Predbežné znenie
NÁVRHY GENERÁLNEHO ADVOKÁTA
ANTHONY MICHAEL COLLINS
prednesené 26. októbra 2023(1)
Spojené veci C‑182/22 a C‑189/22
JU (C‑182/22)
SO (C‑189/22)
proti
Scalable Capital GmbH
[návrh na začatie prejudiciálneho konania, ktorý podal Amtsgericht München (Okresný súd Mníchov, Nemecko)]
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 82 ods. 1 – Právo na náhradu škody spôsobenej spracúvaním údajov, ktoré je v rozpore s týmto nariadením – Nemajetková ujma – Krádež údajov – Krádež totožnosti alebo podvod“
I. Úvod
1. V dvoch do značnej miery totožných žalobách, ktoré podali JU proti spoločnosti Scalable Capital GmbH (ďalej len „Scalable Capital“) (vec C‑182/22) a SO proti spoločnosti Scalable Capital (vec C‑189/22), sa žalobcovia domáhajú náhrady nemajetkovej ujmy za údajnú bolesť a utrpenie spôsobené tým, čo vnútroštátny súd označuje ako krádež(2) ich osobných údajov uložených v aplikácii určenej na obchodovanie, ktorú spravuje Scalable Capital, ktorej sa dopustili neznáme tretie osoby. Tieto tretie osoby doteraz nepoužili tieto údaje na podvodné alebo iné účely. Amtsgericht München (Okresný súd Mníchov) žiada Súdny dvor o usmernenie, pokiaľ ide o výklad pojmu nemajetková ujma v článku 82 nariadenia (EÚ) 2016/679(3) a podmienok, za ktorých je možné získať náhradu takejto ujmy. Vnútroštátny sa najmä pýta, či krádež týchto údajov predstavuje „krádež totožnosti“, na ktorú odkazuje odôvodnenie 75 GDPR.
II. Právny rámec – právo Európskej únie
2. Odôvodnenie 75 GDPR je v tomto znení:
„Riziko pre práva a slobody fyzických osôb s rôznym stupňom pravdepodobnosti a závažnosti môžu vyplývať zo spracúvania osobných údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme, a to najmä ak spracúvanie môže viesť k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate, poškodeniu dobrého mena, strate dôvernosti osobných údajov chránených profesijným tajomstvom, neoprávnenej reverznej pseudonymizácii alebo akémukoľvek inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo im bolo bránené v kontrole nad svojimi osobnými údajmi;…“
3. Odôvodnenie 85 GDPR stanovuje:
„Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. …“
4. Odôvodnenie 146 GDPR znie:
„Prevádzkovateľ alebo sprostredkovateľ by mali nahradiť akúkoľvek škodu, ktorú môže osoba utrpieť v dôsledku spracúvania, ktoré je v rozpore s týmto nariadením. … Podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia. … Dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu. …“
5. Podľa článku 82 GDPR s názvom „Právo na náhradu škody a zodpovednosť“:
„1. Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.
2. Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.
3. Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.
…“
III. Spory vo veciach samých a prejudiciálne otázky
6. JU a SO si otvorili investičné účty v aplikácii určenej na obchodovanie, ktorú spravuje Scalable Capital. Na účely overenia svojej totožnosti každý z nich do aplikácie uložil svoje osobné údaje vrátane mena, dátumu narodenia, poštovej a e‑mailovej adresy a digitálnych kópií svojich preukazov totožnosti.(4) Je nesporné, že neznámi páchatelia tieto údaje ukradli.
7. Amtsgericht München (Okresný súd Mníchov) sa domnieva, že odcudzené údaje sú pomerne citlivé, a konštatuje, že JU a SO majú nárok na náhradu škody podľa článku 82 GDPR. Vzhľadom na to, že výška náhrady, ktorá sa má JU a SO priznať, závisí od výkladu článku 82 GDPR, vnútroštátny súd rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. Má sa článok 82 [GDPR] vykladať v tom zmysle, že nárok na náhradu škody nemá ani v rámci určovania jeho výšky sankčný charakter, najmä nemá všeobecnú alebo špeciálnu odrádzajúcu funkciu, ale tento nárok na náhradu škody má len kompenzačnú a prípadne satisfakčnú funkciu?
2a) Má sa pri určovaní výšky nároku na náhradu nemajetkovej ujmy vychádzať z toho, že tento nárok na náhradu ujmy má tiež individuálnu satisfakčnú funkciu – v tomto prípade chápanú ako súkromný záujem poškodeného na tom, aby správanie, ktoré mu spôsobilo ujmu, bolo potrestané, – alebo má tento nárok na náhradu ujmy len kompenzačnú funkciu – v tomto prípade chápanú ako funkciu spočívajúcu v kompenzácii vzniknutej ujmy?
2b)1 Ak sa má vychádzať z toho, že nárok na náhradu nemajetkovej ujmy má tak kompenzačnú, ako aj satisfakčnú funkciu, treba pri určovaní jeho výšky vychádzať z toho, že kompenzačná funkcia má systematickú prednosť alebo aspoň prednosť, ktorá sa má chápať v zmysle vzťahu medzi pravidlom a výnimkou, pred satisfakčnou funkciou? Má to za následok, že satisfakčná funkcia prichádza do úvahy len v prípade úmyselných porušení alebo porušení spôsobených z hrubej nedbanlivosti?
2b)2 Ak nárok na náhradu nemajetkovej ujmy nemá satisfakčnú funkciu, vyplýva dodatočná závažnosť pri určovaní jeho výšky v rámci posudzovania faktorov, ktoré prispeli ku vzniku ujmy, len z úmyselných porušení alebo porušení spôsobených z hrubej nedbanlivosti, ktoré sa týkajú ochrany údajov?
3. Má sa pri určovaní výšky náhrady nemajetkovej ujmy vychádzať zo systematického hierarchického vzťahu alebo aspoň hierarchického vzťahu medzi pravidlom a výnimkou, pri ktorom je ujma spôsobená porušením práva na ochranu údajov menej závažná, ako je ujma a bolesť spôsobená poškodením fyzickej integrity?
4. Môže vnútroštátny súd v prípade, ak sa má vychádzať z toho, že vznikla škoda, vzhľadom na jej nedostatočnú závažnosť priznať nárok na náhradu škody, ktorý je z materiálneho hľadiska len nepatrný, a preto ho prípadne poškodený vníma len ako symbolický alebo sa všeobecne vníma ako symbolický?
5. Má sa pri posudzovaní následkov náhrady nemajetkovej ujmy vychádzať z toho, že o krádež totožnosti v zmysle odôvodnenia 75 [GDPR] ide až vtedy, keď páchateľ skutočne prijal totožnosť dotknutej osoby, teda v akejkoľvek podobe sa vydával za dotknutú osobu, alebo spočíva taká krádež totožnosti už v tom, že páchatelia medzitým disponujú údajmi, ktoré umožňujú identifikovať dotknutú osobu?“
IV. Konanie na Súdnom dvore
8. Rozhodnutím z 19. apríla 2022 predseda Súdneho dvora spojil veci C‑182/22 a C‑189/22 na účely písomnej a ústnej časti konania, ako aj rozsudku.
9. Dňa 1. júna 2022 predseda Súdneho dvora zamietol žiadosť spoločnosti Scalable Capital o anonymizáciu tohto konania podľa článku 95 ods. 2 Rokovacieho poriadku Súdneho dvora.
10. Písomné pripomienky predložili SO, Scalable Capital, Írsko a Európska komisia.
11. Najprv sa budem zaoberať námietkami, ktoré boli vznesené proti prípustnosti položených otázok, a potom Súdnemu dvoru na základe jeho žiadosti navrhnem, ako by mal odpovedať na piatu otázku.
V. Posúdenie
A. O prípustnosti
12. Podľa spoločnosti Scalable Capital strata kontroly nad osobnými údajmi bez ďalších dôsledkov pre dotknutú osobu nespôsobuje nemajetkovú ujmu v zmysle článku 82 ods. 1 GDPR. Znenie, všeobecná štruktúra a účel článku 82 GDPR nepodporujú existenciu domnienky, že takáto ujma vzniká ako dôsledok takej straty kontroly. Vnútroštátny súd teda vec nesprávne posúdil, keď vychádzal z predpokladu, že JU a SO utrpeli nemajetkovú ujmu. Návrhy na začatie prejudiciálneho konania sú z tohto dôvodu pre rozhodnutie o žalobách podaných na vnútroštátny súd irelevantné, a preto sú neprípustné.
13. Komisia sa domnieva, že význam piatej otázky pre rozhodnutie o žalobách na vnútroštátnom súde nie je jasný. Vnútroštátny súd len odkazuje na rozdielny výklad práva účastníkmi konania a konštatuje, že „krádež totožnosti nastane len vtedy, keď nezákonne získané údaje sa použijú na účely predstierania totožnosti dotknutej osoby“. Ani v piatej otázke vnútroštátny súdne nežiada Súdny dvor o výklad konkrétneho ustanovenia GDPR.
14. V súlade s ustálenou judikatúrou Súdneho dvora sa na otázky týkajúce sa výkladu práva Únie, ktoré položil vnútroštátny súd, vzťahuje domnienka relevantnosti. Súdny dvor môže odmietnuť rozhodnúť o takýchto otázkach len vtedy, ak je zjavné, že požadovaný výklad práva Únie nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, ak ide o hypotetický problém alebo ak Súdny dvor nedisponuje skutkovými alebo právnymi podkladmi potrebnými na poskytnutie užitočnej odpovede na položené otázky.(5)
15. Námietka spoločnosti Scalable Capital proti prípustnosti všetkých položených otázok sa zakladá na jej výklade článku 82 GDPR, práve na náhradu škody a údajnú neexistenciu nemajetkovej ujmy. Položené otázky sa týkajú práva dotknutých osôb na náhradu škody podľa článku 82 GDPR. Konštatovanie existencie škody je nevyhnutným predpokladom na získanie takejto náhrady.(6) Námietka spoločnosti Scalable Capital proti prípustnosti návrhov na začatie prejudiciálneho konania sa teda týka podstaty otázok, ktoré sa v nich uvádzajú. Tvrdenia, ktoré smerujú k podstate otázok uvedených v návrhu na začatie prejudiciálneho konania, nemôžu svojou povahou ovplyvniť prípustnosť tohto návrhu.(7)
16. Pokiaľ ide o námietku Komisie proti prípustnosti piatej otázky, nie je zrejmé, že táto otázka buď nemá žiadnu súvislosť so žalobami podanými vnútroštátnemu súdu, alebo že je hypotetická. Vnútroštátny súd rozhoduje o žalobách o náhradu škody podľa GDPR. Účastníci konania sa nezhodujú v tom, či krádež osobných údajov predstavuje krádež totožnosti, na ktorú odkazuje odôvodnenie 75 GDPR, alebo či na to, aby došlo ku krádeži totožnosti, „musí páchateľ skutočne prijať totožnosť dotknutých osôb“(8). Aj keď sú vyjadrenia vnútroštátneho súdu k jeho piatej otázke stručné, z návrhov na začatie prejudiciálneho konania vyplýva, že táto otázka súvisí s ostatnými štyrmi otázkami, ktoré vnútroštátny súd položil v súvislosti s pojmom nemajetková ujma a právom na náhradu škody podľa článku 82 GDPR.
17. Na základe už uvedeného odporúčam Súdnemu dvoru, aby zamietol jednotlivé námietky proti prípustnosti otázok, ktoré predložil Amtsgericht München (Okresný súd Mníchov).
B. O podstate
1. Pripomienky účastníkov konania
18. Podľa SO odôvodnenie 85 GDPR jasne rozlišuje medzi krádežou totožnosti a podvodom s totožnosťou. Krádež totožnosti predpokladá, že páchateľ môže zneužiť totožnosť osoby tým, že uvedie do omylu iné osoby, pokiaľ ide o túto totožnosť. Podvod s totožnosťou môže byť spáchaný v nadväznosti na krádež totožnosti. Z toho vyplýva, že krádež totožnosti nevyžaduje skutočné zneužitie totožnosti osoby. Na základe povahy a rozsahu odcudzených údajov v prejednávanej veci sa možno domnievať, že došlo ku krádeži totožnosti, čo zakladá právo na náhradu škody z tohto titulu.
19. Scalable Capital tvrdí, že ku krádeži totožnosti dochádza vtedy, keď osoba zneužije osobné údaje jednotlivca s cieľom „predstierať“ jeho totožnosť. Krádež určitých údajov môže viesť ku krádeži totožnosti alebo ju uľahčiť, ale sama osebe nepredstavuje krádež totožnosti. Systematický výklad odôvodnenia 75 GDPR podporuje takýto prístup, keďže z ostatných príkladov uvedených v tomto ustanovení vyplýva, že možnosť využiť určité osobné údaje nepredstavuje krádež totožnosti. Cieľom článku 82 GDPR je poskytnúť náhradu škody, ktorá jednotlivcom skutočne vznikla. Extenzívny výklad pojmu krádež totožnosti je v rozpore s týmto cieľom, keďže by zakladal žalobu o náhradu škody na abstraktnej možnosti, že škoda môže vzniknúť v budúcnosti.
20. Írsko tvrdí, že krádež totožnosti sa vzťahuje na okolnosti, keď strana skutočne prijme totožnosť osoby, ktorej údaje boli zneužité. Na to, aby došlo ku krádeži totožnosti, teda nestačí, aby účastník konania mal k dispozícii údaje, ktoré identifikujú osobu. Náhrada nemajetkovej ujmy podľa článku 82 GDPR sa v každom prípade posudzuje podľa okolností každého jednotlivého prípadu.
21. Komisia poznamenáva, že GDPR nedefinuje krádež totožnosti. V odôvodneniach 75 a 85 GDPR sa uvádza krádež totožnosti ako príklad spracúvania osobných údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme. Podľa Komisie je krádež totožnosti, na ktorú sa vzťahujú tieto odôvodnenia, nezákonné získanie údajov na účely „predstierania totožnosti“ dotknutej osoby.(9) Na preukázanie krádeže totožnosti je potrebné preukázať úmysel páchateľa vydávať sa za dotknutú osobu na základe konkrétnych činností alebo prípravy na ich vykonanie. Keďže podľa ustálenej judikatúry musí byť škoda „skutočná a určitá“(10), samotná držba údajov identifikujúcich dotknutú osobu bez uskutočnenia krokov na vydávanie sa za takúto osobu, nepredstavuje krádež totožnosti.
2. Analýza
22. Cieľom piatej otázky vnútroštátneho súdu je zistiť, či jednoduchá krádež citlivých osobných údajov dotknutej osoby(11) neznámym páchateľom predstavuje krádež totožnosti, a teda zakladá právo na náhradu škody, alebo či na to, aby k nej došlo, musí páchateľ skutočne prijať totožnosť dotknutej osoby alebo uskutočniť kroky na tento účel. Táto otázka sa kladie v súvislosti so zistením, že neznámi páchatelia odcudzili niektoré citlivé osobné údaje JU a SO z aplikácie spoločnosti Scalable Capital určenej na obchodovanie. Aj keď sa zdá, že nedošlo k žiadnemu ďalšiemu zneužitiu alebo použitiu údajov, keďže totožnosť páchateľov nie je známa a nie sú stále zadržaní, nie je možné takéto zneužitie alebo použitie v budúcnosti vylúčiť.
23. V článku 82 GDPR sa všeobecne(12) potvrdzuje právo každej dotknutej osoby, ktorá utrpela „majetkovú alebo nemajetkovú ujmu“ v dôsledku porušenia GDPR, na náhradu škody a zodpovednosť sa rozdeľuje medzi prevádzkovateľa(‑ov) a/alebo sprostredkovateľa(‑ov). V predmetnom ustanovení sa neuvádza ani konkrétna povaha, ani forma takejto škody. GDPR neodkazuje na právne predpisy členských štátov na účely definovania významu a rozsahu pojmu „nemajetková ujma“(13). Tento pojem sa z uvedeného dôvodu považuje za autonómny pojem práva Únie a vykladá sa jednotne vo všetkých členských štátoch.(14)
24. Náhrada škody podľa článku 82 GDPR je splatná po preukázaní porušenia GDPR, existencie „skutočne utrpenej ujmy“ a príčinnej súvislosti medzi touto ujmou a porušením.(15) GDPR nestanovuje režim objektívnej zodpovednosti.(16) Kompenzačná povaha režimu, ktorý inauguroval článok 82 ods. 1 GDPR, vylučuje aj priznanie sankčnej náhrady škody.(17) Takáto náhrada škody musí byť úplná a účinná, čím sa vyžaduje, aby „škoda, ktorá bola konkrétne utrpená v dôsledku porušenia GDPR, bola v celom rozsahu kompenzovaná“(18). Nemajetková ujma, ktorú dotknutá osoba utrpela, nemusí dosiahnuť určitý stupeň závažnosti.(19) Aj keď nie je stanovená žiadna hranica de minimis, pokiaľ ide o úroveň nemajetkovej ujmy, musia existovať jasné a presné dôkazy o tom, že dotknutá osoba takúto ujmu utrpela. Potenciálna alebo hypotetická škoda,(20) alebo len znepokojenie v súvislosti s krádežou osobných údajov nestačí.
25. Článok 82 ods. 3 GDPR zbavuje prevádzkovateľa alebo sprostredkovateľa zodpovednosti, „ak preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu“. Súdny dvor nemal príležitosť podrobne preskúmať článok 82 ods. 3 GDPR. Zdá sa, že doslovný výklad tohto ustanovenia predpokladá, že na vylúčenie uplatnenia výnimky postačuje akákoľvek nedbanlivosť alebo pochybenie prevádzkovateľa alebo sprostredkovateľa, ktorou sa čo i len podieľal na udalosti, ktorá spôsobila škodu. Okrem toho dôkazné bremeno,(21) ktoré toto ustanovenie ukladá prevádzkovateľovi(‑om) alebo sprostredkovateľovi(‑om) usilujúcim sa o uplatnenie výnimky, si môže vyžadovať vykonávanie priebežných opatrení zameraných na predchádzanie porušeniam ochrany údajov.(22)
26. Krádež osobných údajov dotknutej osoby zakladá právo na náhradu nemajetkovej ujmy podľa článku 82 ods. 1 GDPR, ak sú splnené tri podmienky stanovené v rozsudku Österreichische Post(23). Podľa odôvodnenia 7 GDPR „fyzické osoby by mali mať kontrolu nad svojimi vlastnými osobnými údajmi“. Ak by bolo dotknutým osobám „bránené v kontrole nad svojimi osobnými údajmi“(24) alebo ak fyzické osoby stratia „kontrolu nad svojimi osobnými údajmi“(25), môže to viesť ku vzniku nemajetkovej ujmy. V tejto súvislosti sa vnútroštátny súd pýta, či krádež osobných údajov predstavuje krádež totožnosti.
27. V normatívnych ustanoveniach GDPR sa krádež totožnosti neuvádza ani nedefinuje. V odôvodneniach 75 a 85 GDPR sa jednoducho odkazuje na „krádež totožnosti alebo podvod“. V odôvodnení 75 sa „krádež totožnosti alebo podvod“ uvádza ako jeden z neúplného zoznamu príkladov(26)rizika pre práva a slobody fyzických osôb v dôsledku spracúvania ich osobných údajov. V odôvodnení 85 GDPR sa podobne odkazuje na „krádež totožnosti alebo podvod“ ako príklad(27) ujmy spôsobenej tým, že porušenie ochrany osobných údajov sa nerieši primeraným a včasným spôsobom.(28)
28. Vo viacerých odôvodneniach(29) a ustanoveniach(30) iných právnych predpisov Únie sa uvádzajú pojmy ako „krádež identity“(31), „podvod s totožnosťou“ a „krádež totožnosti alebo podvod“(32). Nenašiel som žiadne ustanovenie právnych predpisov Únie, ktoré by tieto pojmy definovalo.(33)Právne predpisy Únie teda odkazujú na tieto pojmy na ilustračné účely.(34)
29. Je to zrejmé aj z posúdenia rôznych jazykových verzií týchto pojmov v odôvodneniach 75 a 85 GDPR. Zatiaľ čo nemecká (Identitätsdiebstahl oder ‑betrug), anglická (identity theft or fraud), estónska (identiteedivargust või ‑pettust), írska (goid aitheantais nó calaois aitheantais), litovská (būti pavogta ar suklastota tapatybė), holandská (identiteitsdiefstal of ‑fraude), poľská (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), rumunská (furt sau fraudă a identității) a slovenská (krádeži totožnosti alebo podvodu) jazyková verzia sú do značnej miery podobné, ostatné jazykové verzie sa od nich v rôznej miere odlišujú: česká (krádeži či zneužití identity), francúzska (vol ou une usurpation d’identité), grécka (κατάχρηση ή υποκλοπή ταυτότητας), portugalská (usurpação ou roubo da identidade), talianska (furto o usurpazione d’identità) a španielska (usurpación de identidad o fraude). Z rôznych jazykových verzií príslušných odôvodnení GDPR vyplýva, že pojmy krádež totožnosti, podvod s totožnosťou, zneužitie totožnosti, využitie totožnosti, prisvojenie si totožnosti a uzurpácia totožnosti sa prekrývajú a možno ich aspoň do určitej miery považovať za zameniteľné. Z toho vyplýva, že odôvodnenia 75 a 85 GDPR jasne nerozlišujú medzi krádežou totožnosti a podvodom s totožnosťou, čo je v rozpore s tvrdeniami SO uvedenými v bode 18 vyššie.
30. V odôvodneniach 75 a 85 GDPR sa rozlišuje medzi príkladom „straty kontroly“ alebo bránenia „v kontrole“ nad osobnými údajmi a príkladom „krádeže totožnosti alebo podvodu“. V dôsledku toho samotná krádež osobných údajov(35) nepredstavuje krádež totožnosti, aj keď táto krádež môže viesť k budúcemu použitiu alebo zneužitiu týchto údajov. Krádež totožnosti si vyžaduje ďalšie konanie alebo krok so škodlivými účinkami pre dotknutú osobu, ktoré presahujú rámec krádeže osobných údajov.(36) Osoba, ktorá ukradne osobné údaje dotknutej osoby, ich musí použiť alebo zneužiť, alebo podniknúť konkrétne kroky na ich použitie alebo zneužitie na nezákonné účely bez súhlasu tejto osoby.(37) Takéto konanie zvyčajne zahŕňa podvod alebo inú formu klamstva a spravidla sa vykonáva s cieľom získať finančný alebo iný prospech alebo poškodiť dotknutú osobu alebo jej okolie.(38)
31. Z uvedeného vyplýva, že aj keď krádež osobných údajov nepredstavuje krádež totožnosti ani podvod, táto krádež môže viesť ku vzniku nemajetkovej ujmy a práva na náhradu škody podľa článku 82 ods. 1 GDPR.(39) Preukázanie nemajetkovej ujmy môže byť jednoduchšie, ak sa zistí, že dotknutá osoba sa stala obeťou krádeže totožnosti alebo podvodu v dôsledku krádeže jej osobných údajov.(40) Právo na náhradu nemajetkovej ujmy podľa článku 82 ods. 1 GDPR za krádež osobných údajov však nezávisí od existencie krádeže totožnosti alebo podvodu.(41) Nemajetková ujma a právo na náhradu škody podľa článku 82 ods. 1 GDPR sa posudzujú individuálne, pričom sa zohľadňujú všetky relevantné okolnosti.
VI. Návrh
32. Vzhľadom na uvedené úvahy navrhujem, aby Súdny dvor na piatu otázku, ktorú položil Amtsgericht München (Okresný súd Mníchov, Nemecko), odpovedal takto.
Článok 82 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
sa má vykladať v tom zmysle, že:
krádež citlivých osobných údajov dotknutej osoby neznámym páchateľom môže viesť ku vzniku nároku na náhradu nemajetkovej ujmy po preukázaní porušenia všeobecného nariadenia o ochrane údajov, skutočne utrpenej škody a príčinnej súvislosti medzi touto škodou a uvedeným porušením. Na priznanie takejto náhrady sa nevyžaduje, aby páchateľ prijal totožnosť dotknutej osoby, a samotná držba údajov, ktoré identifikujú dotknutú osobu, nepredstavuje krádež totožnosti.