Pagaidu versija
ĢENERĀLADVOKĀTA ENTONIJA MAIKLA KOLINSA
[ANTHONY MICHAEL COLLINS]
SECINĀJUMI,
sniegti 2023. gada 26. oktobrī (1)
Apvienotās lietas C‑182/22 un C‑189/22
JU (C‑182/22)
SO (C‑189/22)
pret
Scalable Capital GmbH
(Amtsgericht München (Minhenes apgabaltiesa, Vācija) lūgums sniegt prejudiciālu nolēmumu)
Lūgums sniegt prejudiciālu nolēmumu – Fizisko personu aizsardzība attiecībā uz personas datu apstrādi – Regula (ES) 2016/679 – 82. panta 1. punkts – Tiesības uz kompensāciju par kaitējumu, kas nodarīts ar datu apstrādi, kura veikta, pārkāpjot šo regulu – Nemateriāls kaitējums – Datu zādzība – Identitātes zādzība vai viltošana
I. Ievads
1. Divās lielā mērā identiskās prasībās, ko cēlis JU pret Scalable Capital GmbH (turpmāk tekstā – “Scalable Capital”) (lieta C‑182/22) un SO pret Scalable Capital (lieta C‑189/22), prasītāji prasa kompensēt nemateriālo kaitējumu par apgalvotu pretium doloris, ko radījusi, kā iesniedzējtiesa raksturo, nezināmas trešās personas veikta personas datu, kas glabājās Scalable Capital pārvaldītajā tirdzniecības lietotnē, zādzība (2). Trešās personas līdz šim nav izmantojušas šos datus krāpnieciskos vai citos nolūkos. Amtsgericht München (Minhenes apgabaltiesa, Vācija) jautā Tiesai par Regulas (ES) 2016/679 (3) 82. pantā ietvertā nemateriālā kaitējuma jēdziena interpretāciju un par šī kaitējuma kompensēšanas nosacījumiem. Tā it īpaši jautā, vai šo datu zādzība ir “identitātes zādzība”, uz kuru ir sniegta atsauce VDAR 75. apsvērumā.
II. Tiesiskais regulējums – Savienības tiesības
2. VDAR 75. apsvērums ir formulēts šādi:
“Risku fizisku personu tiesībām un brīvībām – ar atšķirīgu iespējamību un nopietnību – var radīt personas datu apstrāde, kas var izraisīt fizisku, materiālu vai nemateriālu kaitējumu, jo īpaši, ja apstrāde var izraisīt diskrimināciju, identitātes zādzību vai viltošanu, finansiālu zaudējumu, kaitējumu reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšanu, neatļautu pseidonimizācijas atcelšanu vai jebkādu citu īpaši nelabvēlīgu ekonomisko vai sociālo situāciju; ja datu subjektiem var tikt atņemtas viņu tiesības un brīvības vai atņemta iespēja kontrolēt savus personas datus; [..].”
3. VDAR 85. apsvērumā ir noteikts šādi:
“Ja uz personas datu aizsardzības pārkāpumu nereaģē pienācīgi un savlaicīgi, tas fiziskām personām var izraisīt tādu fizisku, materiālu vai nemateriālu kaitējumu kā, piemēram, iespējas kontrolēt savus personas datus zaudēšana vai to tiesību ierobežošana, diskriminācija, identitātes zādzība vai viltošana, finansiāls zaudējums, neatļauta pseidonimizācijas atcelšana, kaitējums reputācijai, ar dienesta noslēpumu aizsargātu personas datu konfidencialitātes zaudēšana vai jebkāda cita attiecīgajai fiziskajai personai īpaši nelabvēlīga ekonomiskā vai sociālā situācija. [..]”
4. VDAR 146. apsvērums ir formulēts šādi:
“Pārzinim vai apstrādātājam būtu jākompensē jebkurš kaitējums, kurš personai var būt nodarīts tādas apstrādes rezultātā, kura pārkāpj šo regulu. [..] Kaitējuma jēdziens būtu plaši jāinterpretē, ņemot vērā Tiesas judikatūru, tādā veidā, kas pilnībā atbilst šīs regulas mērķiem. [..] Datu subjektiem būtu jāsaņem pilna un iedarbīga kompensācija par tiem nodarīto kaitējumu. [..]”
5. Saskaņā ar VDAR 82. pantu “Tiesības uz kompensāciju un atbildība”:
“1. Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.
2. Jebkurš apstrādē iesaistītais pārzinis ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, kura pārkāpj šo regulu. Apstrādātājs ir atbildīgs par kaitējumu, kas nodarīts ar apstrādi, tikai tad, ja tas nav izpildījis šajā regulā paredzētos pienākumus, kas konkrēti adresēti apstrādātājam, vai ja tas ir rīkojies neatbilstīgi vai pretēji pārziņa likumīgiem norādījumiem.
3. Pārzini vai apstrādātāju atbrīvo no atbildības saskaņā ar 2. punktu, ja tas pierāda, ka nekādā veidā nav atbildīgs par notikumu, ar ko nodarīts attiecīgais kaitējums.
[..]”
III. Pamatlietas un prejudiciālie jautājumi
6. JU un SO atvēra ieguldījumu kontus tirdzniecības lietotnē, ko pārvalda Scalable Capital. Identitātes verificēšanas nolūkos katrs no viņiem pieteikumā ierakstīja savus personas datus, tostarp vārdu, uzvārdu, dzimšanas datumu, pasta adresi un e‑pasta adresi, un pievienoja personas apliecību digitālās kopijas (4). Nav apstrīdams, ka nezināmi pārkāpēji ir nozaguši šos datus.
7. Amtsgericht München (Minhenes apgabaltiesa) uzskata, ka nozagtie dati ir salīdzinoši sensitīvi un ka JU un SO ir tiesības saņemt kompensāciju saskaņā ar VDAR 82. pantu. Ņemot vērā, ka tās kompensācijas apmērs, kura piešķirama JU un SO, ir atkarīgs no VDAR 82. panta interpretācijas, apgabaltiesa nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:
“1) Vai [VDAR] 82. pants ir jāinterpretē tādējādi, ka tiesības uz kaitējuma kompensāciju pat tās apmēra noteikšanas ietvaros nav uzskatāmas par sankcionējošām, it īpaši ar vispārēju vai konkrēti atturošu funkciju, bet šīm tiesībām uz kaitējuma kompensāciju ir tikai atlīdzinājuma un, iespējams, gandarījuma funkcija?
2.a) Vai, nosakot nemateriālā kaitējuma apmēru, ir jāpieņem, ka tiesībām uz kaitējuma kompensāciju ir arī individuāla gandarījuma funkcija, kas šeit jāsaprot kā cietušās personas privātajā sfērā saglabājusies interese, lai kaitējumu radījusī rīcība tiktu sodīta, vai arī tiesībām uz kaitējuma kompensāciju piemīt tikai atlīdzinājuma funkcija, kas šeit jāsaprot kā kompensēšanas funkcija par ciesto skārumu?
2.b.1) Ja ir jāpieņem, ka tiesībām uz kompensāciju par nemateriālu kaitējumu piemīt gan atlīdzinājuma, gan gandarījuma funkcija: vai, nosakot kompensācijas apmēru, ir jāpieņem, ka atlīdzinājuma funkcijai ir vismaz strukturāla vai no noteikumu izņēmuma izrietoša prioritāte pār gandarījuma funkciju? Vai tas nozīmē, ka gandarījuma funkcijai ir nozīme tikai tad, ja pārkāpums ir izdarīts tīši vai rupjas nolaidības dēļ?
2.b.2) Ja tiesībām uz kompensāciju par nemateriālu kaitējumu nav gandarījuma funkcijas: vai, nosakot kompensācijas apmēru, papildu nozīme cēloņsakarības vērtējumā ir tikai tīšiem vai rupjas nolaidības izraisītiem datu aizsardzības pārkāpumiem?
3) Vai izpratnes labad par nemateriāla kaitējuma kompensāciju tās apmēra noteikšanā ir jāpieņem, ka pastāv strukturāla hierarhiskā attiecība vai vismaz noteikumu izņēmuma attiecība, kurā no datu aizsardzības pārkāpuma izrietošajam skārumam ir mazāka nozīme nekā ar miesas bojājumiem saistītām ciešanām un sāpēm?
4) Ja ir jāpieņem, ka nodarīts kaitējums: vai valsts tiesai, ņemot vērā, ka tas nav smags, ir tiesības piespriest tikai materiālā ziņā niecīgu kaitējuma kompensāciju, kuras apmērs, iespējams, cietušās puses skatījumā vai vispārīgi ir tikai simbolisks?
5) Vai izpratnes labad par nemateriāla kaitējuma kompensāciju tās seku novērtējumā ir jāpieņem, ka [VDAR] 75. apsvērumā minētā identitātes zādzība ir notikusi tikai tad, ja likumpārkāpējs ir faktiski pieņēmis attiecīgās personas identitāti, proti, jebkādā veidā uzdevies par attiecīgo personu, vai arī identitātes zādzība jau ir tas vien, ka likumpārkāpēju rīcībā ir dati, kas ļauj identificēt attiecīgo personu?”
IV. Tiesvedība Tiesā
8. Ar Savienības Tiesas priekšsēdētāja 2022. gada 19. aprīļa lēmumu lietas C‑182/22 un C‑189/22 tika apvienotas rakstveida un mutvārdu procesam, kā arī sprieduma taisīšanai.
9. Tiesas priekšsēdētājs 2022. gada 1. jūnijā noraidīja Scalable Capital lūgumu anonimizēt šo lietu saskaņā ar Tiesas Reglamenta 95. panta 2. punktu.
10. SO, Scalable Capital, Īrija un Eiropas Komisija iesniedza rakstveida apsvērumus.
11. Vispirms iztirzāšu iebildumus, kas tika izvirzīti saistībā ar uzdoto jautājumu pieņemamību, un pēc tam, pamatojoties uz Tiesas lūgumu, sniegšu tai priekšlikumus atbildei uz piekto jautājumu.
V. Izvērtējums
A. Par pieņemamību
12. Saskaņā ar Scalable Capital viedokli kontroles zaudēšana pār personas datiem bez turpmākām sekām attiecīgajai personai nerada nemateriālu kaitējumu VDAR 82. panta 1. punkta izpratnē. VDAR 82. panta teksts, vispārējā sistēma un mērķis neatbalsta pieņēmumu, ka šādas kontroles zaudēšanas dēļ varētu rasties šāds kaitējums. Tādējādi iesniedzējtiesa esot pieļāvusi kļūdu, pieņemot, ka JU un SO ir nodarīts nemateriāls kaitējums. Līdz ar to lūgumi sniegt prejudiciālu nolēmumu neesot nozīmīgi iesniedzējtiesā izskatāmajās lietās un tādējādi nav pieņemami.
13. Komisija uzskata, ka piektā jautājuma nozīme iesniedzējtiesā iesniegto prasību izlemšanā ir neskaidra. Iesniedzējtiesa atsaucas tikai uz lietas dalībnieku piedāvāto atšķirīgo tiesību normu interpretāciju un norāda, ka “identitātes zādzība ir notikusi tikai tad, ja kāds izmanto nelikumīgi iegūtos datus, lai cietušās personas identitāti uzdotu par savu”. Piektajā jautājumā Tiesai arī netiek lūgts interpretēt konkrētu VDAR normu.
14. Saskaņā ar Tiesas pastāvīgo judikatūru uz valsts tiesas uzdotiem jautājumiem par Savienības tiesību interpretāciju attiecas atbilstīguma prezumpcija. Tiesa var atteikties lemt par šādiem jautājumiem vienīgi tad, ja ir acīmredzams, ka prasītajai Savienības tiesību interpretācijai nav nekādas saistības ar pamatlietas faktiskajiem apstākļiem vai tās priekšmetu, vai arī gadījumos, ja problēmai ir hipotētisks raksturs vai arī ja Tiesai nav zināmi faktiskie un juridiskie apstākļi, kas nepieciešami, lai sniegtu lietderīgu atbildi uz tai uzdotajiem jautājumiem (5).
15. Scalable Capital iebildums pret visu uzdoto jautājumu pieņemamību ir pamatots ar VDAR 82. panta interpretāciju, tiesībām uz kompensāciju un apgalvotā nemateriālā kaitējuma neesamību. Prejudiciālie jautājumi attiecas uz datu subjektu tiesībām uz kompensāciju saskaņā ar VDAR 82. pantu. Kaitējuma esamība ir obligāts priekšnosacījums šādas kompensācijas piešķiršanai (6). Tas nozīmē, ka Scalable Capital iebildumi pret lūgumu sniegt prejudiciālu nolēmumu pieņemamību attiecas uz tajos izvirzīto jautājumu būtību. Argumenti, kas pēc sava rakstura attiecas uz lūgumā sniegt prejudiciālu nolēmumu izvirzīto jautājumu būtību, nevar ietekmēt šī lūguma pieņemamību (7).
16. Attiecībā uz Komisijas iebildumu par piektā jautājuma pieņemamību nav acīmredzami skaidrs, ka šis jautājums nebūtu saistīts ar iesniedzējtiesā izskatāmajām prasībām vai būtu hipotētisks. Iesniedzējtiesai ir iesniegta prasība par kompensāciju saskaņā ar VDAR. Lietas dalībnieki nav vienisprātis par to, vai personas datu zādzība ir identitātes zādzība, uz kuru attiecas VDAR 75. apsvērums, vai arī, lai būtu notikusi identitātes zādzība, “likumpārkāpējam ir faktiski jāpārņem attiecīgo personu identitāte” (8). Lai gan iesniedzējtiesas apsvērumi par piekto jautājumu ir kodolīgi, no lūgumiem sniegt prejudiciālu nolēmumu izriet, ka šis jautājums ir saistīts ar pārējiem četriem uzdotajiem jautājumiem par nemateriālā kaitējuma jēdzienu un tiesībām uz kompensāciju saskaņā ar VDAR 82. pantu.
17. Tāpēc iesaku Tiesai noraidīt dažādos iebildumus pret Amtsgericht München (Minhenes apgabaltiesa) uzdoto jautājumu pieņemamību.
B. Par lietas būtību
1. Lietas dalībnieku apsvērumi
18. Saskaņā ar SO viedokli VDAR 85. apsvērumā ir skaidri nošķirta identitātes zādzība un identitātes viltošana. Identitātes zādzības jēdziens paredz, ka pārkāpējs ļaunprātīgi izmanto personas identitāti, liekot citām personām to uzskatīt par viņējo. Identitātes viltošanu var veikt pēc identitātes zādzības. No tā izriet – lai konstatētu identitātes zādzību, nav nepieciešama faktiska personas identitātes ļaunprātīga izmantošana. Šajā lietā nozagto datu veids un apjoms ļauj pieņemt, ka ir notikusi identitātes zādzība, uz ko balstoties rodas paredzētās tiesības uz kompensāciju.
19. Scalable Capital apgalvo, ka identitātes zādzība notiek tad, ja persona ļaunprātīgi izmanto citas personas datus, lai šīs personas identitāti “uzdotu par savu”. Atsevišķu datu zādzība var izraisīt vai veicināt identitātes zādzību, bet pati par sevi nav identitātes zādzība. VDAR 75. apsvēruma sistēmiskā interpretācija atbalsta šādu pieeju, jo citi šajā tiesību normā ietvertie piemēri norāda, ka iespēja izmantot noteiktus personas datus nav uzskatāma par identitātes zādzību. VDAR 82. panta mērķis ir nodrošināt kompensāciju par faktiski nodarītu kaitējumu personām. Plaša identitātes zādzības jēdziena interpretācija ir pretrunā šim mērķim, jo tā pamatotu prasību par kaitējuma kompensāciju ar abstraktu iespēju, ka kaitējums varētu rasties nākotnē.
20. Īrija apgalvo, ka identitātes zādzība attiecas uz apstākļiem, kad persona faktiski pārņem tās personas identitāti, kuras datus tā ir nelikumīgi piesavinājusies. Tādējādi, lai konstatētu identitātes zādzību, nepietiek ar to, ka personas rīcībā ir personu identificējoši dati. Tiesības uz kompensāciju par nemateriālo kaitējumu saskaņā ar VDAR 82. pantu jebkurā gadījumā ir jāvērtē, ņemot vērā katras konkrētās lietas būtību.
21. Komisija norāda, ka VDAR nav definēta identitātes zādzība. VDAR 75. un 85. apsvērumā identitātes zādzība ir minēta kā piemērs personas datu apstrādei, kas var radīt fizisku, materiālu vai nemateriālu kaitējumu. Saskaņā ar Komisijas viedokli identitātes zādzība, uz kuru attiecas šie apsvērumi, ir nelikumīga datu iegūšana ar mērķi attiecīgās personas “identitāti uzdot par savu” (9). Lai pierādītu identitātes zādzību, ir jāpierāda pārkāpēja nodoms uzdoties par attiecīgo personu, atsaucoties uz konkrētām sagatavošanās darbībām vai rīcību. Tā kā saskaņā ar pastāvīgo judikatūru kaitējumam ir jābūt “reālam un droši zināmam”(10), vienkārša personas identificējošu datu turēšana, neveicot nekādus pasākumus, lai uzdotos par šo personu, nav uzskatāma par identitātes zādzību.
2. Analīze
22. Iesniedzējtiesas piektais uzdotais jautājums attiecas uz to, vai datu subjekta sensitīvo personas datu (11) vienkārša zādzība, ko izdarījis nezināms pārkāpējs, ir identitātes zādzība, kas rada tiesības uz kompensāciju, vai arī, lai rastos šādas tiesības uz kompensāciju, pārkāpējam ir faktiski jāpārņem datu subjekta identitāte vai jāveic darbības šajā nolūkā. Šis jautājums ir uzdots saistībā ar konstatējumu, ka nezināmi pārkāpēji no Scalable Capital tirdzniecības lietotnes ir nozaguši konkrētus JU un SO sensitīvos personas datus. Lai gan šķiet, ka turpmāka (ļaunprātīga) datu izmantošana nav notikusi, tā kā pārkāpēju identitāte nav zināma un viņi joprojām nav aizturēti, nav iespējams izslēgt šādu (ļaunprātīgu) izmantošanu nākotnē.
23. VDAR 82. pantā ir plaši (12) formulētas jebkura datu subjekta, kuram VDAR pārkāpuma dēļ ir nodarīts “materiāls vai nemateriāls kaitējums”, tiesības uz kompensāciju, kā arī atbildības sadalījums starp pārzini(‑ņiem) un apstrādātāju(‑iem). Minētajā normā nav norādīts ne šāda kaitējuma konkrētais raksturs, ne forma. VDAR nav atsauces uz dalībvalstu tiesībām attiecībā uz termina “nemateriāls kaitējums” nozīmi un tvērumu (13). No tā izriet, ka šis termins ir jāuzskata par autonomu Savienības tiesību jēdzienu, kas visās dalībvalstīs ir jāinterpretē vienveidīgi (14).
24. Kompensācija saskaņā ar VDAR 82. pantu ir izmaksājama, ja ir pierādīts VDAR pārkāpums, “faktiski ciestais kaitējums” un cēloņsakarība starp šo pārkāpumu un kaitējumu (15). VDAR neparedz atbildības neatkarīgi no vainas (objektīvās atbildības) sistēmu (16). VDAR 82. panta 1. punktā paredzētā kompensējošā funkcija izslēdz pienākumu maksāt sodošu kaitējuma atlīdzinājumu (17). Šādai kompensācijai ir jābūt pilnīgai un efektīvai, lai ļautu “pilnībā atlīdzināt [VDAR] pārkāpuma dēļ konkrēti nodarīto kaitējumu” (18). Nemateriālajam kaitējumam, kas nodarīts datu subjektam, nav jāsasniedz kāda noteikta smaguma pakāpe (19). Lai gan nav noteikta minimālā robežvērtība attiecībā uz nemateriālā kaitējuma apmēru, ir jābūt skaidriem un precīziem pierādījumiem, ka datu subjektam ir nodarīts šāds kaitējums. Ar iespējamu vai hipotētisku kaitējumu (20) vai tikai satraukumu saistībā ar personas datu zādzību nepietiek.
25. VDAR 82. panta 3. punkts atbrīvo pārzini vai apstrādātāju no atbildības, “ja tas pierāda, ka nekādā veidā nav atbildīgs par notikumu, ar ko nodarīts attiecīgais kaitējums”. Tiesai nav bijis iespējas detalizēti izvērtēt VDAR 82. panta 3. punktu. Šīs tiesību normas gramatiskā interpretācija, šķiet, paredz, ka pietiek ar jebkādu pārziņa vai apstrādātāja (līdzdalīgu) nolaidību vai misēkli, lai izslēgtu atbrīvojuma piemērošanu. Turklāt pierādīšanas pienākums (21), ko šis noteikums uzliek pārzinim(‑ņiem) vai apstrādātājam(‑iem), kurš(‑i) vēlas izmantot atbrīvojumu, var prasīt pastāvīgi veikt pasākumus, lai novērstu datu aizsardzības pārkāpumus (22).
26. Datu subjekta personas datu zādzība sniedz tiesības uz 82. panta 1. punktā paredzēto kompensāciju par nemateriālu kaitējumu, ja ir izpildīti trīs spriedumā Österreichische Post (23) paredzētie nosacījumi. Saskaņā ar VDAR 7. apsvērumu “fiziskām personām būtu jāspēj kontrolēt savus personas datus”. Tas, ka datu subjektiem tiek “atņemta iespēja kontrolēt savus personas datus” (24) vai fiziskas personas “zaudē iespēju kontrolēt savus personas datus” (25), var radīt nemateriālu kaitējumu. Šajā kontekstā iesniedzējtiesa jautā, vai personas datu zādzība pati par sevi ir identitātes zādzība.
27. VDAR rezolutīvajā daļā nav ne atsauces uz identitātes zādzību, ne šī jēdziena definīcijas. VDAR 75. un 85. apsvērumā vienkārši ir sniegta atsauce uz “identitātes zādzību vai viltošanu”. VDAR 75. apsvērumā kā piemērs riska faktoriem attiecībā uz fizisku personu tiesībām un brīvībām (26) saistībā ar viņu personas datu apstrādi ir minēts jēdziens “identitātes zādzība vai viltošana”. Līdzīgi – jēdziens “identitātes zādzība vai viltošana” ir minēts arī VDAR 85. apsvērumā kā piemērs (27) kaitējumam, kas rodas, ja personas datu aizsardzības pārkāpums netiek pienācīgi un laikus novērsts (28).
28. Vairākos citu Savienības tiesību aktu apsvērumos (29) un normās (30) ir minēti tādi termini kā “identitātes zādzība” (31), “identitātes viltošana” un “identitātes zādzība vai viltošana” (32). Man nav izdevies atrast nevienu Savienības tiesību aktu, kurā šie termini būtu definēti (33). Tādējādi Savienības tiesību aktos uz šiem terminiem atsaucas ilustratīvā nolūkā (34).
29. Tas izriet arī no VDAR 75. un 85. apsvēruma terminu tulkojumiem dažādās valodās. Lai gan vācu (Identitätsdiebstahl oder -betrug), angļu (identity theft or fraud), igauņu (identiteedivargust või -pettust), īru (goid aitheantais nó calaois aitheantais), lietuviešu (būti pavogta ar suklastota tapatybė), holandiešu (identiteitsdiefstal of -fraude), poļu (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), rumāņu (furt sau fraudă a identității) un slovāku (krádeži totožnosti alebo podvodu) valodas versijas ir lielā mērā līdzīgas, pārējo valodu versijas – čehu (krádeži či zneužití identity), franču (vol ou une usurpation d’identité), grieķu (κατάχρηση ή υποκλοπή ταυτότητας), portugāļu (usurpação ou roubo da identidade), itāļu (furto o usurpazione d’identità) un spāņu (usurpación de identidad o fraude) valodā – dažādā mērā no tām atšķiras. Saskaņā ar attiecīgo VDAR apsvērumu dažādo valodu versijām tādi jēdzieni kā identitātes zādzība, identitātes viltošana, identitātes ļaunprātīga izmantošana, identitātes nepareiza lietošana, identitātes nelikumīga piesavināšanās un identitātes pārņemšana pārklājas un vismaz zināmā mērā var tikt uzskatīti par savstarpēji aizstājošiem. Tas nozīmē, ka pretēji tam, ko šo secinājumu 18. punktā ietvertajā izklāstā apgalvo SO, VDAR 75. un 85. apsvērumā nav skaidri nošķirta identitātes zādzība no identitātes viltošanas.
30. VDAR 75. un 85. apsvērumā ir nodalīta personas datu “kontroles iespējas atņemšana”, “kontroles iespējas zaudēšana” un “identitātes zādzība vai viltošana”. Līdz ar to personas datu zādzība (35) pati par sevi nav identitātes zādzība, pat ja šī zādzība var izraisīt šādu datu (ļaunprātīgu) izmantošanu nākotnē. Lai tā būtu identitātes zādzība, ir nepieciešama papildu darbība vai rīcība, kas rada tādu kaitējumu datu subjektam, kas pārsniedz personas datu zādzības (36) radīto kaitējumu. Personai, kas nelikumīgi ieguvusi datu subjekta personas datus, ir (ļaunprātīgi) jāizmanto šādi dati vai jāveic konkrēti pasākumi, lai tos (ļaunprātīgi) izmantotu nelikumīgiem mērķiem bez attiecīgās personas piekrišanas (37). Šāda rīcība parasti ir saistīta ar viltošanu vai cita veida maldināšanu un parasti tiek veikta, lai gūtu finansiālu vai cita veida labumu vai radītu kaitējumu datu subjektam vai viņa apkārtējiem (38).
31. No iepriekš minētā izriet, ka, lai gan personas datu zādzība nav uzskatāma par identitātes zādzību vai viltošanu, šāda zādzība var būt par pamatu nemateriālam kaitējumam un radīt tiesības uz kompensāciju saskaņā ar VDAR 82. panta 1. punktu (39). Nemantisko kaitējumu var vienkāršāk pierādīt, ja tiek konstatēts, ka datu subjekts ir kļuvis par identitātes zādzības vai viltošanas upuri datu subjekta personas datu zādzības dēļ (40). Saskaņā ar VDAR 82. panta 1. punktu tiesības uz kompensāciju par nemateriālo kaitējumu, kas radies personas datu zādzības dēļ, tomēr nav atkarīgas no identitātes zādzības vai viltošanas fakta (41). Nemateriālais kaitējums un tiesības uz kompensāciju saskaņā ar VDAR 82. panta 1. punktu ir jāizvērtē katrā gadījumā atsevišķi, ņemot vērā visus attiecīgos apstākļus.
VI. Secinājumi
32. Ņemot vērā iepriekš minētos apsvērumus, ierosinu Tiesai uz Amtsgericht München (Minhenes apgabaltiesa, Vācija) uzdoto piekto jautājumu atbildēt šādi:
Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 82. panta 1. punkts
ir jāinterpretē tādējādi, ka datu subjekta sensitīvo personas datu zādzība, ko izdarījis nezināms pārkāpējs, var radīt tiesības uz kompensāciju par nemateriālu kaitējumu, ja ir pierādīts, ka ir noticis Vispārīgās datu aizsardzības regulas pārkāpums, ir nodarīts reāls kaitējums un pastāv cēloņsakarība starp šo pārkāpumu un kaitējumu. Šādas kompensācijas piešķiršanas labad nav nepieciešams, lai pārkāpējs būtu faktiski pārņēmis attiecīgās personas identitāti, un tādu datu turēšana, kuri identificē datu subjektu, nav uzskatāma par identitātes zādzību.