Language of document : ECLI:EU:C:2023:820

Pagaidu versija

ĢENERĀLADVOKĀTA ENTONIJA MAIKLA KOLINSA
[ANTHONY MICHAEL COLLINS]

SECINĀJUMI,

sniegti 2023. gada 26. oktobrī  (1)

Apvienotās lietas C182/22 un C189/22

JU (C182/22)

SO (C189/22)

pret

Scalable Capital GmbH

(Amtsgericht München (Minhenes apgabaltiesa, Vācija) lūgums sniegt prejudiciālu nolēmumu)

Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 82. panta 1. punkts – Tiesības uz kompensāciju par kaitējumu, kas nodarīts ar datu apstrādi, kura veikta, pārkāpjot šo regulu – Nemateriāls kaitējums – Datu zādzība – Identitātes zādzība vai viltošana






I.      Ievads

1.        Divās lielā mērā identiskās prasībās, ko cēlis JU pret Scalable Capital GmbH (turpmāk tekstā – “Scalable Capital”) (lieta C‑182/22) un SO pret Scalable Capital (lieta C‑189/22), prasītāji prasa kompensēt nemateriālo kaitējumu par apgalvotu pretium doloris, ko radījusi, kā iesniedzējtiesa raksturo, nezināmas trešās personas veikta personas datu, kas glabājās Scalable Capital pārvaldītajā tirdzniecības lietotnē, zādzība (2). Trešās personas līdz šim nav izmantojušas šos datus krāpnieciskos vai citos nolūkos. Amtsgericht München (Minhenes apgabaltiesa, Vācija) jautā Tiesai par Regulas (ES) 2016/679 (3) 82. pantā ietvertā nemateriālā kaitējuma jēdziena interpretāciju un par šī kaitējuma kompensēšanas nosacījumiem. Tā it īpaši jautā, vai šo datu zādzība ir “identitātes zādzība”, uz kuru ir sniegta atsauce VDAR 75. apsvērumā.

II.    Tiesiskais regulējums – Savienības tiesības

2.        VDAR 75. apsvērums ir formulēts šādi:

“Risku fizisku personu tiesībām un brīvībām – ar atšķirīgu iespējamību un nopietnību – var radīt personas datu apstrāde, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu, jo īpaši, ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālu zaudējumu, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšanu, neatļautu pseidonimizācijas atcelšanu vai jebkādu citu īpaši nelabvēlīgu ekonomisko vai sociālo situāciju; ja datu subjektiem var tikt atņemtas viņu tiesības un brīvības vai atņemta iespēja kontrolēt savus personas datus; [..].”

3.        VDAR 85. apsvērumā ir noteikts šādi:

“Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt tādu fizisku, materiālu vai nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai to tiesību ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāls zaudējums, neatļauta pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai fiziskajai personai īpaši nelabvēlīga ekonomiskā vai sociālā situācija. [..]”

4.        VDAR 146. apsvērums ir formulēts šādi:

“Pārzinim vai apstrādātājam būtu jākompensē jebkurš kaitējums, kurš personai var būt nodarīts tādas apstrādes rezultātā, kura pārkāpj šo regulu. [..] Kaitējuma jēdziens būtu plaši jāinterpretē, ņemot vērā Tiesas judikatūru, tādā veidā, kas pilnībā atbilst šīs regulas mērķiem. [..] Datu subjektiem būtu jāsaņem pilna un iedarbīga kompensācija par tiem nodarīto kaitējumu. [..]”

5.        Saskaņā ar VDAR 82. pantu “Tiesības uz kompensāciju un atbildība”:

“1.      Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.

2.      Jebkurš apstrādē iesaistītais pārzinis ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, kura pārkāpj šo regulu. Apstrādātājs ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, tikai tad, ja tas nav izpildījis šajā regulā paredzētos pienākumus, kas konkrēti adresēti apstrādātājam, vai ja tas ir rīkojies neatbilstīgi vai pretēji pārziņa likumīgiem norādījumiem.

3.      Pārzini vai apstrādātāju atbrīvo no atbildības saskaņā ar 2. punktu, ja tas pierāda, ka nekādā veidā nav atbildīgs par notikumu, ar ko nodarīts attiecīgais kaitējums.

[..]”

III. Pamatlietas un prejudiciālie jautājumi

6.        JU un SO atvēra ieguldījumu kontus tirdzniecības lietotnē, ko pārvalda Scalable Capital. Identitātes verificēšanas nolūkos katrs no viņiem pieteikumā ierakstīja savus personas datus, tostarp vārdu, uzvārdu, dzimšanas datumu, pasta adresi un e‑pasta adresi, un pievienoja personas apliecību digitālās kopijas (4). Nav apstrīdams, ka nezināmi pārkāpēji ir nozaguši šos datus.

7.        Amtsgericht München (Minhenes apgabaltiesa) uzskata, ka nozagtie dati ir salīdzinoši sensitīvi un ka JU un SO ir tiesības saņemt kompensāciju saskaņā ar VDAR 82. pantu. Ņemot vērā, ka tās kompensācijas apmērs, kura piešķirama JU un SO, ir atkarīgs no VDAR 82. panta interpretācijas, apgabaltiesa nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

“1)      Vai [VDAR] 82. pants ir jāinterpretē tādējādi, ka tiesības uz kaitējuma kompensāciju pat tās apmēra noteikšanas ietvaros nav uzskatāmas par sankcionējošām, it īpaši ar vispārēju vai konkrēti atturošu funkciju, bet šīm tiesībām uz kaitējuma kompensāciju ir tikai atlīdzinājuma un, iespējams, gandarījuma funkcija?

2.a)      Vai, nosakot nemateriālā kaitējuma apmēru, ir jāpieņem, ka tiesībām uz kaitējuma kompensāciju ir arī individuāla gandarījuma funkcija, kas šeit jāsaprot kā cietušās personas privātajā sfērā saglabājusies interese, lai kaitējumu radījusī rīcība tiktu sodīta, vai arī tiesībām uz kaitējuma kompensāciju piemīt tikai atlīdzinājuma funkcija, kas šeit jāsaprot kā kompensēšanas funkcija par ciesto skārumu?

2.b.1)      Ja ir jāpieņem, ka tiesībām uz kompensāciju par nemateriālu kaitējumu piemīt gan atlīdzinājuma, gan gandarījuma funkcija: vai, nosakot kompensācijas apmēru, ir jāpieņem, ka atlīdzinājuma funkcijai ir vismaz strukturāla vai no noteikumu izņēmuma izrietoša prioritāte pār gandarījuma funkciju? Vai tas nozīmē, ka gandarījuma funkcijai ir nozīme tikai tad, ja pārkāpums ir izdarīts tīši vai rupjas nolaidības dēļ?

2.b.2)      Ja tiesībām uz kompensāciju par nemateriālu kaitējumu nav gandarījuma funkcijas: vai, nosakot kompensācijas apmēru, papildu nozīme cēloņsakarības vērtējumā ir tikai tīšiem vai rupjas nolaidības izraisītiem datu aizsardzības pārkāpumiem?

3)      Vai izpratnes labad par nemateriāla kaitējuma kompensāciju tās apmēra noteikšanā ir jāpieņem, ka pastāv strukturāla hierarhiskā attiecība vai vismaz noteikumu izņēmuma attiecība, kurā no datu aizsardzības pārkāpuma izrietošajam skārumam ir mazāka nozīme nekā ar miesas bojājumiem saistītām ciešanām un sāpēm?

4)      Ja ir jāpieņem, ka nodarīts kaitējums: vai valsts tiesai, ņemot vērā, ka tas nav smags, ir tiesības piespriest tikai materiālā ziņā niecīgu kaitējuma kompensāciju, kuras apmērs, iespējams, cietušās puses skatījumā vai vispārīgi ir tikai simbolisks?

5)      Vai izpratnes labad par nemateriāla kaitējuma kompensāciju tās seku novērtējumā ir jāpieņem, ka [VDAR] 75. apsvērumā minētā identitātes zādzība ir notikusi tikai tad, ja likumpārkāpējs ir faktiski pieņēmis attiecīgās personas identitāti, proti, jebkādā veidā uzdevies par attiecīgo personu, vai arī identitātes zādzība jau ir tas vien, ka likumpārkāpēju rīcībā ir dati, kas ļauj identificēt attiecīgo personu?”

IV.    Tiesvedība Tiesā

8.        Ar Savienības Tiesas priekšsēdētāja 2022. gada 19. aprīļa lēmumu lietas C‑182/22 un C‑189/22 tika apvienotas rakstveida un mutvārdu procesam, kā arī sprieduma taisīšanai.

9.        Tiesas priekšsēdētājs 2022. gada 1. jūnijā noraidīja Scalable Capital lūgumu anonimizēt šo lietu saskaņā ar Tiesas Reglamenta 95. panta 2. punktu.

10.      SO, Scalable Capital, Īrija un Eiropas Komisija iesniedza rakstveida apsvērumus.

11.      Vispirms iztirzāšu iebildumus, kas tika izvirzīti saistībā ar uzdoto jautājumu pieņemamību, un pēc tam, pamatojoties uz Tiesas lūgumu, sniegšu tai priekšlikumus atbildei uz piekto jautājumu.

V.      Izvērtējums

A.      Par pieņemamību

12.      Saskaņā ar Scalable Capital viedokli kontroles zaudēšana pār personas datiem bez turpmākām sekām attiecīgajai personai nerada nemateriālu kaitējumu VDAR 82. panta 1. punkta izpratnē. VDAR 82. panta teksts, vispārējā sistēma un mērķis neatbalsta pieņēmumu, ka šādas kontroles zaudēšanas dēļ varētu rasties šāds kaitējums. Tādējādi iesniedzējtiesa esot pieļāvusi kļūdu, pieņemot, ka JU un SO ir nodarīts nemateriāls kaitējums. Līdz ar to lūgumi sniegt prejudiciālu nolēmumu neesot nozīmīgi iesniedzējtiesā izskatāmajās lietās un tādējādi nav pieņemami.

13.      Komisija uzskata, ka piektā jautājuma nozīme iesniedzējtiesā iesniegto prasību izlemšanā ir neskaidra. Iesniedzējtiesa atsaucas tikai uz lietas dalībnieku piedāvāto atšķirīgo tiesību normu interpretāciju un norāda, ka “identitātes zādzība ir notikusi tikai tad, ja kāds izmanto nelikumīgi iegūtos datus, lai cietušās personas identitāti uzdotu par savu”. Piektajā jautājumā Tiesai arī netiek lūgts interpretēt konkrētu VDAR normu.

14.      Saskaņā ar Tiesas pastāvīgo judikatūru uz valsts tiesas uzdotiem jautājumiem par Savienības tiesību interpretāciju attiecas atbilstīguma prezumpcija. Tiesa var atteikties lemt par šādiem jautājumiem vienīgi tad, ja ir acīmredzams, ka prasītajai Savienības tiesību interpretācijai nav nekādas saistības ar pamatlietas faktiskajiem apstākļiem vai tās priekšmetu, vai arī gadījumos, ja problēmai ir hipotētisks raksturs vai arī ja Tiesai nav zināmi faktiskie un juridiskie apstākļi, kas nepieciešami, lai sniegtu lietderīgu atbildi uz tai uzdotajiem jautājumiem (5).

15.      Scalable Capital iebildums pret visu uzdoto jautājumu pieņemamību ir pamatots ar VDAR 82. panta interpretāciju, tiesībām uz kompensāciju un apgalvotā nemateriālā kaitējuma neesamību. Prejudiciālie jautājumi attiecas uz datu subjektu tiesībām uz kompensāciju saskaņā ar VDAR 82. pantu. Kaitējuma esamība ir obligāts priekšnosacījums šādas kompensācijas piešķiršanai (6). Tas nozīmē, ka Scalable Capital iebildumi pret lūgumu sniegt prejudiciālu nolēmumu pieņemamību attiecas uz tajos izvirzīto jautājumu būtību. Argumenti, kas pēc sava rakstura attiecas uz lūgumā sniegt prejudiciālu nolēmumu izvirzīto jautājumu būtību, nevar ietekmēt šī lūguma pieņemamību (7).

16.      Attiecībā uz Komisijas iebildumu par piektā jautājuma pieņemamību nav acīmredzami skaidrs, ka šis jautājums nebūtu saistīts ar iesniedzējtiesā izskatāmajām prasībām vai būtu hipotētisks. Iesniedzējtiesai ir iesniegta prasība par kompensāciju saskaņā ar VDAR. Lietas dalībnieki nav vienisprātis par to, vai personas datu zādzība ir identitātes zādzība, uz kuru attiecas VDAR 75. apsvērums, vai arī, lai būtu notikusi identitātes zādzība, “likumpārkāpējam ir faktiski jāpārņem attiecīgo personu identitāte” (8). Lai gan iesniedzējtiesas apsvērumi par piekto jautājumu ir kodolīgi, no lūgumiem sniegt prejudiciālu nolēmumu izriet, ka šis jautājums ir saistīts ar pārējiem četriem uzdotajiem jautājumiem par nemateriālā kaitējuma jēdzienu un tiesībām uz kompensāciju saskaņā ar VDAR 82. pantu.

17.      Tāpēc iesaku Tiesai noraidīt dažādos iebildumus pret Amtsgericht München (Minhenes apgabaltiesa) uzdoto jautājumu pieņemamību.

B.      Par lietas būtību

1.      Lietas dalībnieku apsvērumi

18.      Saskaņā ar SO viedokli VDAR 85. apsvērumā ir skaidri nošķirta identitātes zādzība un identitātes viltošana. Identitātes zādzības jēdziens paredz, ka pārkāpējs ļaunprātīgi izmanto personas identitāti, liekot citām personām to uzskatīt par viņējo. Identitātes viltošanu var veikt pēc identitātes zādzības. No tā izriet – lai konstatētu identitātes zādzību, nav nepieciešama faktiska personas identitātes ļaunprātīga izmantošana. Šajā lietā nozagto datu veids un apjoms ļauj pieņemt, ka ir notikusi identitātes zādzība, uz ko balstoties rodas paredzētās tiesības uz kompensāciju.

19.      Scalable Capital apgalvo, ka identitātes zādzība notiek tad, ja persona ļaunprātīgi izmanto citas personas datus, lai šīs personas identitāti “uzdotu par savu”. Atsevišķu datu zādzība var izraisīt vai veicināt identitātes zādzību, bet pati par sevi nav identitātes zādzība. VDAR 75. apsvēruma sistēmiskā interpretācija atbalsta šādu pieeju, jo citi šajā tiesību normā ietvertie piemēri norāda, ka iespēja izmantot noteiktus personas datus nav uzskatāma par identitātes zādzību. VDAR 82. panta mērķis ir nodrošināt kompensāciju par faktiski nodarītu kaitējumu personām. Plaša identitātes zādzības jēdziena interpretācija ir pretrunā šim mērķim, jo tā pamatotu prasību par kaitējuma kompensāciju ar abstraktu iespēju, ka kaitējums varētu rasties nākotnē.

20.      Īrija apgalvo, ka identitātes zādzība attiecas uz apstākļiem, kad persona faktiski pārņem tās personas identitāti, kuras datus tā ir nelikumīgi piesavinājusies. Tādējādi, lai konstatētu identitātes zādzību, nepietiek ar to, ka personas rīcībā ir personu identificējoši dati. Tiesības uz kompensāciju par nemateriālo kaitējumu saskaņā ar VDAR 82. pantu jebkurā gadījumā ir jāvērtē, ņemot vērā katras konkrētās lietas būtību.

21.      Komisija norāda, ka VDAR nav definēta identitātes zādzība. VDAR 75. un 85. apsvērumā identitātes zādzība ir minēta kā piemērs personas datu apstrādei, kas var radīt fizisku, materiālu vai nemateriālu kaitējumu. Saskaņā ar Komisijas viedokli identitātes zādzība, uz kuru attiecas šie apsvērumi, ir nelikumīga datu iegūšana ar mērķi attiecīgās personas “identitāti uzdot par savu” (9). Lai pierādītu identitātes zādzību, ir jāpierāda pārkāpēja nodoms uzdoties par attiecīgo personu, atsaucoties uz konkrētām sagatavošanās darbībām vai rīcību. Tā kā saskaņā ar pastāvīgo judikatūru kaitējumam ir jābūt “reālam un droši zināmam”(10), vienkārša personas identificējošu datu turēšana, neveicot nekādus pasākumus, lai uzdotos par šo personu, nav uzskatāma par identitātes zādzību.

2.      Analīze

22.      Iesniedzējtiesas piektais uzdotais jautājums attiecas uz to, vai datu subjekta sensitīvo personas datu (11) vienkārša zādzība, ko izdarījis nezināms pārkāpējs, ir identitātes zādzība, kas rada tiesības uz kompensāciju, vai arī, lai rastos šādas tiesības uz kompensāciju, pārkāpējam ir faktiski jāpārņem datu subjekta identitāte vai jāveic darbības šajā nolūkā. Šis jautājums ir uzdots saistībā ar konstatējumu, ka nezināmi pārkāpēji no Scalable Capital tirdzniecības lietotnes ir nozaguši konkrētus JU un SO sensitīvos personas datus. Lai gan šķiet, ka turpmāka (ļaunprātīga) datu izmantošana nav notikusi, tā kā pārkāpēju identitāte nav zināma un viņi joprojām nav aizturēti, nav iespējams izslēgt šādu (ļaunprātīgu) izmantošanu nākotnē.

23.      VDAR 82. pantā ir plaši (12) formulētas jebkura datu subjekta, kuram VDAR pārkāpuma dēļ ir nodarīts “materiāls vai nemateriāls kaitējums”, tiesības uz kompensāciju, kā arī atbildības sadalījums starp pārzini(‑ņiem) un apstrādātāju(‑iem). Minētajā normā nav norādīts ne šāda kaitējuma konkrētais raksturs, ne forma. VDAR nav atsauces uz dalībvalstu tiesībām attiecībā uz termina “nemateriāls kaitējums” nozīmi un tvērumu (13). No tā izriet, ka šis termins ir jāuzskata par autonomu Savienības tiesību jēdzienu, kas visās dalībvalstīs ir jāinterpretē vienveidīgi (14).

24.      Kompensācija saskaņā ar VDAR 82. pantu ir izmaksājama, ja ir pierādīts VDAR pārkāpums, “faktiski ciestais kaitējums” un cēloņsakarība starp šo pārkāpumu un kaitējumu (15). VDAR neparedz atbildības neatkarīgi no vainas (objektīvās atbildības) sistēmu (16). VDAR 82. panta 1. punktā paredzētā kompensējošā funkcija izslēdz pienākumu maksāt sodošu kaitējuma atlīdzinājumu (17). Šādai kompensācijai ir jābūt pilnīgai un efektīvai, lai ļautu “pilnībā atlīdzināt [VDAR] pārkāpuma dēļ konkrēti nodarīto kaitējumu” (18). Nemateriālajam kaitējumam, kas nodarīts datu subjektam, nav jāsasniedz kāda noteikta smaguma pakāpe (19). Lai gan nav noteikta minimālā robežvērtība attiecībā uz nemateriālā kaitējuma apmēru, ir jābūt skaidriem un precīziem pierādījumiem, ka datu subjektam ir nodarīts šāds kaitējums. Ar iespējamu vai hipotētisku kaitējumu (20) vai tikai satraukumu saistībā ar personas datu zādzību nepietiek.

25.      VDAR 82. panta 3. punkts atbrīvo pārzini vai apstrādātāju no atbildības, “ja tas pierāda, ka nekādā veidā nav atbildīgs par notikumu, ar ko nodarīts attiecīgais kaitējums”. Tiesai nav bijis iespējas detalizēti izvērtēt VDAR 82. panta 3. punktu. Šīs tiesību normas gramatiskā interpretācija, šķiet, paredz, ka pietiek ar jebkādu pārziņa vai apstrādātāja (līdzdalīgu) nolaidību vai misēkli, lai izslēgtu atbrīvojuma piemērošanu. Turklāt pierādīšanas pienākums (21), ko šis noteikums uzliek pārzinim(‑ņiem) vai apstrādātājam(‑iem), kurš(‑i) vēlas izmantot atbrīvojumu, var prasīt pastāvīgi veikt pasākumus, lai novērstu datu aizsardzības pārkāpumus (22).

26.      Datu subjekta personas datu zādzība sniedz tiesības uz 82. panta 1. punktā paredzēto kompensāciju par nemateriālu kaitējumu, ja ir izpildīti trīs spriedumā Österreichische Post (23) paredzētie nosacījumi. Saskaņā ar VDAR 7. apsvērumu “fiziskām personām būtu jāspēj kontrolēt savus personas datus”. Tas, ka datu subjektiem tiek “atņemta iespēja kontrolēt savus personas datus” (24) vai fiziskas personas “zaudē iespēju kontrolēt savus personas datus” (25), var radīt nemateriālu kaitējumu. Šajā kontekstā iesniedzējtiesa jautā, vai personas datu zādzība pati par sevi ir identitātes zādzība.

27.      VDAR rezolutīvajā daļā nav ne atsauces uz identitātes zādzību, ne šī jēdziena definīcijas. VDAR 75. un 85. apsvērumā vienkārši ir sniegta atsauce uz “identitātes zādzību vai viltošanu”. VDAR 75. apsvērumā kā piemērs riska faktoriem attiecībā uz fizisku personu tiesībām un brīvībām (26) saistībā ar viņu personas datu apstrādi ir minēts jēdziens “identitātes zādzība vai viltošana”. Līdzīgi – jēdziens “identitātes zādzība vai viltošana” ir minēts arī VDAR 85. apsvērumā kā piemērs (27) kaitējumam, kas rodas, ja personas datu aizsardzības pārkāpums netiek pienācīgi un laikus novērsts (28).

28.      Vairākos citu Savienības tiesību aktu apsvērumos (29) un normās (30) ir minēti tādi termini kā “identitātes zādzība” (31), “identitātes viltošana” un “identitātes zādzība vai viltošana” (32). Man nav izdevies atrast nevienu Savienības tiesību aktu, kurā šie termini būtu definēti (33). Tādējādi Savienības tiesību aktos uz šiem terminiem atsaucas ilustratīvā nolūkā (34).

29.      Tas izriet arī no VDAR 75. un 85. apsvēruma terminu tulkojumiem dažādās valodās. Lai gan vācu (Identitätsdiebstahl oder -betrug), angļu (identity theft or fraud), igauņu (identiteedivargust või -pettust), īru (goid aitheantais nó calaois aitheantais), lietuviešu (būti pavogta ar suklastota tapatybė), holandiešu (identiteitsdiefstal of -fraude), poļu (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), rumāņu (furt sau fraudă a identității) un slovāku (krádeži totožnosti alebo podvodu) valodas versijas ir lielā mērā līdzīgas, pārējo valodu versijas – čehu (krádeži či zneužití identity), franču (vol ou une usurpation d’identité), grieķu (κατάχρηση ή υποκλοπή ταυτότητας), portugāļu (usurpação ou roubo da identidade), itāļu (furto o usurpazione d’identità) un spāņu (usurpación de identidad o fraude) valodā – dažādā mērā no tām atšķiras. Saskaņā ar attiecīgo VDAR apsvērumu dažādo valodu versijām tādi jēdzieni kā identitātes zādzība, identitātes viltošana, identitātes ļaunprātīga izmantošana, identitātes nepareiza lietošana, identitātes nelikumīga piesavināšanās un identitātes pārņemšana pārklājas un vismaz zināmā mērā var tikt uzskatīti par savstarpēji aizstājošiem. Tas nozīmē, ka pretēji tam, ko šo secinājumu 18. punktā ietvertajā izklāstā apgalvo SO, VDAR 75. un 85. apsvērumā nav skaidri nošķirta identitātes zādzība no identitātes viltošanas.

30.      VDAR 75. un 85. apsvērumā ir nodalīta personas datu “kontroles iespējas atņemšana”, “kontroles iespējas zaudēšana” un “identitātes zādzība vai viltošana”. Līdz ar to personas datu zādzība (35) pati par sevi nav identitātes zādzība, pat ja šī zādzība var izraisīt šādu datu (ļaunprātīgu) izmantošanu nākotnē. Lai tā būtu identitātes zādzība, ir nepieciešama papildu darbība vai rīcība, kas rada tādu kaitējumu datu subjektam, kas pārsniedz personas datu zādzības (36) radīto kaitējumu. Personai, kas nelikumīgi ieguvusi datu subjekta personas datus, ir (ļaunprātīgi) jāizmanto šādi dati vai jāveic konkrēti pasākumi, lai tos (ļaunprātīgi) izmantotu nelikumīgiem mērķiem bez attiecīgās personas piekrišanas (37). Šāda rīcība parasti ir saistīta ar viltošanu vai cita veida maldināšanu un parasti tiek veikta, lai gūtu finansiālu vai cita veida labumu vai radītu kaitējumu datu subjektam vai viņa apkārtējiem (38).

31.      No iepriekš minētā izriet, ka, lai gan personas datu zādzība nav uzskatāma par identitātes zādzību vai viltošanu, šāda zādzība var būt par pamatu nemateriālam kaitējumam un radīt tiesības uz kompensāciju saskaņā ar VDAR 82. panta 1. punktu (39). Nemantisko kaitējumu var vienkāršāk pierādīt, ja tiek konstatēts, ka datu subjekts ir kļuvis par identitātes zādzības vai viltošanas upuri datu subjekta personas datu zādzības dēļ (40). Saskaņā ar VDAR 82. panta 1. punktu tiesības uz kompensāciju par nemateriālo kaitējumu, kas radies personas datu zādzības dēļ, tomēr nav atkarīgas no identitātes zādzības vai viltošanas fakta (41). Nemateriālais kaitējums un tiesības uz kompensāciju saskaņā ar VDAR 82. panta 1. punktu ir jāizvērtē katrā gadījumā atsevišķi, ņemot vērā visus attiecīgos apstākļus.

VI.    Secinājumi

32.      Ņemot vērā iepriekš minētos apsvērumus, ierosinu Tiesai uz Amtsgericht München (Minhenes apgabaltiesa, Vācija) uzdoto piekto jautājumu atbildēt šādi:

Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 82. panta 1. punkts

ir jāinterpretē tādējādi, ka datu subjekta sensitīvo personas datu zādzība, ko izdarījis nezināms pārkāpējs, var radīt tiesības uz kompensāciju par nemateriālu kaitējumu, ja ir pierādīts, ka ir noticis Vispārīgās datu aizsardzības regulas pārkāpums, ir nodarīts reāls kaitējums un pastāv cēloņsakarība starp šo pārkāpumu un kaitējumu. Šādas kompensācijas piešķiršanas labad nav nepieciešams, lai pārkāpējs būtu faktiski pārņēmis attiecīgās personas identitāti, un tādu datu turēšana, kuri identificē datu subjektu, nav uzskatāma par identitātes zādzību.

1      Oriģinālvaloda – angļu.

2      Iesniedzējtiesa nesniedz precīzu pārkāpēja rīcības juridisko kvalifikāciju valsts tiesībās. Jēdziens “zādzība” ir plašs jēdziens un var ietvert datu nelikumīgu piesavināšanos, ko veic trešās personas.

3      Eiropas Parlamenta un Padomes Regula (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”).

4      Lūgumos sniegt prejudiciālu nolēmumu norādīts arī, ka, “tā kā ieguldījumu kontu pārvaldīja robotizēts konsultants, tirdzniecības procesā neradās priekšstats par atbildētāja attieksmi pret risku”.

5      Šajā nozīmē skat. spriedumu, 2021. gada 2. septembris, OTP Jelzálogbank u.c. (C‑932/19, EU:C:2021:673, 26. punkts un tajā minētā judikatūra).

6      Tiesa VDAR 82. pantu ir interpretējusi tādējādi, ka viens no minētajā tiesību normā paredzēto tiesību uz kompensāciju nosacījumiem ir “nodarīta” “kaitējuma” esamība. Ar vienkāršu VDAR pārkāpumu vien nepietiek, lai varētu piešķirt tiesības uz kompensāciju. Spriedums, 2023. gada 4. maijs, Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi) (C‑300/21, EU:C:2023:370, 32. un 42. punkts; turpmāk tekstā – “spriedums Österreichische Post”).

7      Pēc analoģijas skat. spriedumu, 2019. gada 12. decembris, Slovenské elektrárne (C‑376/18, EU:C:2019:1068, 29. punkts).

8      Skat. iesniedzējtiesas uzdotā piektā jautājuma tekstu.

9      Skat. Eiropas Datu aizsardzības kolēģijas 2021. gada 14. decembrī pieņemtās “2021. gada janvāra Pamatnostādnes par piemēriem attiecībā uz personas datu aizsardzības pārkāpumu paziņošanu, versija 2.0”. Pieejamas tīmekļvietnē https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf (europa.eu) (turpmāk tekstā – “2021. gada pamatnostādnes”).

10      Spriedums, 2017. gada 4. aprīlis, Eiropas Ombuds/Staelen (C‑337/15 P, EU:C:2017:256, 91.–95. un 127.–131. punkts).

11      VDAR 4. panta 1. punktā ir noteikts, ka ““personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem”.

12      Skat. VDAR 146. apsvērumu.

13      Tiesa nav definējusi jēdzienu “nemateriāls kaitējums” VDAR 82. panta kontekstā. Piekrītu ģenerāladvokātam Dž. Pitrucellam [G. Pitruzzella], ka ar sarūgtinājumu vai nepatīkamu sajūtu par to, ka personas dati ir pakļauti “hakeru uzbrukumam”, nepietiek. Lai apmierinātu šādu prasību, datu subjektam jāpierāda, ka bailes no šādas ļaunprātīgas izmantošanas viņam ir radījušas “emocionālo kaitējumu”. Skatīt ģenerāladvokāta Dž. Pitrucellas secinājumus lietā Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, 81.–83. punkts).

14      Spriedums Österreichische Post, 30. punkts.

15      Skat. VDAR 82. panta 2. punktu un sprieduma Österreichische Post, 32. un 50. punktu.

16      Spriedums Österreichische Post, 33. un 34. punkts. Skat. arī ģenerāladvokāta Dž. Pitrucellas secinājumus lietā Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, 61. punkts).

17      Spriedums Österreichische Post, 58. punkts. Skat. arī ģenerāladvokāta M. Kamposa Sančesa‑Bordonas [M. Campos SánchezBordona] secinājumus lietā Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi) (C‑300/21, EU:C:2022:756, 27.–55. punkts) un ģenerāladvokāta Dž. Pitrucellas secinājumus lietā Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, 74. punkts).

18      Spriedums Österreichische Post, 58. punkts.

19      Spriedums Österreichische Post, 31.–33. punkts, 51. un 58. punkts. Skat. arī VDAR 146. apsvērumu. Citkārt skat. M. Kamposa Sančesa‑Bordonas secinājumus lietā Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi) (C‑300/21, EU:C:2022:756, 105. punkts) un ģenerāladvokāta Dž. Pitrucellas secinājumus lietā Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, 78. punkts).

20      Šajā nozīmē skat. spriedumu Österreichische Post, 37. punkts.

21      Šķiet, lai ietilptu atbrīvojuma piemērošanas jomā, pārzinim un/vai apstrādātājam var būt nepieciešams sniegt negatīvus pierādījumus.

22      Ģenerāladvokāts Dž. Pitrucella uzskata – lai izvairītos no atbildības saskaņā ar VDAR 82. pantu, publisko vai privāto struktūru sistēmu pārziņiem, kuru rīcībā ir liels personas datu apjoms, ir jāievieš atbilstīgi pasākumi it īpaši ārējo uzbrukumu atvairīšanai: skat. viņa secinājumus lietā Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, 65.–67. punkts). Šādi proaktīvi pasākumi var būt apgrūtinoši un dārgi. VDAR 82. pants pats par sevi nosaka ļoti augstu pienācīgas rūpības pienākumu attiecībā uz pārziņiem un apstrādātājiem.

23      Skat. minētā sprieduma 32. un 50. punktu. Skat. arī šo secinājumu 24. punktu un 6. zemsvītras piezīmi.

24      VDAR 75. apsvērums.

25      VDAR 85. apsvērums.

26      Tas izriet no šajā apsvērumā lietoto vārdu “var”[, “varētu”] un “jo īpaši” lietojuma.

27      Tas izriet no šajā apsvērumā lietoto vārdu “var” un “piemēram” lietojuma. Pēc analoģijas skat. spriedumu, 2008. gada 22. decembris, WallentinHermann (C‑549/07, EU:C:2008:771, 22. punkts).

28      VDAR 4. panta 12. punktā “personas datu aizsardzības pārkāpums” ir definēts kā “drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem”.

29      Apsvērumi atvieglo Savienības tiesību aktu interpretāciju un izpratni, citastarp norādot to mērķus un kontekstu, kādā tie pieņemti. Tie paskaidro neviennozīmīgu tiesību normu jēgu. Apsvērumus nevar izmantot, lai interpretētu noteikumu contra legem. Spriedums, 1998. gada 19. novembris, Nilsson u.c. (C‑162/97, EU:C:1998:554, 54. punkts).

30      Skat., piemēram, Padomes un Komisijas Lēmuma 2013/490/ES (2013. gada 22. jūlijs) par to, lai noslēgtu Stabilizācijas un asociācijas nolīgumu starp Eiropas Kopienām un to dalībvalstīm, no vienas puses, un Serbijas Republiku, no otras puses (OV 2013, L 278, 14. lpp.), 86. panta e) punktu un Eiropas Parlamenta un Padomes Regulas (ES) 2019/817 (2019. gada 20. maijs), ar ko izveido satvaru ES informācijas sistēmu sadarbspējai robežu un vīzu jomā un groza Eiropas Parlamenta un Padomes Regulas (EK) Nr. 767/2008, (ES) 2016/399, (ES) 2017/2226, (ES) 2018/1240, (ES) 2018/1726 un (ES) 2018/1861 un Padomes Lēmumus 2004/512/EK un 2008/633/TI (OV 2019, L 135, 27. lpp.), 2. panta 2. punkta b) apakšpunktu un 21. un 25. pantu.

31      Eiropas Parlamenta un Padomes Direktīvas 2013/40/ES (2013. gada 12. augusts) par uzbrukumiem informācijas sistēmām, un ar kuru aizstāj Padomes Pamatlēmumu 2005/222/TI (OV 2013, L 218, 8. lpp.), 14. apsvērumā teikts, ka “vēl viens nozīmīgs elements integrētā pieejā kibernoziedzības apkarošanai ir efektīvu pasākumu noteikšana pret identitātes zādzību un citiem nodarījumiem saistībā ar identitāti”. Eiropas Parlamenta un Padomes Direktīvas (ES) 2019/713 (2019. gada 17. aprīlis) par krāpšanas un viltošanas apkarošanu attiecībā uz bezskaidras naudas maksāšanas līdzekļiem un ar ko aizstāj Padomes Pamatlēmumu 2001/413/TI (OV 2019, L 123, 18. lpp.) 31. apsvērumā noteikts, ka “krāpšana un viltošana attiecībā uz bezskaidras naudas maksāšanas līdzekļiem cietušajām personām var radīt nopietnas ekonomiskas un neekonomiskas sekas. Ja šādā krāpšanā ir ietverta, piemēram, identitātes zādzība, tās sekas bieži vien ir vēl nopietnākas, jo rada kaitējumu reputācijai un profesionālu kaitējumu, kaitējumu personas kredītnovērtējumam, kā arī ievērojamu emocionālo kaitējumu”. Šīs pašas direktīvas 33. apsvērumā teikts, ka “dalībvalstīm būtu jāpieņem pasākumi, ar kuriem sniedz palīdzību un atbalstu šādām cietušajām personām un kuru pamatā ir pasākumi, kas ir pieprasīti minētajā direktīvā, bet kuri labāk atbilst tādu personu īpašajām vajadzībām, kuras cietušas no krāpšanas, kas saistīta ar identitātes zādzību”.

32      Termini “identitātes zādzība vai viltošana” bez definīcijas tiek lietoti citu Savienības tiesību aktu apsvērumos. Skat., piemēram, Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV 2018, L 295, 39. lpp.) 46. apsvērumu un Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (OV 2016, L 119, 89. lpp.), 51. un 61. apsvērumu.

33      Vairāki identitātes zādzības piemēri un atsauces uz to ir ietverti Komisijas Regulas (ES) 2018/1798 (2018. gada 21. novembris), ar ko attiecībā uz 2019. pārskata gadu īsteno Eiropas Parlamenta un Padomes Regulu (EK) Nr. 808/2004 attiecībā uz Kopienas statistiku par informācijas sabiedrību (OV 2018, L 296, 2. lpp.), II pielikumā. Tajā kā “identitātes zādzības tiešsaistē” piemērs ir minēta situācija, kad “kāds ir nozadzis respondenta datus un uzdevies par šo personu, piemēram, veicis iepirkšanos ar respondenta vārdu”.

34      Skat. Code pénal français (Francijas Kriminālkodekss) 226‑4‑1. pantu (grozījumi izdarīti ar loi n°2020936 du 30 juillet 2020 (2020. gada 30. jūlija Likums Nr. 2020‑936) 19. pantu), kurā savukārt noteikts šādi: “Par citas personas identitātes zādzību vai viena vai vairāku jebkāda veida datu elementu izmantošanu, pēc kuriem šo personu var identificēt, lai traucētu tās vai citu personu mieru vai kaitētu tās godam vai reputācijai, soda ar brīvības atņemšanu uz vienu gadu un naudas sodu 15 000 EUR. Tāds pats sods ir piemērojams, ja nodarījums izdarīts publiskā saziņas tīklā tiešsaistē. Ja to izdarījis cietušā laulātais vai dzīvesbiedrs, vai partneris, kuru ar cietušo saista pacte civil de solidarité [(civilo partnerattiecību līgums)], par šādām darbībām soda ar brīvības atņemšanu uz diviem gadiem un naudas sodu 30 000 EUR.” 18 U.S. Code (ASV Kodeksa 18. daļa) 1028. panta A iedaļas a) punkta 1. apakšpunkts identitātes zādzību vainu pastiprinošos apstākļos nosaka par ASV federālo noziegumu. Tas paredz, ka “ikviens, kas c) punktā uzskaitītā noziedzīgā nodarījuma laikā un saistībā ar to apzināti nodod, glabā vai bez likumīgas atļaujas izmanto citas personas identifikācijas līdzekli, papildus sodam, kas paredzēts par šādu noziedzīgu nodarījumu, tiek sodīts ar brīvības atņemšanu uz diviem gadiem”. Skat. arī 18 U.S. Code 1028. panta a) punkta 7. apakšpunktu, kas identitātes zādzību nosaka par ASV federālo noziegumu.

35      Un no tās izrietošā kontroles zaudēšana pār nozagtajiem personas datiem.

36      Lai konstatētu identitātes zādzību, ir nepieciešams, lai pārkāpējs uzdotos par datu subjektu, piemēram, pārņemot datu subjekta identitāti.

37      Pretēji tam, ko apgalvo SO, kā izklāstīts šo secinājumu 18. punktā, ja nozagtie dati netiek (regulāri) izmantoti vai šajā nolūkā nav veikti konkrēti pasākumi, šo datu veids un apjoms nerada identitātes zādzības prezumpciju.

38      Identitātes zādzības piemērus skat. Eiropas Savienības Kiberdrošības aģentūras (ENISA) publikācijā Threat Landscape – From January 2019 to April 2020, kas pieejama tīmekļvietnē https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-identity-theft, 2021. gada pamatnostādņu 7.1. iedaļā, pieejamas tīmekļvietnē https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf (europa.eu),  un Eiropas Datu aizsardzības kolēģijas 2022. gada 18. janvārī pieņemto “2022. gada janvāra Pamatnostādņu par datu subjektu tiesībām – Piekļuves tiesības”, versija 1.0, 105. punktā, pieejamas tīmekļvietnē https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf.

39      Ja ir izpildīti šo secinājumu 24. punktā aprakstītie trīs nosacījumi.

40      Ģenerāladvokāts M. Kamposs Sančess‑Bordona secinājumos lietā Österreichische Post (Nemateriālais kaitējums saistībā ar personas datu apstrādi) (C‑300/21, EU:C:2022:756, 98. un 99. punkts) ir norādījis, ka VDAR 75. un 85. apsvērumā minētie riska vai kaitējuma piemēri var būt “nozīmīgi” vai “nopietnāki”. Praksē identitātes zādzības vai viltošanas fakts palīdz konstatēt kaitējuma esamību.

41      Tas izriet no apstākļa, ka jēdziens “identitātes zādzība vai viltošana” VDAR 75. un 85. apsvērumā ir minēts līdzās citiem riska vai kaitējuma piemēriem, piemēram, “diskriminācija”, “finanšu zaudējumi” un “kaitējums reputācijai”.