CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:820

Wydanie tymczasowe

OPINIA RZECZNIKA GENERALNEGO

ANTHONY’EGO MICHAELA COLLINSA

przedstawiona w dniu 26 października 2023 r.(1)

Sprawy połączone C‑182/22 i C‑189/22

JU (C‑182/22)

SO (C‑189/22)

przeciwko

Scalable Capital GmbH

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Amtsgericht München (sąd rejonowy w Monachium, Niemcy)]

Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 82 ust. 1 – Prawo do odszkodowania za szkody spowodowane przetwarzaniem danych naruszającym to rozporządzenie – Szkoda niemajątkowa – Kradzież danych – Kradzież tożsamości lub oszustwo dotyczące tożsamości

I. Wprowadzenie

1. W dwóch w dużej mierze podobnych pozwach wniesionych przez JU przeciwko Scalable Capital GmbH (zwanemu dalej „Scalable Capital”) (sprawa C‑182/22) i przez SO przeciwko Scalable Capital (sprawa C‑189/22) powodowie domagają się odszkodowania za szkodę niemajątkową za ból i cierpienie, jakich mieli doznać, spowodowane tym, co sąd odsyłający opisuje jako kradzież(2) przez nieznane osoby trzecie ich danych osobowych przechowywanych w służącej do obrotu aktywami finansowymi aplikacji prowadzonej przez Scalable Capital. Jak dotąd osoby trzecie nie wykorzystały danych do popełnienia oszustwa ani w żadnym innym celu. Amtsgericht München (sąd rejonowy w Monachium, Niemcy) zwraca się do Trybunału o dokonanie wykładni pojęcia szkody niemajątkowej, o której mowa w art. 82 rozporządzenia (UE) 2016/679(3), oraz przesłanek udzielenia odszkodowania za taką szkodę. W szczególności sąd ten zwraca się z pytaniem, czy kradzież tych danych stanowi „kradzież tożsamości”, o której mowa w motywie 75 RODO.

II. Ramy prawne – Prawo Unii

2. Motyw 75 RODO ma następujące brzmienie:

„Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi […]”.

3. Zgodnie z motywem 85 RODO:

„Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne […]”.

4. Zgodnie z motywem 146 RODO:

„Za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego […]. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia […]. Osoby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody […]”.

5. Artykuł 82 RODO, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, stanowi:

„1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.

3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

[…]”.

III. Postępowania główne i pytania prejudycjalne

6. JU i SO otworzyli rachunki inwestycyjne w służącej do obrotu aktywami finansowymi aplikacji prowadzonej przez Scalable Capital. W celu zapewnienia weryfikacji ich tożsamości każdy z nich zapisał w aplikacji swoje dane osobowe, w tym imię i nazwisko, datę urodzenia, adres pocztowy i adres e‑mail oraz kopię cyfrową swojego dowodu tożsamości(4). Bezsporne jest, że nieznani sprawcy dopuścili się kradzieży tych danych.

7. Amtsgericht München (sąd rejonowy w Monachium) uważa, że skradzione dane są stosunkowo wrażliwe, i stwierdza, że JU i SO mają prawo do odszkodowania na podstawie art. 82 RODO. Zważywszy, że wysokość odszkodowania, jakie ma zostać przyznane JU i SO, zależy od wykładni art. 82 RODO, sąd ten postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1. Czy art. 82 [RODO] należy interpretować w ten sposób, że roszczenie o odszkodowanie nie ma charakteru sankcji, zwłaszcza ogólnej lub szczególnej funkcji odstraszającej, także w kontekście określania jego wysokości, lecz roszczenie o odszkodowanie ma jedynie funkcję wyrównawczą i ewentualnie funkcję rekompensaty?

2.a. Czy przy określaniu wysokości roszczenia o odszkodowanie za szkody niemajątkowe należy przyjąć, że roszczenie o odszkodowanie pełni także funkcję indywidualnej rekompensaty – rozumianej tu jako pozostający w sferze prywatnej poszkodowanego interes polegający na postrzeganiu zachowania powodującego szkodę jako ukaranego, czy też roszczenie o odszkodowanie pełni jedynie funkcję wyrównawczą – rozumianą tu jako funkcja kompensacji doznanych naruszeń?

2.b.1. Przy założeniu, że roszczenie o odszkodowanie za szkodę niemajątkową pełni zarówno funkcję wyrównawczą, jak i rekompensaty: Czy przy określaniu jego wysokości należy przyjąć, że funkcja wyrównawcza ma pierwszeństwo strukturalne, a przynajmniej pierwszeństwo, które należy postrzegać jako relację reguła–wyjątek, przed funkcją rekompensaty? Czy oznacza to, że funkcja rekompensaty może być brana pod uwagę tylko w przypadku naruszenia umyślnego lub wynikającego z rażącego niedbalstwa?

2.b.2. Jeżeli roszczenie o odszkodowanie za szkody niemajątkowe nie pełni funkcji rekompensaty: Czy przy określaniu jego wysokości tylko umyślne lub wynikające z rażącego niedbalstwa naruszenia ochrony danych mają dodatkowe znaczenie dla oceny przyczynienia się do powstania szkody?

3. Czy dla rozumienia odszkodowania za szkody niemajątkowe przy określaniu jego wysokości należy przyjąć, że istnieje strukturalna hierarchia lub przynajmniej hierarchia oparta na zasadzie wyjątku od reguły, w której doznanie naruszenia wynikające z naruszenia danych ma mniejszą wagę niż doznanie naruszenia i bólu związane z uszkodzeniem ciała?

4. Czy sąd odsyłający może, przy założeniu wystąpienia szkody o ograniczonej dolegliwości, zasądzić odszkodowanie, które pod względem materialnym jest niewielkie i tym samym w pewnych okolicznościach może być postrzegane przez poszkodowanego lub generalnie jako jedynie symboliczne?

5. Czy dla rozumienia odszkodowania za szkody niemajątkowe przy ocenie jego skutków należy przyjąć, że kradzież tożsamości w rozumieniu motywu 75 [RODO] ma miejsce tylko wtedy, gdy sprawca rzeczywiście przybrał tożsamość osoby, której dane dotyczą, tj. podszył się pod nią w jakiejkolwiek formie, czy też kradzież tożsamości polega już na tym, że w międzyczasie sprawcy dysponują danymi, które umożliwiają identyfikację osoby, której dane dotyczą?”.

IV. Postępowanie przed Trybunałem

8. Postanowieniem z dnia 19 kwietnia 2022 r. prezes Trybunału Sprawiedliwości połączył sprawy C‑182/22 i C‑189/22 do celów pisemnego i ustnego etapu postępowania oraz wydania wyroku.

9. W dniu 1 czerwca 2022 r. prezes Trybunału oddalił wniosek o anonimizację niniejszego postępowania złożony przez Scalable Capital na podstawie art. 95 § 2 regulaminu postępowania przed Trybunałem Sprawiedliwości.

10. Uwagi na piśmie zostały przedstawione przez SO, Scalable Capital, Irlandię oraz Komisję Europejską.

11. Zanim w odpowiedzi na wniosek Trybunału zaproponuję odpowiedź na pytanie piąte, w pierwszej kolejności odniosę się do zastrzeżeń co do dopuszczalności pytań prejudycjalnych.

V. Ocena

A. W przedmiocie dopuszczalności

12. Zdaniem Scalable Capital sama utrata kontroli nad danymi osobowymi, bez dalszych konsekwencji dla osoby, której dane dotyczą, nie powoduje powstania szkody niemajątkowej w rozumieniu art. 82 ust. 1 RODO. Brzmienie, ogólna systematyka i cel art. 82 RODO nie dają podstawy do przyjęcia istnienia domniemania, że taka szkoda urzeczywistnia się w następstwie utraty kontroli nad danymi. Zdaniem Scalable Capital sąd odsyłający popełnił zatem błąd, zakładając, że JU i SO doznali szkody niemajątkowej. Wnioski o wydanie orzeczenia w trybie prejudycjalnym są wobec tego irrelewantne dla rozpoznania powództw przez sąd odsyłający i jako takie są niedopuszczalne.

13. Komisja uważa, że przydatność pytania piątego dla rozpoznania powództw przez sąd odsyłający nie jest oczywista. Sąd odsyłający odwołuje się jedynie do rozbieżności w interpretacji przepisów przez strony i wskazuje, że „kradzież tożsamości ma miejsce tylko wtedy, gdy nielegalnie zdobyte dane zostają wykorzystane do podszycia się pod tożsamość danej osoby”. Zdaniem Komisji pytanie piąte nie wymaga również od Trybunału interpretacji konkretnego przepisu RODO.

14. Zgodnie z utrwalonym orzecznictwem Trybunału pytania dotyczące wykładni prawa Unii, z którymi zwrócił się sąd krajowy, korzystają z domniemania posiadania znaczenia dla sprawy. Odmowa wydania przez Trybunał orzeczenia w przedmiocie takich pytań jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia prawa Unii, o którą wnioskowano, nie ma związku ze stanem faktycznym lub z przedmiotem postępowania głównego, gdy problem jest natury hipotetycznej lub gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego, które są niezbędne do udzielenia przydatnej odpowiedzi na dane pytanie(5).

15. Podniesione przez Scalable Capital zastrzeżenie co do dopuszczalności wszystkich pytań prejudycjalnych opiera się na dokonanej przez tę spółkę wykładni art. 82 RODO, prawie do odszkodowania oraz na podnoszonym braku wystąpienia szkody niemajątkowej. Pytania prejudycjalne dotyczą prawa osób, których dane dotyczą, do odszkodowania na podstawie art. 82 RODO. Stwierdzenie istnienia szkody jest niezbędną przesłanką uzyskania takiego odszkodowania(6). Podniesione przez Scalable Capital zastrzeżenie co do dopuszczalności wniosków o wydanie orzeczenia w trybie prejudycjalnym dotyczy zatem istoty poruszonych w nich kwestii. Ze względu na swój charakter argumenty dotyczące istoty kwestii poruszonych we wniosku o wydanie orzeczenia w trybie prejudycjalnym nie mogą wpływać na dopuszczalność tego wniosku(7).

16. Jeżeli chodzi o zastrzeżenie Komisji co do dopuszczalności pytania piątego, to nie jest oczywiste, że pytanie to nie ma żadnego związku z postępowaniami głównymi ani że jest ono natury hipotetycznej. Do sądu odsyłającego wniesiono powództwa o odszkodowanie na podstawie RODO. Strony nie są zgodne co do tego, czy sama kradzież danych osobowych stanowi kradzież tożsamości, o której mowa w motywie 75 RODO, czy też aby doszło do kradzieży tożsamości, „sprawca [musi] rzeczywiście przybra[ć] tożsamość osoby, której dane dotyczą”(8). Jakkolwiek zwięzłe są uwagi sądu odsyłającego w przedmiocie pytania piątego, wnioski o wydanie orzeczenia w trybie prejudycjalnym wskazują, że pytanie to jest związane z czterema pozostałymi pytaniami, które sąd ten zadał w przedmiocie pojęcia szkody niemajątkowej i prawa do odszkodowania na podstawie art. 82 RODO.

17. W związku z tym proponuję, aby Trybunał nie uwzględniał zastrzeżeń co do dopuszczalności pytań zadanych przez Amtsgericht München (sąd rejonowy w Monachium).

B. Co do istoty

1. Uwagi stron

18. Według SO motyw 85 RODO wprowadza jasne rozróżnienie między kradzieżą tożsamości a oszustwem dotyczącym tożsamości. Kradzież tożsamości zakłada, że sprawca może w niewłaściwy sposób wykorzystać tożsamość danej osoby poprzez wprowadzenie w błąd innych podmiotów co do tożsamości tej osoby. Oszustwo dotyczące tożsamości może zostać popełnione po uprzedniej kradzieży tożsamości. Wynika z tego, że do popełnienia kradzieży tożsamości nie jest wymagane rzeczywiste niewłaściwe wykorzystanie tożsamości osoby. Charakter i zakres skradzionych danych w niniejszej sprawie pozwalają domniemywać, że doszło do kradzieży tożsamości, co daje podstawę prawa do odszkodowania z tego tytułu.

19. Scalable Capital podnosi, że kradzież tożsamości ma miejsce, gdy sprawca w niewłaściwy sposób wykorzystuje dane osobowe konkretnej osoby w celu podszycia się pod tożsamość tej osoby. Kradzież określonych danych może prowadzić do kradzieży tożsamości lub ją ułatwić, ale sama w sobie nie stanowi kradzieży tożsamości. Wykładnia systemowa motywu 75 RODO przemawia za przyjęciem tego podejścia, jako że pozostałe przykłady z tego przepisu wskazują, że możliwość użycia określonych danych osobowych nie stanowi kradzieży tożsamości. Artykuł 82 RODO ma na celu naprawienie szkód rzeczywiście poniesionych przez jednostki. Wykładnia rozszerzająca pojęcia kradzieży tożsamości jest sprzeczna z tym celem, ponieważ dawałaby ona podstawę do opierania powództwa o odszkodowanie na abstrakcyjnej możliwości wystąpienia szkody w przyszłości.

20. Irlandia podnosi, że kradzież tożsamości dotyczy okoliczności, w których strona rzeczywiście przybiera tożsamość osoby, której dane zostały przez nią przywłaszczone. Aby doszło do kradzieży tożsamości, niewystarczające jest zatem posiadanie przez stronę danych identyfikacyjnych danej osoby. Odszkodowanie za szkodę niemajątkową na podstawie art. 82 RODO powinno być w każdym wypadku rozpatrywane na podstawie indywidualnych okoliczności sprawy.

21. Komisja wskazuje, że RODO nie zawiera definicji kradzieży tożsamości. W motywach 75 i 85 RODO wymieniono kradzież tożsamości jako przykład takiego przetwarzania danych osobowych, które może spowodować uszczerbek fizyczny lub szkodę majątkową lub niemajątkową. Zdaniem Komisji kradzież tożsamości, o której mowa w tych motywach, jest niezgodnym z prawem pozyskaniem danych w celu podszycia się pod tożsamość osoby, której dane dotyczą(9). W celu udowodnienia kradzieży tożsamości zamiar podawania się sprawcy za osobę, której dane dotyczą, musi zostać wykazany poprzez wskazanie konkretnych działań lub czynności przygotowawczych zmierzających do takiej kradzieży. Skoro bowiem z utrwalonego orzecznictwa wynika, że szkoda musi być „rzeczywista i pewna”(10), to samo posiadanie danych identyfikacyjnych danej osoby, bez podjęcia przez sprawcę jakichkolwiek kroków zmierzających do podawania się za tę osobę, nie stanowi kradzieży tożsamości.

2. Analiza

22. Poprzez pytanie piąte sąd odsyłający zmierza do ustalenia, czy samo skradzenie przez nieznanego sprawcę wrażliwych danych osobowych osoby, której dane dotyczą(11), stanowi kradzież tożsamości, stanowiąc tym samym podstawę do dochodzenia odszkodowania, czy też aby doszło do kradzieży tożsamości, sprawca musi rzeczywiście przybrać tożsamość osoby, której dane dotyczą, lub podjąć kroki w tym celu. Pytanie to zostało zadane w kontekście tego, że doszło do stwierdzenia dokonania przez nieznanych sprawców kradzieży określonych wrażliwych danych osobowych JU i SO ze służącej do obrotu aktywami finansowymi aplikacji prowadzonej przez Scalable Capital. Chociaż wydaje się, że nie doszło do dalszego (niewłaściwego) wykorzystania danych, to z racji tego, że tożsamość sprawców pozostaje nieznana i nie zostali oni zatrzymani, nie można wykluczyć takiego (niewłaściwego) wykorzystania w przyszłości.

23. Artykuł 82 RODO potwierdza w sposób ogólny(12) prawo do odszkodowania przysługujące każdej osobie, której dane dotyczą, a która poniosła „szkodę majątkową lub niemajątkową” w wyniku naruszenia RODO, i rozdziela odpowiedzialność administratora(-ów) od odpowiedzialności podmiotu(-ów) przetwarzającego(-ych). Przepis ten nie wskazuje ani konkretnego charakteru, ani formy takiej szkody. RODO nie odsyła do ustawodawstwa państw członkowskich w celu zdefiniowania znaczenia i zakresu pojęcia „szkody niemajątkowej”(13). Pojęcie to należy zatem traktować jako autonomiczne pojęcie prawa Unii i interpretować je w sposób jednolity we wszystkich państwach członkowskich(14).

24. Odszkodowanie na podstawie art. 82 RODO jest należne po udowodnieniu naruszenia RODO, „poniesienia rzeczywistej szkody” oraz związku przyczynowego między tym naruszeniem i tą szkodą(15). RODO nie przewiduje systemu odpowiedzialności obiektywnej(16). Kompensacyjny charakter systemu, który wprowadza art. 82 ust. 1 RODO, wyklucza także zasądzenie odszkodowania o charakterze karnym(17). Odszkodowanie to musi być pełne i skuteczne, tak aby pozwalało na „pełną kompensację szkody poniesionej konkretnie w wyniku naruszenia [RODO]”(18). Szkoda niemajątkowa poniesiona przez osobę, której dane dotyczą, nie musi osiągnąć określonego stopnia wagi(19). Jakkolwiek nie ma minimalnego progu w odniesieniu do wagi szkody niemajątkowej, musi zostać jasno i dokładnie wykazane, że osoba, której dane dotyczą, taką szkodę poniosła. Szkoda potencjalna lub hipotetyczna(20) czy też zwykły niepokój związany z kradzieżą danych osobowych są niewystarczające.

25. Artykuł 82 ust. 3 RODO zwalnia administratora lub podmiot przetwarzający z odpowiedzialności, „jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody”. Trybunał nie miał jeszcze okazji szczegółowo zbadać art. 82 ust. 3 RODO. Wykładnia literalna tego przepisu wydaje się sugerować, że każde (mające charakter przyczynienia się) zaniedbanie lub uchybienie ze strony administratora lub podmiotu przetwarzającego wystarczy do wyłączenia możliwości zastosowania zwolnienia. Ponadto ciężar dowodu(21), który przepis ten nakłada na administratora(-ów) lub podmiot(-y) przetwarzający(-e) dążące(-ych) do zwolnienia ich z odpowiedzialności, może wymagać wdrożenia stałych środków mających na celu zapobieganie naruszeniom ochrony danych(22).

26. Kradzież danych osobowych osoby, której dane dotyczą, stanowi podstawę prawa do odszkodowania za szkodę niemajątkową na mocy art. 82 ust. 1 RODO, o ile spełnione są trzy przesłanki określone w wyroku w sprawie Österreichische Post(23). Zgodnie z motywem 7 RODO „[o]soby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi”. Sytuacja, w której osoby, których dane dotyczą, zostają „pozbawione […] możliwości sprawowania kontroli nad swoimi danymi osobowymi”(24) lub w której zachodzi utrata przez nie „kontroli nad własnymi danymi osobowymi”(25), może prowadzić do powstania szkody niemajątkowej. W tym właśnie kontekście sąd odsyłający zwraca się z pytaniem, czy kradzież danych osobowych stanowi kradzież tożsamości.

27. Przepisy części normatywnej RODO nie definiują ani nie odwołują się do pojęcia kradzieży tożsamości. Motywy 75 i 85 RODO jedynie odwołują się do „kradzieży tożsamości lub oszustwa dotyczącego tożsamości”. Katalog otwarty(26)z motywu 75 RODO wymienia „kradzież tożsamości lub oszustwo dotyczące tożsamości” jako przykładowe zagrożenie dla korzystania przez osoby fizyczne z przysługujących im praw lub wolności wynikające z przetwarzania ich danych osobowych. Motyw 85 RODO w podobny sposób odnosi się do „kradzieży lub sfałszowania tożsamości” jako przykładu(27) szkody wynikającej z braku odpowiedniej i szybkiej reakcji na naruszenie ochrony danych osobowych(28).

28. Szereg motywów(29) i przepisów(30) innych aktów prawnych Unii odnosi się do pojęć takich jak „kradzież tożsamości”(31), „oszustwo dotyczące tożsamości” czy „kradzież tożsamości lub oszustwo dotyczące tożsamości”(32). Nie znalazłem żadnego przepisu w prawie Unii, który definiowałby te pojęcia(33). Prawodawca Unii odwołuje się zatem do tych pojęć wyłącznie w celach ilustracyjnych(34).

29. Wynika to też jednoznacznie z analizy poszczególnych wersji językowych tych pojęć w motywach 75 i 85 RODO. Podczas gdy wersje językowe niemiecka (Identitätsdiebstahl oder -betrug), angielska (identity theft or fraud), estońska (identiteedivargust või -pettust), irlandzka (goid aitheantais nó calaois aitheantais), litewska (būti pavogta ar suklastota tapatybė), niderlandzka (identiteitsdiefstal of ‑fraude), polska (kradzież tożsamości lub oszustwo dotyczące tożsamości), rumuńska (furt sau fraudă a identității) i słowacka (krádeži totožnosti alebo podvodu) są w dużej mierze podobne, inne wersje językowe różnią się od nich bardziej lub mniej: czeska (krádeži či zneužití identité), francuska (vol ou une usurpation d’identité), grecka (κατάχρηση ή υποκλοπή ταυτότητας), portugalska (usurpação ou roubo da identidade), włoska (furto o usurpazione d’identità) i hiszpańska (usurpación de identidad o fraude). Różne wersje językowe odpowiednich motywów RODO wskazują, że terminy „kradzież tożsamości”, „oszustwo dotyczące tożsamości”, „nadużycie tożsamości”, „niewłaściwe wykorzystanie tożsamości”, „przywłaszczenie tożsamości” i „uzurpacja tożsamości” pokrywają się i można je uznać, przynajmniej w pewnym stopniu, za zamienne. Oznacza to, że motywy 75 i 85 RODO nie wprowadzają wyraźnego rozróżnienia między kradzieżą tożsamości a oszustwem dotyczącym tożsamości, wbrew twierdzeniom SO przedstawionym w pkt 18 niniejszej opinii.

30. Motywy 75 i 85 RODO odróżniają przykład „utraty kontroli” lub bycia pozbawionym możliwości „sprawowania kontroli” nad danymi osobowymi od „kradzieży tożsamości lub oszustwa dotyczącego tożsamości”. W konsekwencji sama kradzież danych osobowych(35) nie stanowi kradzieży tożsamości, nawet jeżeli może prowadzić do przyszłego (niewłaściwego) wykorzystania tych danych. Kradzież tożsamości wymaga dodatkowego działania lub kroku mającego szkodliwe skutki dla osoby, której dane dotyczą, które to skutki wykraczają poza kradzież danych osobowych(36). Osoba, która kradnie dane osobowe osoby, której dane dotyczą, musi bez zgody tej osoby (niewłaściwie) je wykorzystać lub podjąć konkretne kroki w celu ich (niewłaściwego) wykorzystania do celów niezgodnych z prawem(37). Takie działanie zazwyczaj wiąże się z oszustwem lub inną formą wprowadzenia w błąd i co do zasady jest dokonywane w celu osiągnięcia finansowej lub innej korzyści albo w celu zaszkodzenia osobie, której dane dotyczą, lub jej otoczeniu(38).

31. Z powyższego wynika, że o ile kradzież danych osobowych nie stanowi kradzieży tożsamości lub oszustwa dotyczącego tożsamości, to kradzież ta może prowadzić do powstania szkody niemajątkowej i prawa do odszkodowania na podstawie art. 82 ust. 1 RODO(39). Udowodnienie szkody niemajątkowej może być łatwiejsze w przypadku, gdy ustalono, że osoba, której dane dotyczą, padła ofiarą kradzieży tożsamości lub oszustwa dotyczącego tożsamości w następstwie kradzieży jej danych osobowych(40). Prawo do odszkodowania za szkodę niemajątkową na podstawie art. 82 ust. 1 RODO z tytułu kradzieży danych osobowych nie zależy jednak od zaistnienia kradzieży tożsamości lub oszustwa dotyczącego tożsamości(41). Szkoda niemajątkowa i prawo do odszkodowania na podstawie art. 82 ust. 1 RODO powinny być w każdym wypadku oceniane indywidualnie, z uwzględnieniem wszystkich istotnych okoliczności.

VI. Wnioski

32. W świetle powyższych rozważań proponuję, aby na piąte pytanie prejudycjalne przedłożone przez Amtsgericht München (sąd rejonowy w Monachium, Niemcy) Trybunał odpowiedział w następujący sposób:

Artykuł 82 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że dokonanie przez nieznanego sprawcę kradzieży wrażliwych danych osobowych osoby, której dane dotyczą, może stanowić podstawę prawa do odszkodowania za szkodę niemajątkową pod warunkiem udowodnienia naruszenia ogólnego rozporządzenia o ochronie danych, poniesienia rzeczywistej szkody oraz istnienia związku przyczynowego między szkodą a naruszeniem. Przyznanie takiego odszkodowania nie wymaga, aby sprawca przybrał tożsamość osoby, której dane dotyczą, ale też samo w sobie posiadanie danych identyfikujących osobę, której dane dotyczą, nie stanowi kradzieży tożsamości.

1 Język oryginału: angielski.

2 Sąd odsyłający nie przedstawia dokładnej kwalifikacji prawnej działań sprawców w prawie krajowym. Termin „kradzież” jest szeroki i może obejmować przywłaszczenie danych przez osoby trzecie.

3 Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1) (zwane dalej „RODO”).

4 W odesłaniu prejudycjalnym wskazano także, że „[r]achunek papierów wartościowych był prowadzony przez robo‑doradcę, tak że z przeprowadzanych transakcji nie można było odczytać profilu gotowości do podejmowania ryzyka przez powoda”.

5 Zobacz podobnie wyrok z dnia 2 września 2021 r., OTP Jelzálogbank i in. (C‑932/19, EU:C:2021:673, pkt 26 i przytoczone tam orzecznictwo).

6 Trybunał dokonał wykładni art. 82 RODO w ten sposób, że istnienie „szkody”, która została „poniesiona”, jest jedną z trzech przesłanek, które muszą zostać spełnione, aby uzyskać odszkodowanie na podstawie tego artykułu. Naruszenie RODO samo w sobie nie powoduje powstania prawa do odszkodowania. Wyrok z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych) (C‑300/21, EU:C:2023:370, pkt 32, 42) (zwany dalej „wyrokiem w sprawie Österreichische Post”).

7 Zobacz analogicznie wyrok z dnia 12 grudnia 2019 r., Slovenské elektrárne (C‑376/18, EU:C:2019:1068, pkt 29).

8 Zobacz pytanie piąte sądu odsyłającego.

9 Zobacz Europejska Rada Ochrony Danych, Wytyczne 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych – Przyjęte w dniu 14 grudnia 2021 r. – Wersja 2.0, dostęp przez https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf (europa.eu) (zwane dalej „wytycznymi z 2021 r.”).

10 Wyrok z dnia 4 kwietnia 2017 r., Rzecznik/Staelen (C‑337/15 P, EU:C:2017:256, pkt 91–95, 127–131).

11 Artykuł 4 pkt 1 RODO stanowi, że „dane osobowe” oznaczają „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

12 Zobacz motyw 146 RODO.

13 Trybunał nie zdefiniował pojęcia „szkody niemajątkowej” na gruncie art. 82 RODO. Zgadzam się z rzecznikiem generalnym G. Pitruzzellą, że zmartwienie lub niezadowolenie jednostki spowodowane tym, że jej dane zostały „zhakowane”, nie są wystarczające. Aby uzasadnić takie roszczenie, osoba, której dane dotyczą, musi wykazać, że obawa przed niewłaściwym wykorzystaniem jej danych spowodowała po jej stronie „szkodę emocjonalną”. Zobacz opinia rzecznika generalnego G. Pitruzzelli w sprawie Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, pkt 81–83).

14 Wyrok w sprawie Österreichische Post, pkt 30.

15 Zobacz art. 82 ust. 2 RODO i wyrok w sprawie Österreichische Post, pkt 32, 50.

16 Wyrok w sprawie Österreichische Post, pkt 33, 34. Zobacz także opinia rzecznika generalnego G. Pitruzzelli w sprawie Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, pkt 61).

17 Wyrok w sprawie Österreichische Post, pkt 58. Zobacz także opinia rzecznika generalnego M. Camposa Sáncheza‑Bordony w sprawie Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych) (C‑300/21, EU:C:2022:756, pkt 27–55) i opinia rzecznika generalnego G. Pitruzzelli w sprawie Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, pkt 74).

18 Wyrok w sprawie Österreichische Post, pkt 58.

19 Wyrok w sprawie Österreichische Post, pkt 31–33, 51, 58. Zobacz też motyw 146 RODO. Zobacz z kolei opinia rzecznika generalnego M. Camposa Sáncheza‑Bordony w sprawie Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych) (C‑300/21, EU:C:2022:756, pkt 105) i opinia rzecznika generalnego G. Pitruzzelli w sprawie Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, pkt 78).

20 Zobacz podobnie wyrok w sprawie Österreichische Post, pkt 37.

21 Wydaje się, że do zastosowania zwolnienia z odpowiedzialności od administratora(-ów) lub podmiotu(-ów) przetwarzającego(-ych) może być wymagane przedstawienie dowodu przeciwnego.

22 Rzecznik generalny G. Pitruzzella uważa, że aby zostać zwolnionym z odpowiedzialności na podstawie art. 82 RODO, administratorzy systemów podmiotów publicznych lub prywatnych, którzy przechowują dużą ilość danych osobowych, muszą wdrożyć odpowiednie środki, zwłaszcza aby radzić sobie z atakami zewnętrznymi; zob. opinia rzecznika generalnego G. Pitruzzelli w sprawie Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, pkt 65–67). Takie proaktywne środki mogą być uciążliwe i kosztowne. Sam art. 82 RODO nakłada na administratorów i podmioty przetwarzające obowiązek dochowania znacznej staranności.

23 Zobacz pkt 32 i 50 tego wyroku. Zobacz też pkt 24 i przypis 6 do niniejszej opinii.

24 Motyw 75 RODO.

25 Motyw 85 RODO.

26 Charakter katalogu otwartego wynika jasno z użycia w tym motywie sformułowań „może wynikać”, „mogącego prowadzić” oraz „w szczególności”.

27 Wynika to jasno z użycia w tym motywie sformułowań „może” i „takich jak”. Zobacz analogicznie wyrok z dnia 22 grudnia 2008 r., Wallentin‑Hermann (C‑549/07, EU:C:2008:771, pkt 22).

28 Artykuł 4 pkt 12 RODO definiuje „naruszenie ochrony danych osobowych” jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

29 Motywy ułatwiają interpretację i zrozumienie aktów prawa Unii, wskazując w szczególności cele, jakie akty te mają osiągnąć, oraz kontekst, w jakim zostały przyjęte. Pomagają one w określeniu znaczenia niejednoznacznych przepisów normatywnych. Motywy nie mogą służyć do dokonywania wykładni przepisu contra legem. Wyrok z dnia 19 listopada 1998 r., Nilsson i in. (C‑162/97, EU:C:1998:554, pkt 54).

30 Zobacz na przykład art. 86 lit. e) decyzji Rady i Komisji 2013/490/UE z dnia 22 lipca 2013 r. w sprawie zawarcia Układu o stabilizacji i stowarzyszeniu między Wspólnotami Europejskimi i ich państwami członkowskimi z jednej strony a Republiką Serbii z drugiej strony (Dz.U. 2013, L 278, s. 14) oraz art. 2 ust. 2 lit. b), art. 21 i art. 25 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/817 z dnia 20 maja 2019 r. w sprawie ustanowienia ram interoperacyjności systemów informacyjnych UE w obszarze granic i polityki wizowej oraz zmieniającego rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726, (UE) 2018/1861 oraz decyzje Rady 2004/512/WE i 2008/633/WSiSW (Dz.U. 2019, L 135, s. 27).

31 W motywie 14 dyrektywy Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotyczącej ataków na systemy informatyczne i zastępującej decyzję ramową Rady 2005/222/WSiSW (Dz.U. 2013, L 218, s. 8) wskazano, że „[t]worzenie skutecznych środków przeciwko kradzieży tożsamości i innym przestępstwom związanym z tożsamością stanowi kolejny ważny element zintegrowanego podejścia do walki z cyberprzestępczością”. Zgodnie z motywem 31 dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/713 z dnia 17 kwietnia 2019 r. w sprawie zwalczania fałszowania i oszustw związanych z bezgotówkowymi środkami płatniczymi, zastępującej decyzję ramową Rady 2001/413/WSiSW (Dz.U. 2019, L 123, s. 18) „[f]ałszowanie i oszustwa związane z bezgotówkowymi środkami płatniczymi narażają ofiary tego rodzaju przestępstw na poważne szkody ekonomiczne i nieekonomiczne. W przypadku gdy takie oszustwo wiąże się na przykład z kradzieżą tożsamości, jego skutki są często jeszcze groźniejsze, ponieważ pociągają za sobą uszczerbek dla reputacji i wizerunku zawodowego oraz szkodzą ocenie kredytowej danej osoby i wyrządzają poważną szkodę emocjonalną”. W motywie 33 tej dyrektywy wskazano, że „[p]aństwa członkowskie powinny przyjąć środki na rzecz pomocy i wsparcia dla tych ofiar, opierając się na środkach wymaganych na mocy tej dyrektywy, ale odpowiadając bardziej bezpośrednio na szczególne potrzeby osób, które padły ofiarą oszustw wiążących się z kradzieżą tożsamości”.

32 Terminy „kradzież tożsamości” lub „oszustwo dotyczące tożsamości” są używane, bez definicji, w motywach innych aktów prawnych Unii. Zobacz na przykład motyw 46 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. 2018, L 295, s. 39) oraz motywy 51 i 61 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89).

33 Załącznik II do rozporządzenia Komisji (UE) 2018/1798 z dnia 21 listopada 2018 r. w sprawie wykonania rozporządzenia (WE) nr 808/2004 Parlamentu Europejskiego i Rady dotyczącego statystyk Wspólnoty w sprawie społeczeństwa informacyjnego za rok referencyjny 2019 (Dz.U. 2018, L 296, s. 2) zawiera szereg przykładów lub odwołań do kradzieży tożsamości. Obejmują one między innymi sytuację, w której „ktoś ukradł dane osobowe respondenta i podawał się za niego, np. dokonywał zakupów na nazwisko respondenta”, jako przykład „kradzieży tożsamości w Internecie”.

34 Zobacz z kolei art. 226‑4‑1 code pénal français (francuskiego kodeksu karnego) [zmienionego LOI n°2020‑936 du 30 juillet 2020 (ustawą nr 2020‑936 z dnia 30 lipca 2020 r.), art. 19], który stanowi: „Kradzież tożsamości innej osoby lub wykorzystanie jednego lub więcej elementów jakichkolwiek danych, dzięki którym można zidentyfikować tę osobę, w celu zakłócenia spokoju jej lub innych osób lub w celu naruszenia jej czci lub reputacji podlega karze pozbawienia wolności w wymiarze jednego roku i karze grzywny w wysokości 15 000 EUR. Te same kary mają zastosowanie w przypadku, gdy przestępstwo zostało popełnione za pośrednictwem publicznie dostępnej internetowej sieci komunikacyjnej. Jeżeli czyny te zostały popełnione przez małżonka lub konkubenta ofiary lub przez osobę związaną z ofiarą w ramach pacte civil de solidarité [(cywilnego związku partnerskiego)], podlegają one karze pozbawienia wolności w wymiarze dwóch lat i karze grzywny w wysokości 30 000 EUR”. Paragraf 1028A(a)(1) w dziale 18 U.S. Code (kodeksu USA) wprowadza federalne przestępstwo kwalifikowanej kradzieży tożsamości. Przepis ten stanowi, że „[k]to, podczas i w związku z którymkolwiek z przestępstw wymienionych w lit. c), świadomie przenosi, posiada lub wykorzystuje, bez upoważnienia ustawowego, środki identyfikujące inną osobę, oprócz kary za to przestępstwo podlega dodatkowo karze 2 lat pozbawienia wolności”. Zobacz też § 1028(a)(7) w dziale 18 tego kodeksu, wprowadzający federalne przestępstwo kradzieży tożsamości.

35 Oraz wynikająca z niej utrata kontroli nad skradzionymi danymi osobowymi.

36 Kradzież tożsamości wymaga, aby sprawca dokonał wprowadzenia w błąd co do osoby, której dane dotyczą, na przykład poprzez przejęcie jej tożsamości lub podawanie się za osobę, której dane dotyczą.

37 Wbrew twierdzeniom SO przedstawionym w pkt 18 niniejszej opinii w braku jakiegokolwiek (niewłaściwego) wykorzystania skradzionych danych lub podjęcia konkretnych kroków w tym celu charakter i zakres tych danych nie powodują powstania domniemania, że doszło do kradzieży tożsamości.

38 W odniesieniu do przykładów kradzieży tożsamości zobacz: Agencja Unii Europejskiej ds. Cyberbezpieczeństwa, Kradzież tożsamości – Krajobraz zagrożeń wg Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) – Od stycznia 2019 r. do kwietnia 2020 r., dostęp przez https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-identity-theft; sekcja 7.1 wytycznych z 2021 r., dostęp przez https://edpb_guidelines_012021_pdbnotification_adopted_pl.pdf (europa.eu); oraz Europejska Rada Ochrony Danych, Wytyczne 01/2022 w przedmiocie praw osób, których dane dotyczą – Prawo dostępu – Wersja 1.0 – Przyjęte w dniu 18 stycznia 2022 r., pkt 105, dostęp przez https://edpb.europa.eu/system/files/2022–01/edpb_guidelines_012022_right-of-access_0.pdf.

39 Jeżeli spełnione są trzy przesłanki opisane w pkt 24 niniejszej opinii.

40 W opinii w sprawie Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych) (C‑300/21, EU:C:2022:756, pkt 98, 99) rzecznik generalny M. Campos Sánchez‑Bordona wskazał, że przykłady ryzyka lub szkody zawarte w motywach 75 i 85 RODO mogą być „znaczne” lub mieć „poważniejszy charakter”. W praktyce wystąpienie kradzieży tożsamości lub oszustwa dotyczącego tożsamości będzie ułatwiać ustalenie poniesienia szkody.

41 Wynika to z faktu, że „kradzież tożsamości lub oszustwo dotyczące tożsamości” występuje w motywach 75 i 85 RODO obok innych przykładów ryzyka lub szkody, takich jak „dyskryminacja”, „strata finansowa” i „naruszenie dobrego imienia”.