elégtételi funkciója is van: az értékelés során abból kell‑e kiindulni, hogy a kompenzációs funkciónak rendszertani vagy legalábbis főszabály‑kivétel viszony szempontjából elsőbbséget kell tulajdonítani az elégtételi funkcióval szemben? Ez azt jelenti‑e, hogy az elégtételi funkció csak szándékos vagy súlyosan gondatlan jogsértések esetén jöhet szóba?

2.b.2)      Ha a nem vagyoni kártérítési igénynek nincs elégtételi funkciója: az értékelés során csak az okozati közrehatásként értékelendő szándékos vagy súlyos gondatlanságból elkövetett adatvédelmi incidenseknek van nagyobb súlyuk?

3)      A nem vagyoni kártérítési igény értékelése során ki lehet‑e indulni abból az értelmezésből, hogy létezik egy olyan rendszerszintű vagy legalábbis olyan főszabály‑kivétel viszonyon alapuló hierarchia, amely alapján a személyes adatok védelméhez való jog megsértéséből eredő sérelem megélését kisebb súlyúnak kell értékelni, mint a testi sértéssel együtt járó sérülés és fájdalom érzését?

4)      Kár megállapítása esetén a súlyosság hiányára tekintettel van‑e lehetősége a nemzeti bíróságnak egy összegszerűségében a csekély mértéket meg nem haladó és így az ügy körülményeihez képest a károsult által vagy általánosságban véve is jelképesnek tekintett kártérítést megítélni?

5)      A nem vagyoni kártérítés következményeinek megítélése során abból az értelmezésből kell‑e kiindulni, hogy a [GDPR] (75) preambulumbekezdése értelmében vett személyazonosság‑lopás csak akkor valósul meg, ha az elkövető ténylegesen felvette az érintett személyazonosságát, azaz valamilyen formában az érintettnek adta ki magát, vagy az ilyen személyazonosság‑lopás már azáltal is bekövetkezik, hogy az elkövetők immár olyan adatokkal rendelkeznek, amelyekkel az érintett azonosíthatóvá válik?”

IV.    A Bíróság előtti eljárás

8.        A Bíróság elnöke a 2022. április 19‑i határozatában az írásbeli és a szóbeli szakasz lefolytatása, valamint az ítélethozatal céljából egyesítette a C‑182/22. és a C‑189/22. sz. ügyeket.

9.        A Bíróság elnöke 2022. június 1‑jén elutasította a Scalable Capital által a Bíróság eljárási szabályzata 95. cikkének (2) bekezdése alapján benyújtott kérelmet a jelen eljárásban a névtelenség biztosítására.

10.      SO, a Scalable Capital, Írország és az Európai Bizottság nyújtott be írásbeli észrevételeket.

11.      Mielőtt tanácsot adnék a Bíróság számára – erre irányuló kérelme alapján –, hogy milyen választ adjon az ötödik kérdésre, először az előterjesztett kérdések elfogadhatósága ellen felhozott kifogásokkal foglalkozom.

V.      Értékelés

A.      Elfogadhatóság

12.      A Scalable Capital szerint nem okoz a GDPR 82. cikkének (1) bekezdése értelmében vett nem vagyoni kárt, ha a személyes adatok feletti rendelkezés elvesztése az érintett személy tekintetében nem jár további következményekkel. A GDPR 82. cikkének szövege, általános rendszere és célja nem támasztja alá azon vélelmet, hogy e kár a rendelkezés elvesztésével bekövetkezik. Az előterjesztő bíróság tehát tévedett, amikor azt feltételezte, hogy JU‑t és a SO‑t nem vagyoni kár érte. Következésképp az előzetes döntéshozatal iránti kérelmek nem döntő jelentőségűek az előterjesztő bíróság előtt indított keresetek elbírálása szempontjából, és ezért elfogadhatatlanok.

13.      A Bizottság úgy véli, hogy nem egyértelmű az ötödik kérdés meghatározó jellege az előterjesztő bíróság előtt indított keresetek elbírálása szempontjából. Az előterjesztő bíróság csupán utal a felek eltérő jogértelmezésére, és megállapítja, hogy „személyazonosság‑lopás csak akkor valósul meg, ha valaki a jogtalanul megszerzett adatokat az érintett személyazonosságának színlelésére használja”. Az ötödik kérdés sem várja tehát a Bíróságtól a GDPR valamely konkrét rendelkezésének értelmezését.

14.      A Bíróság állandó ítélkezési gyakorlata szerint a nemzeti bíróság által az uniós jog értelmezésére vonatkozóan előterjesztett kérdések releváns voltát vélelmezni kell. Az ilyen kérdések elbírálásának Bíróság általi elutasítása csak abban az esetben lehetséges, ha nyilvánvaló, hogy az uniós jog kért értelmezése nem függ össze az alapeljárás tényállásával vagy tárgyával, illetve ha a szóban forgó probléma hipotetikus jellegű, vagy a Bíróság nem rendelkezik azon ténybeli és jogi elemek ismeretével, amelyek szükségesek ahhoz, hogy a feltett kérdéseket hatékonyan megválaszolja.(5)

15.      A Scalable Capital az előterjesztett valamennyi kérdés elfogadhatóságával szembeni kifogását a GDPR 82. cikke, a kártérítéshez való jog és a nem vagyoni kár állítólagos hiánya tekintetében saját maga által végzett értelmezésre alapozza. Az előzetes döntéshozatalra előterjesztett kérdések az érintetteknek a GDPR 82. cikke szerinti kártérítéshez való jogára vonatkoznak. A kár fennállásának megállapítása a kártérítés megítélésének szükséges előfeltétele.(6) A Scalable Capital által az előzetes döntéshozatal iránti kérelmek elfogadhatóságával szemben emelt kifogás tehát az e kérelmekben felvetett kérdések érdemére vonatkozik. Az előzetes döntéshozatal iránti kérelemben felvetett kérdések érdemére vonatkozó érvek természetüknél fogva nem érintik e kérelem elfogadhatóságát.(7)

16.      A Bizottság által az ötödik kérdés elfogadhatóságával szemben emelt kifogásból nem tűnik ki nyilvánvalóan, hogy az említett kérdés nem függ össze az előterjesztő bíróság előtt folyamatban lévő eljárásokkal, vagy pedig hipotetikus. Az előterjesztő bíróság a GDPR szerinti kártérítésre irányuló kereseteket bírál el. A felek abban nem értenek egyet, hogy a személyes adatok ellopása a GDPR (75) preambulumbekezdésében említett személyazonosság‑lopásnak minősül, illetve hogy a személyazonosság‑lopás csak akkor valósul meg, „ha az elkövető ténylegesen felvette az érintett személyazonosságát”(8). Noha az előterjesztő bíróság észrevételei az ötödik kérdését illetően tömörek, az előzetes döntéshozatal iránti kérelmekből kiderül, hogy e kérdés összefügg az általa előterjesztett másik négy kérdéssel, amelyek a nem vagyoni kár fogalmára és a GDPR 82. cikke szerinti kártérítéshez való jogra vonatkoznak.

17.      Következésképpen azt javaslom, hogy a Bíróság utasítsa el az Amtsgericht München (müncheni helyi bíróság) által feltett kérdések elfogadhatósága ellen felhozott különböző kifogásokat.

B.      Az ügy érdeméről

1.      A felek észrevételei

18.      SO álláspontja szerint a GDPR (85) preambulumbekezdése egyértelműen különbséget tesz a személyazonosság‑lopás és a személyazonossággal való visszaélés között. A személyazonosság‑lopás azt feltételezi, hogy az elkövető visszaélhet egy személy személyazonosságával azáltal, hogy e személyazonosság tekintetében másokat félrevezet. A személyazonossággal való visszaélés a személyazonosság‑lopás után követhető el. Ebből következik, hogy a személyazonosság‑lopás megvalósulásához nem szükséges a személyazonossággal való tényleges visszaélés. A jelen ügyben ellopott adatok jellege és terjedelme alapján vélelmezhető, hogy személyazonosság‑lopás történt, ami e címen kártérítési jogot keletkeztet.

19.      A Scalable Capital állítása szerint akkor valósul meg személyazonosság‑lopás, ha valaki visszaél egy magánszemély személyes adataival abból a célból, hogy annak személyazonosságát „színlelje”. Bizonyos adatok ellopása személyazonosság‑lopáshoz vezethet, illetve azt megkönnyítheti, ám önmagában nem minősül személyazonosság‑lopásnak. A GDPR (75) preambulumbekezdésének rendszeralapú értelmezése alátámasztja ezt a megközelítést, mivel az említett rendelkezésben foglalt egyéb példák arra utalnak, hogy bizonyos személyes adatok felhasználásának lehetősége nem minősül személyazonosság‑lopásnak. A GDPR 82. cikkének célja, hogy kártérítést nyújtson a magánszemélyek által ténylegesen elszenvedett kárért. A személyazonosság‑lopás fogalmának kiterjesztő értelmezése ellentétes e céllal, mivel a kártérítési keresetet a jövőbeni kár bekövetkezésének absztrakt lehetőségére alapozná.

20.      Írország azt állítja, hogy a személyazonosság‑lopás olyan helyzetre utal, amelyben valaki ténylegesen felveszi a jogosulatlan adatszerzéssel érintett személy személyazonosságát. A személyazonosság‑lopáshoz tehát nem elegendő, hogy valaki egy másik személyt azonosító adatok birtokában legyen. Mindenesetre a GDPR 82. cikke szerinti nem vagyoni kár megtérítését az egyedi esetek érdemi vizsgálata alapján kell megítélni.

21.      A Bizottság megjegyzi, hogy a GDPR nem határozza meg a személyazonosság‑lopás fogalmát. A GDPR (75) és (85) preambulumbekezdése a személyazonosság‑lopást példaként említi a személyes adatok olyan kezelésére, amely fizikai, vagyoni vagy nem vagyoni károkhoz vezethet. A Bizottság szerint az említett preambulumbekezdésekben említett személyazonosság‑lopás az adatok jogellenes megszerzése az érintett személy „személyazonosságának színenlése” céljából.(9) A személyazonosság‑lopás bizonyításához konkrét cselekmények, illetve előkészítő cselekmények megjelölésével szükséges szemléltetni az elkövető azon szándékát, hogy magát az érintett személynek adja ki. Mivel az állandó ítélkezési gyakorlat szerint a kárnak „ténylegesnek és biztosnak” kell lennie,(10) nem minősül személyazonosság‑lopásnak az érintett személyt azonosító adatok egyszerű birtoklása anélkül, hogy az illető bármilyen lépést tett volna annak érdekében, hogy az érintett személynek adja ki magát.

2.      Elemzés

22.      Az előterjesztő bíróság ötödik kérdése annak megállapítására irányul, hogy az érintett különleges személyes adatainak(11) ismeretlen elkövető általi ellopása önmagában személyazonosság‑lopásnak minősül‑e, és ezáltal kártérítésre való jogosultságot keletkeztet‑e, vagy pedig ahhoz, hogy ez bekövetkezzen, az elkövetőnek ténylegesen fel kell vennie az érintett személyazonosságát, illetve e célból lépéseket kell tennie. E kérdés azon megállapítással összefüggésben merül fel, hogy a Scalable Capital kereskedési alkalmazásából JU és SO egyes különleges adatait ismeretlen elkövetők ellopták. Noha úgy tűnik, hogy az adatok további (visszaélésszerű) felhasználására nem került sor, nem lehet kizárni az ilyen jövőbeli (visszaélésszerű) felhasználást, mivel az elkövetők személyazonossága ismeretlen, és elfogásuk azóta sem történt meg.

23.      A GDPR 82. cikke nagy vonalakban(12) megerősíti az e rendelet megsértése következtében „vagyoni vagy nem vagyoni kárt” elszenvedett bármely személy kártérítéshez való jogát, és a felelősséget az adatkezelő(k) és/vagy az adatfeldolgozó(k) között osztja meg. E rendelkezés nem határozza meg sem az ilyen kár konkrét természetét, sem jellegét. A GDPR nem utal a tagállamok jogára a „nem vagyoni kár” kifejezés(13) jelentésének és terjedelmének meghatározása érdekében. E kifejezés ezért az uniós jog önálló fogalmaként kezelendő, és azt az összes tagállamban egységesen kell értelmezni.(14)

24.      A GDPR 82. cikke szerinti kártérítés a GDPR megsértése, a „ténylegesen elszenvedett kár”, valamint a jogsértés és a kár közötti okozati összefüggés bizonyítása esetén fizetendő.(15) A GDPR nem rendelkezik objektív felelősségi rendszerről.(16) A GDPR 82. cikkének (1) bekezdése által bevezetett rendszer kompenzációs jellege kizárja a büntető jellegű kártérítés megítélését is.(17) A szóban forgó kártérítésnek teljesnek és ténylegesnek kell lennie, ami megköveteli „a [GDPR] megsértése miatt konkrétan elszenvedett kár teljes egészében való kompenzálását”.(18) Az érintettet ért nem vagyoni kárnak nem kell elérnie egy bizonyos súlyossági küszöböt.(19) Bár a nem vagyoni kár szintje tekintetében nincs de minimis küszöbérték, ám egyértelmű és pontos bizonyítékkal kell rendelkezni az érintettet ért ilyen kárról. A potenciális vagy hipotetikus kár,(20) illetve a személyes adatok ellopása miatt érzett puszta nyugtalanság nem elegendő.

25.      A GDPR 82. cikkének (3) bekezdése mentesíti az adatkezelőt, illetve adatfeldolgozót a felelősség alól, „ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség”. A Bíróságnak még nem volt alkalma részletekbe menően vizsgálni a GDPR 82. cikkének (3) bekezdését. E rendelkezés szó szerinti értelmezésében úgy tűnik, hogy az adatkezelő vagy az adatfeldolgozó bármilyen (közreható) gondatlansága vagy mulasztása elegendő a mentesülés kizárásához. Ezenkívül az e rendelkezés által a mentesülni kívánó adatkezelő(k)re, illetve adatfeldolgozó(k)ra rótt bizonyítási teher(21) az adatvédelmi incidensek megelőzésére irányuló intézkedések folyamatos végrehajtását követelheti meg.(22)

26.      Az érintett személyes adatainak ellopása a GDPR 82. cikkének (1) bekezdése alapján nem vagyoni kártérítésre való jogosultságot eredményez, amennyiben az Österreichische Post ítéletben(23) meghatározott három feltétel teljesül. A GDPR (7) preambulumbekezdése szerint „A természetes személyek számára biztosítani kell, hogy saját személyes adataik felett maguk rendelkezzenek.” Ha az érintettek „nem rendelkezhetnek saját személyes adataik felett”,(24) vagy ha a természetes személyek elveszítik „a személyes adataik feletti rendelkezés[t]”,(25) az nem vagyoni kárt okozhat. Az előterjesztő bíróság ebben az összefüggésben vizsgálja azt, hogy a személyes adatok ellopása személyazonosság‑lopásnak minősül‑e.

27.      A GDPR rendelkező része nem hivatkozik a személyazonosság‑lopásra, és nem is határozza meg azt. A GDPR (75) és (85) preambulumbekezdésében egyszerűen csak „személyazonosság‑lopás vagy személyazonossággal való visszaélés” szerepel. A (75) preambulumbekezdésben a „személyazonosság‑lopás, vagy személyazonossággal való visszaélés” mindössze egy példa a személyes adatok kezeléséből származó, a természetes személyek jogait és szabadságait érintő kockázatok nem kimerítő felsorolásában.(26) A GDPR (85) preambulumbekezdése „a személyazonosság‑lopást vagy a személyazonossággal való visszaélést” szintén csak példaként említi(27) az adatvédelmi incidens által – megfelelő és kellő idejű intézkedés hiányában – okozott károk között.(28)

28.      Más uniós jogszabályok számos preambulumbekezdése(29) és rendelkezése(30) hivatkozik olyan kifejezésekre, mint a „személyazonosság‑lopás”,(31) „személyazonossággal való visszaélés” és „személyazonosság‑lopás vagy személyazonossággal való visszaélés”(32). Az uniós jogszabályokban nem találtam egyetlen olyan rendelkezést sem, amely e fogalmakat meghatározta volna.(33)Az uniós jogalkotó tehát szemléltetés céljából hivatkozik az említett kifejezésekre.(34)

29.      Ez a GDPR (75) és (85) preambulumbekezdésében szereplő kifejezések különböző nyelvi változatainak vizsgálatából is kitűnik. Míg a német (Identitätsdiebstahl oder ‑betrug), angol (identity theft or fraud), észt (identiteedivargust või ‑pettust), ír (goid aitheantais nó calaois aitheantais), litván (būti pavogta ar suklastota tapatybė), holland (identiteitsdiefstal of ‑fraude), a lengyel (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), a román (furt sau fraudă a identității) és a szlovák (krádeži totožnosti alebo podvodu) nyelvi változatok nagyrészt hasonlóak, más nyelvi változatok különböző mértékben eltérőek: cseh (krádeži či zneužití identity), francia (vol ou une usurpation d'identité), görög (κατάχρηση ή υποκλοπή ταυτότητας), portugál (usurpação ou roubo da identidade), olasz (furto o usurpazione d'identità) és spanyol (usurpación de identidad o fraude). A GDPR vonatkozó preambulumbekezdéseinek különböző nyelvi változatai azt jelzik, hogy a személyazonosság‑lopás, személyazonossággal való visszaélés, visszaélés a személyazonossággal, a személyazonosság visszaélésszerű felhasználása, a személyazonosság jogosulatlan felhasználása és a személyazonosság bitorlása kifejezések átfedik egymást, és – legalábbis bizonyos mértékig – felcserélhetőnek tekinthetők. Ebből következik, hogy a GDPR (75) és (85) preambulumbekezdése nem tesz egyértelmű különbséget a személyazonosság‑lopás és a személyazonossággal való visszaélés között, ellentétben SO az ezen indítvány 18. pontjában részletezett állításaival.

30.      A GDPR (75) és (85) preambulumbekezdése a „rendelkezés elvesztése”, illetve a személyes adatok feletti „rendelkezés” lehetetlensége, valamint a „személyazonosság‑lopás vagy a személyazonossággal való visszaélés” között tesz különbséget. Következésképpen a személyes adatok ellopása(35) önmagában nem minősül személyazonosság‑lopásnak, még akkor sem, ha e lopás az adatok jövőbeli (visszaélésszerű) felhasználásához vezethet. A személyazonosság‑lopás olyan további cselekményt vagy fellépést igényel, amelynek az érintett tekintetében a személyes adatok ellopásán túlmutató káros hatásai vannak.(36) Az érintett személyes adatait eltulajdonító személynek ezen adatokat az érintett hozzájárulása nélkül, jogellenes célokra (visszaélésszerű módon) kell használnia, illetve konkrét lépéseket kell tennie azok (visszaélésszerű) használatára.(37) Az ilyen cselekmény jellemzően csalással vagy a megtévesztés más formájával jár, és általában pénzügyi vagy egyéb haszonszerzés céljából, illetve az érintett vagy annak környezete megkárosítása érdekében történik.(38)

31.      A fentiekből következik, hogy bár a személyes adatok ellopása nem minősül személyazonosság‑lopásnak vagy személyazonossággal való visszaélésnek, a lopás a GDPR 82. cikkének (1) bekezdése szerinti nem vagyoni kárt és kártérítésre való jogot eredményezhet.(39) A nem vagyoni kár bizonyítása könnyebb, ha az érintettről kiderül, hogy személyes adatainak ellopása következtében személyazonosság‑lopás vagy személyazonossággal való visszaélés áldozata lett.(40) A személyes adatok ellopásával okozott nem vagyoni kárnak a GDPR 82. cikkének (1) bekezdésében foglalt megtérítéséhez való jog ugyanakkor nem függ a személyazonosság‑lopás vagy személyazonossággal való visszaélés bekövetkeztétől.(41) A GDPR 82. cikkének (1) bekezdése szerinti nem vagyoni kárt és kártérítéshez való jogot az egyedi eset alapján, az összes meghatározó körülmény figyelembevételével kell értékelni.

VI.    Végkövetkeztetések

32.      A fenti megfontolások tükrében azt javaslom a Bíróságnak, hogy az Amtsgericht München (müncheni helyi bíróság, Németország) által előterjesztett ötödik kérdésre a következőképpen válaszoljon:

„A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 82. cikkének (1) bekezdését

úgy kell értelmezni, hogy az érintettek különleges adatainak ismeretlen elkövető általi ellopása nem vagyoni kár megtérítésére adhat jogosultságot, amennyiben az általános adatvédelmi rendelet megsértése, a ténylegesen elszenvedett kár, valamint a kár és a jogsértés közötti okozati összefüggés bizonyított. Az ilyen kártérítés megítéléséhez nem szükséges, hogy az elkövető felvegye az érintett személyazonosságát, továbbá az érintettet azonosító adatok birtoklása önmagában nem minősül személyazonosság‑lopásnak.”

1      Eredeti nyelv: angol.

2      Az előterjesztő bíróság nem közli az elkövetők cselekményeinek a nemzeti jog szerinti pontos jogi minősítését. A „lopás” tág fogalom, amely magában foglalhatja a harmadik személyek általi jogosulatlan adatfelhasználást is.

3      A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119, 1. o.; helyesbítések: HL 2016. L. 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L. 74., 35. o.; a továbbiakban: GDPR).

4      Az előzetes döntéshozatalra utaló végzések azt is kijelentik, hogy „mivel a befektetési számlát robot‑tanácsadó kezelte, így a kereskedés alapján nem derült ki a felperes kockázattűrő képességének profilja”.

5      Lásd ebben az értelemben: 2021. szeptember 2‑i OTP Jelzálogbank és társai ítélet (C‑932/19, EU:C:2021:673, 26. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

6      A Bíróság a GDPR 82. cikkét úgy értelmezte, hogy az „elszenvedett kár” megléte egyike annak a három feltételnek, amelyeknek teljesülnie kell a kártérítés megítéléséhez. A GDPR megsértése önmagában nem jogosít kártérítésre. A 2023. május 4‑i Österreichische Post ítélet (C‑300/21, EU:C:2023:370, 32. és 42. pont; a továbbiakban: Österreichische Post ítélet).

7      Lásd analógia útján: 2019. december 12‑i Slovenské elektrárne ítélet (C‑376/18, EU:C:2019:1068, 29. pont).

8      Lásd a kérdést előterjesztő bíróság ötödik kérdésének megfogalmazását.

9      Lásd: European Data Protection Board, Guidelines 01/2021 on Examples regarding Personal Data Breach Notification – Adopted on 14 December 2021, Version 2.0. (Az Európai Adatvédelmi Testület 2021. december 14 én elfogadott, 01/2021. sz. iránymutatása az adatvédelmi incidensek bejelentésével kapcsolatos példákról, a 2.0. változat. Elérhető a https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf [europa.eu] oldalon; a továbbiakban: a 2021. évi iránymutatás).

10      2017. április 4‑i Ombudsman kontra Staelen ítélet (C‑337/15 P, EU:C:2017:256, 91–95. és 127–131. pont).

11      „Személyes adat” a GDPR 4. cikkének 1. pontja szerint az „azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”.

12      Lásd a GDPR (146) preambulumbekezdését.

13      A Bíróság a „nem vagyoni kár” fogalmát a GDPR 82. cikkének összefüggésében nem határozta meg. Egyetértek Pitruzzella főtanácsnokkal abban, hogy nem elegendő az érintett bosszúsága vagy rossz érzése, amiért „feltörték” az adatait. Ahhoz, hogy az érintett ilyen keresete sikeres legyen, bizonyítania kell, hogy a félelem az adataival való visszaéléstől „érzelmi kárt” okozott neki. Lásd: Pitruzzella főtanácsnoknak a Natsionalna agentsia za prihodite ügyre vonatkozó indítványa (C‑340/21, EU:C:2023:353, 81–83. pont).

14      Österreichische Post ítélet, 30. pont.

15      Lásd a GDPR 82. cikkének (2) bekezdését; Österreichische Post ítélet, 32. és 50. pont.

16      Österreichische Post ítélet, 33–34. pont. Lásd továbbá: Pitruzzella főtanácsnoknak a Natsionalna agentsia za prihodite ügyre vonatkozó indítványa (C‑340/21, EU:C:2023:353, 61. pont).

17      Österreichische Post ítélet, 58. pont. Lásd továbbá: Campos Sánchez‑Bordona főtanácsnoknak az Österreichische Post ügyre (Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár) vonatkozó indítványa (C‑300/21, EU:C:2022:756, 27–55. pont) és Pitruzzella főtanácsnoknak a Natsionalna agentsia za prihodite ügyre vonatkozó indítványa (C‑340/21, EU:C:2023:353, 74. pont).

18      Österreichische Post ítélet, 58. pont.

19      Österreichische Post ítélet, 31–33., 51. és 58. pont. Lásd továbbá a GDPR (146) preambulumbekezdését. Lásd ezzel szemben: Campos Sánchez‑Bordona főtanácsnok az Österreichische Post ügyre (Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár) vonatkozó indítványa (C‑300/21, EU:C:2022:756, 105. pont) és Pitruzzella főtanácsnok a Natsionalna agentsia za prihodite ügyre vonatkozó indítványa (C‑340/21, EU:C:2023:353, 78. pont).

20      Lásd e tekintetben: Österreichische Post ítélet, 37. pont.

21      Úgy tűnik, hogy a mentesülés hatálya alá kerüléshez az adatkezelő(k)nek és/vagy adatfeldolgozó(k)nak nemleges bizonyítékot kell bemutatniuk.

22      Pitruzzella főtanácsnok úgy véli, hogy a GDPR 82. cikke szerinti felelősség elkerülése érdekében a nagy mennyiségű személyes adatot tároló közjogi vagy magánszervezetek rendszerei adatkezelőinek megfelelő intézkedéseket kell hoznia különösen a külső támadások kezelésére. Lásd: Pitruzzella főtanácsnok a Natsionalna agentsia za prihodite ügyre vonatkozó indítványa (C‑340/21, EU:C:2023:353, 65–67. pont). Az ilyen proaktív intézkedések terhesek és költségesek lehetnek. Maga a GDPR 82. cikke igen jelentős gondossági kötelezettséget ró az adatkezelőkre és az adatfeldolgozókra.

23      Lásd az említett ítélet 32. és 50. pontját. Lásd továbbá a jelen indítvány 24. pontját, valamint 6. lábjegyzetét.

24      A GDPR (75) preambulumbekezdése.

25      A GDPR (85) preambulumbekezdése.

26      Ez világosan kitűnik az említett preambulumbekezdésben a lehetőségre utaló „vezethetnek”, valamint a „különösen” kifejezés használatából.

27      Ez egyértelműen kitűnik az említett preambulumbekezdésben szereplő „okozhat” és „többek között” kifejezésekből. Lásd analógia útján: 2008. december 22‑i Wallentin‑Hermann ítélet (C‑549/07, EU:C:2008:771, 22. pont).

28      A GDPR 4. cikkének 12. pontja az „adatvédelmi incidens” fogalmát a következőképpen határozza meg: „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”.

29      A preambulumbekezdések megkönnyítik az uniós jogszabály értelmezését és megértését azáltal, hogy többek között jelzik annak céljait és azt a kontextust, amelyben elfogadták. Segítenek továbbá a homályos jogszabályi rendelkezések értelmének megállapításában. A preambulumbekezdések nem használhatók a rendelkezések contra legem értelmezésére. 1998. november 19‑i Nilsson és társai ítélet (C‑162/97, EU:C:1998:554, 54. pont).

30      Lásd többek között az egyrészről az Európai Közösségek és tagállamaik, másrészről a Szerb Köztársaság közötti stabilizációs és társulási megállapodás megkötéséről szóló, 2013. július 22‑i 2013/490/EU tanácsi és bizottsági határozat 86. cikkének e) pontját (HL 2013. L 278., 14. o.), valamint az uniós információs rendszerek közötti interoperabilitás kereteinek megállapításáról a határok és a vízumügy területén, továbbá a 767/2008/EK, az (EU) 2016/399, az (EU) 2017/2226, az (EU) 2018/1240, az (EU) 2018/1726 és az (EU) 2018/1861 európai parlamenti és tanácsi rendelet, valamint a 2004/512/EK és a 2008/633/IB tanácsi határozat módosításáról szóló, 2019. május 20‑i (EU) 2019/817 európai parlamenti és tanácsi rendelet (HL 2019. L 135., 27. o.) 2. cikke (2) bekezdésének b) pontját, illetve 21. és 25. cikkét.

31      Az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról szóló, 2013. augusztus 12‑i 2013/40/EU európai parlamenti és tanácsi irányelv (HL 2013. L 218., 8. o.) (14) preambulumbekezdése kimondja, hogy „A számítástechnikai bűnözésre alkalmazott integrált megközelítés egy másik fontos eleme a személyazonosság‑lopás és a személyazonossághoz kapcsolódó egyéb bűncselekmények elleni hatékony intézkedések meghozatala.” A készpénz‑helyettesítő fizetési eszközzel elkövetett csalás és a készpénz‑helyettesítő fizetési eszközök hamisítása elleni küzdelemről, valamint a 2001/413/IB tanácsi kerethatározat felváltásáról szóló, 2019. április 17‑i (EU) 2019/713 európai parlamenti és tanácsi irányelv (HL 2019. L 123., 18. o.) (31) preambulumbekezdése szerint „A készpénz‑helyettesítő fizetési eszközzel elkövetett csalás és a készpénz‑helyettesítő fizetési eszközök hamisítása súlyos gazdasági és nem gazdasági következményekkel járhat a sértettek számára. Amennyiben az ilyen csalás például személyazonosság‑lopással jár, a következményeit gyakran súlyosbítja a jó hírnevet, a szakmai hírnevet vagy a magánszemély hitelminősítését érő kár és a súlyos érzelmi károsodás.” Az említett irányelv (33) preambulumbekezdése kimondja, hogy „A tagállamoknak az ilyen sértettek számára történő segítség‑ és támogatásnyújtás céljából intézkedéseket kell elfogadniuk, amelyekben építeniük kell az említett irányelv által előírt intézkedésekre, de egyúttal közvetlenebb módon kell reagálniuk a személyazonosság‑lopáshoz kapcsolódó csalások sértettjeinek sajátos szükségleteire.”

32      A „személyazonosság‑lopás vagy személyazonossággal való visszaélés” kifejezések más uniós jogszabályok preambulumbekezdéseiben is meghatározás nélkül szerepelnek. Lásd többek között a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23‑i (EU) 2018/1725 európai parlamenti és tanácsi rendelet (HL 2018. L 295., 39. o.) (46) preambulumbekezdését; a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv (HL 2016. L 119., 89. o.) (51) és (61) preambulumbekezdését.

33      Az információs társadalomra vonatkozó közösségi statisztikákról szóló 808/2004/EK európai parlamenti és tanácsi rendeletnek a 2019‑es referenciaév tekintetében történő végrehajtásáról szóló, 2018. november 21‑i (EU) 2018/1798 bizottsági rendelet (HL 2018. L 296., 2. o.) II. melléklete számos példát vagy hivatkozást tartalmaz a személyazonosság‑lopásra. Ezek között az „online személyazonosság‑lopás” példájaként szerepel „a válaszadó személyes adatainak eltulajdonítása, személyazonosságának felhasználása, például nevében vásárlások lebonyolítása”.

34      Lásd ezzel szemben a Code pénal français (francia büntető törvénykönyv) 226–4‑1. cikkét (a LOI n°2020–936 du 30 juillet 2020 [2020. július 30‑i 2020–936. sz. törvény] 19. cikke által módosított változatában), amely előírja: „Aki más személy személyazonosságát ellopja, illetve az e személy azonosítását lehetővé tevő adat(ok)at felhasználja annak érdekében, hogy e személy vagy mások lelki nyugalmát megzavarja, illetve becsületét vagy jó hírnevét sértse, 1 évig terjedő szabadságvesztéssel és 15 000 euró pénzbüntetéssel büntetendő. Ugyanezen büntetések alkalmazandók, ha a bűncselekményt nyilvános online kommunikációs hálózaton követik el. Amennyiben e bűncselekményt a sértett házastársa vagy élettársa, illetve vele hivatalos élettársi kapcsolatban (pacte civil de solidarité) álló személy követi el, az ilyen cselekmények két évig terjedő szabadságvesztéssel és 30 000 euró pénzbüntetéssel büntetendők.” A 18 U. S. Code 1028A. § (a) alszakasz (1) bekezdése megállapítja a személyazonosság‑lopás amerikai szövetségi bűncselekményének minősített esetét. Eszerint „aki a (c) alszakaszban felsorolt bármely bűncselekmény elkövetése során, illetve azzal összefüggésben tudatosan, törvényes felhatalmazás nélkül átad, birtokol vagy használ egy másik személyt azonosító adatot, az ilyen bűncselekményért kiszabott büntetésen felül 2 évig terjedő szabadságvesztéssel büntetendő”. Lásd továbbá a 18 U. S. Code 1028 § (a) alszakaszának (7) bekezdését, amely megállapítja a személyazonosság‑lopás amerikai szövetségi bűncselekményét.

35      Ezáltal pedig az ellopott személyes adatok feletti rendelkezés elvesztése.

36      A személyazonosság‑lopás megállapításához szükséges, hogy az elkövető az érintett tekintetében megtévesztést alkalmazzon, például azáltal, hogy az érintettként lép fel, illetve magát az érintettnek adja ki.

37      SO a jelen indítvány 18. pontjában részletezett állításaival ellentétben a lopott adatok (visszaélésszerű) használatának, illetve az erre irányuló konkrét lépések megtételének hiányában az adatok jellege és terjedelme nem alapozza meg a személyazonosság‑lopás vélelmét.

38      Lásd a személyazonosság‑lopásra vonatkozó példákért: European Union Agency for Cybersecurity, Identity theft – ENISA Threat Landscape January – From 2019 to April 2020 (Európai Kiberbiztonsági Ügynökség, Személyazonosság‑lopás – ENISA fenyegetettségi helyzetjelentés, 2019. január – 2020. április, elérhető a https://www.enisa.europa.eu/publications/enisa‑threat‑landscape‑2020‑identity‑theft oldalon); a 2021. évi iránymutatás (elérhető a https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf [europa.eu] oldalon), 7.1. pont; European Data Protection Board, Guidelines 01/2022 on data subject rights – Right of access, Version 1.0 – Adopted on 18 January 2022 (az Európai Adatvédelmi Testület 01/2022. számú iránymutatása az érintettek jogairól – Hozzáférési jog, 1.0 változat, 2022. január 18., elérhető a https://edpb.europa.eu/system/files/2022–01/edpb_guidelines_012022_right‑of‑access_0.pdf oldalon, és a 7.1. pontban), 105. pont.

39      Amennyiben a jelen indítvány 24. pontjában leírt három feltétel teljesül.

40      Campos Sánchez‑Bordona főtanácsnok az Österreichische Post ügyre (Személyes adatok kezeléséhez kapcsolódó nem vagyoni kár) vonatkozó indítványában (C‑300/21, EU:C:2022:756, 98. és 99. pont) jelezte, hogy a GDPR (75) és (85) preambulumbekezdésében szereplő kockázat vagy kár példái „jelentős”, illetve „súlyosabb jellegűek” lehetnek. A gyakorlatban a személyazonosság‑lopás, illetve a személyazonossággal való visszaélés megtörténte elősegíti a kár fennállásának megállapítását.

41      Ez abból a tényből következik, hogy a GDPR (75) és (85) preambulumbekezdésében a „személyazonosság‑lopás vagy személyazonossággal való visszaélés” a kockázat, illetve kár olyan más példái mellett szerepel, mint a „hátrányos megkülönböztetés”, a „pénzügyi veszteség” és a „jó hírnév sérelme”.