CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:820

Predbežné znenie

NÁVRHY GENERÁLNEHO ADVOKÁTA

ANTHONY MICHAEL COLLINS

prednesené 26. októbra 2023(1)

Spojené veci C‑182/22 a C‑189/22

JU (C‑182/22)

SO (C‑189/22)

proti

Scalable Capital GmbH

[návrh na začatie prejudiciálneho konania, ktorý podal Amtsgericht München (Okresný súd Mníchov, Nemecko)]

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 82 ods. 1 – Právo na náhradu škody spôsobenej spracúvaním údajov, ktoré je v rozpore s týmto nariadením – Nemajetková ujma – Krádež údajov – Krádež totožnosti alebo podvod“

I. Úvod

1. V dvoch do značnej miery totožných žalobách, ktoré podali JU proti spoločnosti Scalable Capital GmbH (ďalej len „Scalable Capital“) (vec C‑182/22) a SO proti spoločnosti Scalable Capital (vec C‑189/22), sa žalobcovia domáhajú náhrady nemajetkovej ujmy za údajnú bolesť a utrpenie spôsobené tým, čo vnútroštátny súd označuje ako krádež(2) ich osobných údajov uložených v aplikácii určenej na obchodovanie, ktorú spravuje Scalable Capital, ktorej sa dopustili neznáme tretie osoby. Tieto tretie osoby doteraz nepoužili tieto údaje na podvodné alebo iné účely. Amtsgericht München (Okresný súd Mníchov) žiada Súdny dvor o usmernenie, pokiaľ ide o výklad pojmu nemajetková ujma v článku 82 nariadenia (EÚ) 2016/679(3) a podmienok, za ktorých je možné získať náhradu takejto ujmy. Vnútroštátny sa najmä pýta, či krádež týchto údajov predstavuje „krádež totožnosti“, na ktorú odkazuje odôvodnenie 75 GDPR.

II. Právny rámec – právo Európskej únie

2. Odôvodnenie 75 GDPR je v tomto znení:

„Riziko pre práva a slobody fyzických osôb s rôznym stupňom pravdepodobnosti a závažnosti môžu vyplývať zo spracúvania osobných údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme, a to najmä ak spracúvanie môže viesť k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate, poškodeniu dobrého mena, strate dôvernosti osobných údajov chránených profesijným tajomstvom, neoprávnenej reverznej pseudonymizácii alebo akémukoľvek inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo im bolo bránené v kontrole nad svojimi osobnými údajmi;…“

3. Odôvodnenie 85 GDPR stanovuje:

„Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. …“

4. Odôvodnenie 146 GDPR znie:

„Prevádzkovateľ alebo sprostredkovateľ by mali nahradiť akúkoľvek škodu, ktorú môže osoba utrpieť v dôsledku spracúvania, ktoré je v rozpore s týmto nariadením. … Podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia. … Dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu. …“

5. Podľa článku 82 GDPR s názvom „Právo na náhradu škody a zodpovednosť“:

„1. Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.

2. Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.

3. Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.

…“

III. Spory vo veciach samých a prejudiciálne otázky

6. JU a SO si otvorili investičné účty v aplikácii určenej na obchodovanie, ktorú spravuje Scalable Capital. Na účely overenia svojej totožnosti každý z nich do aplikácie uložil svoje osobné údaje vrátane mena, dátumu narodenia, poštovej a e‑mailovej adresy a digitálnych kópií svojich preukazov totožnosti.(4) Je nesporné, že neznámi páchatelia tieto údaje ukradli.

7. Amtsgericht München (Okresný súd Mníchov) sa domnieva, že odcudzené údaje sú pomerne citlivé, a konštatuje, že JU a SO majú nárok na náhradu škody podľa článku 82 GDPR. Vzhľadom na to, že výška náhrady, ktorá sa má JU a SO priznať, závisí od výkladu článku 82 GDPR, vnútroštátny súd rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

„1. Má sa článok 82 [GDPR] vykladať v tom zmysle, že nárok na náhradu škody nemá ani v rámci určovania jeho výšky sankčný charakter, najmä nemá všeobecnú alebo špeciálnu odrádzajúcu funkciu, ale tento nárok na náhradu škody má len kompenzačnú a prípadne satisfakčnú funkciu?

2a) Má sa pri určovaní výšky nároku na náhradu nemajetkovej ujmy vychádzať z toho, že tento nárok na náhradu ujmy má tiež individuálnu satisfakčnú funkciu – v tomto prípade chápanú ako súkromný záujem poškodeného na tom, aby správanie, ktoré mu spôsobilo ujmu, bolo potrestané, – alebo má tento nárok na náhradu ujmy len kompenzačnú funkciu – v tomto prípade chápanú ako funkciu spočívajúcu v kompenzácii vzniknutej ujmy?

2b)1 Ak sa má vychádzať z toho, že nárok na náhradu nemajetkovej ujmy má tak kompenzačnú, ako aj satisfakčnú funkciu, treba pri určovaní jeho výšky vychádzať z toho, že kompenzačná funkcia má systematickú prednosť alebo aspoň prednosť, ktorá sa má chápať v zmysle vzťahu medzi pravidlom a výnimkou, pred satisfakčnou funkciou? Má to za následok, že satisfakčná funkcia prichádza do úvahy len v prípade úmyselných porušení alebo porušení spôsobených z hrubej nedbanlivosti?

2b)2 Ak nárok na náhradu nemajetkovej ujmy nemá satisfakčnú funkciu, vyplýva dodatočná závažnosť pri určovaní jeho výšky v rámci posudzovania faktorov, ktoré prispeli ku vzniku ujmy, len z úmyselných porušení alebo porušení spôsobených z hrubej nedbanlivosti, ktoré sa týkajú ochrany údajov?

3. Má sa pri určovaní výšky náhrady nemajetkovej ujmy vychádzať zo systematického hierarchického vzťahu alebo aspoň hierarchického vzťahu medzi pravidlom a výnimkou, pri ktorom je ujma spôsobená porušením práva na ochranu údajov menej závažná, ako je ujma a bolesť spôsobená poškodením fyzickej integrity?

4. Môže vnútroštátny súd v prípade, ak sa má vychádzať z toho, že vznikla škoda, vzhľadom na jej nedostatočnú závažnosť priznať nárok na náhradu škody, ktorý je z materiálneho hľadiska len nepatrný, a preto ho prípadne poškodený vníma len ako symbolický alebo sa všeobecne vníma ako symbolický?

5. Má sa pri posudzovaní následkov náhrady nemajetkovej ujmy vychádzať z toho, že o krádež totožnosti v zmysle odôvodnenia 75 [GDPR] ide až vtedy, keď páchateľ skutočne prijal totožnosť dotknutej osoby, teda v akejkoľvek podobe sa vydával za dotknutú osobu, alebo spočíva taká krádež totožnosti už v tom, že páchatelia medzitým disponujú údajmi, ktoré umožňujú identifikovať dotknutú osobu?“

IV. Konanie na Súdnom dvore

8. Rozhodnutím z 19. apríla 2022 predseda Súdneho dvora spojil veci C‑182/22 a C‑189/22 na účely písomnej a ústnej časti konania, ako aj rozsudku.

9. Dňa 1. júna 2022 predseda Súdneho dvora zamietol žiadosť spoločnosti Scalable Capital o anonymizáciu tohto konania podľa článku 95 ods. 2 Rokovacieho poriadku Súdneho dvora.

10. Písomné pripomienky predložili SO, Scalable Capital, Írsko a Európska komisia.

11. Najprv sa budem zaoberať námietkami, ktoré boli vznesené proti prípustnosti položených otázok, a potom Súdnemu dvoru na základe jeho žiadosti navrhnem, ako by mal odpovedať na piatu otázku.

V. Posúdenie

A. O prípustnosti

12. Podľa spoločnosti Scalable Capital strata kontroly nad osobnými údajmi bez ďalších dôsledkov pre dotknutú osobu nespôsobuje nemajetkovú ujmu v zmysle článku 82 ods. 1 GDPR. Znenie, všeobecná štruktúra a účel článku 82 GDPR nepodporujú existenciu domnienky, že takáto ujma vzniká ako dôsledok takej straty kontroly. Vnútroštátny súd teda vec nesprávne posúdil, keď vychádzal z predpokladu, že JU a SO utrpeli nemajetkovú ujmu. Návrhy na začatie prejudiciálneho konania sú z tohto dôvodu pre rozhodnutie o žalobách podaných na vnútroštátny súd irelevantné, a preto sú neprípustné.

13. Komisia sa domnieva, že význam piatej otázky pre rozhodnutie o žalobách na vnútroštátnom súde nie je jasný. Vnútroštátny súd len odkazuje na rozdielny výklad práva účastníkmi konania a konštatuje, že „krádež totožnosti nastane len vtedy, keď nezákonne získané údaje sa použijú na účely predstierania totožnosti dotknutej osoby“. Ani v piatej otázke vnútroštátny súdne nežiada Súdny dvor o výklad konkrétneho ustanovenia GDPR.

14. V súlade s ustálenou judikatúrou Súdneho dvora sa na otázky týkajúce sa výkladu práva Únie, ktoré položil vnútroštátny súd, vzťahuje domnienka relevantnosti. Súdny dvor môže odmietnuť rozhodnúť o takýchto otázkach len vtedy, ak je zjavné, že požadovaný výklad práva Únie nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, ak ide o hypotetický problém alebo ak Súdny dvor nedisponuje skutkovými alebo právnymi podkladmi potrebnými na poskytnutie užitočnej odpovede na položené otázky.(5)

15. Námietka spoločnosti Scalable Capital proti prípustnosti všetkých položených otázok sa zakladá na jej výklade článku 82 GDPR, práve na náhradu škody a údajnú neexistenciu nemajetkovej ujmy. Položené otázky sa týkajú práva dotknutých osôb na náhradu škody podľa článku 82 GDPR. Konštatovanie existencie škody je nevyhnutným predpokladom na získanie takejto náhrady.(6) Námietka spoločnosti Scalable Capital proti prípustnosti návrhov na začatie prejudiciálneho konania sa teda týka podstaty otázok, ktoré sa v nich uvádzajú. Tvrdenia, ktoré smerujú k podstate otázok uvedených v návrhu na začatie prejudiciálneho konania, nemôžu svojou povahou ovplyvniť prípustnosť tohto návrhu.(7)

16. Pokiaľ ide o námietku Komisie proti prípustnosti piatej otázky, nie je zrejmé, že táto otázka buď nemá žiadnu súvislosť so žalobami podanými vnútroštátnemu súdu, alebo že je hypotetická. Vnútroštátny súd rozhoduje o žalobách o náhradu škody podľa GDPR. Účastníci konania sa nezhodujú v tom, či krádež osobných údajov predstavuje krádež totožnosti, na ktorú odkazuje odôvodnenie 75 GDPR, alebo či na to, aby došlo ku krádeži totožnosti, „musí páchateľ skutočne prijať totožnosť dotknutých osôb“(8). Aj keď sú vyjadrenia vnútroštátneho súdu k jeho piatej otázke stručné, z návrhov na začatie prejudiciálneho konania vyplýva, že táto otázka súvisí s ostatnými štyrmi otázkami, ktoré vnútroštátny súd položil v súvislosti s pojmom nemajetková ujma a právom na náhradu škody podľa článku 82 GDPR.

17. Na základe už uvedeného odporúčam Súdnemu dvoru, aby zamietol jednotlivé námietky proti prípustnosti otázok, ktoré predložil Amtsgericht München (Okresný súd Mníchov).

B. O podstate

1. Pripomienky účastníkov konania

18. Podľa SO odôvodnenie 85 GDPR jasne rozlišuje medzi krádežou totožnosti a podvodom s totožnosťou. Krádež totožnosti predpokladá, že páchateľ môže zneužiť totožnosť osoby tým, že uvedie do omylu iné osoby, pokiaľ ide o túto totožnosť. Podvod s totožnosťou môže byť spáchaný v nadväznosti na krádež totožnosti. Z toho vyplýva, že krádež totožnosti nevyžaduje skutočné zneužitie totožnosti osoby. Na základe povahy a rozsahu odcudzených údajov v prejednávanej veci sa možno domnievať, že došlo ku krádeži totožnosti, čo zakladá právo na náhradu škody z tohto titulu.

19. Scalable Capital tvrdí, že ku krádeži totožnosti dochádza vtedy, keď osoba zneužije osobné údaje jednotlivca s cieľom „predstierať“ jeho totožnosť. Krádež určitých údajov môže viesť ku krádeži totožnosti alebo ju uľahčiť, ale sama osebe nepredstavuje krádež totožnosti. Systematický výklad odôvodnenia 75 GDPR podporuje takýto prístup, keďže z ostatných príkladov uvedených v tomto ustanovení vyplýva, že možnosť využiť určité osobné údaje nepredstavuje krádež totožnosti. Cieľom článku 82 GDPR je poskytnúť náhradu škody, ktorá jednotlivcom skutočne vznikla. Extenzívny výklad pojmu krádež totožnosti je v rozpore s týmto cieľom, keďže by zakladal žalobu o náhradu škody na abstraktnej možnosti, že škoda môže vzniknúť v budúcnosti.

20. Írsko tvrdí, že krádež totožnosti sa vzťahuje na okolnosti, keď strana skutočne prijme totožnosť osoby, ktorej údaje boli zneužité. Na to, aby došlo ku krádeži totožnosti, teda nestačí, aby účastník konania mal k dispozícii údaje, ktoré identifikujú osobu. Náhrada nemajetkovej ujmy podľa článku 82 GDPR sa v každom prípade posudzuje podľa okolností každého jednotlivého prípadu.

21. Komisia poznamenáva, že GDPR nedefinuje krádež totožnosti. V odôvodneniach 75 a 85 GDPR sa uvádza krádež totožnosti ako príklad spracúvania osobných údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme. Podľa Komisie je krádež totožnosti, na ktorú sa vzťahujú tieto odôvodnenia, nezákonné získanie údajov na účely „predstierania totožnosti“ dotknutej osoby.(9) Na preukázanie krádeže totožnosti je potrebné preukázať úmysel páchateľa vydávať sa za dotknutú osobu na základe konkrétnych činností alebo prípravy na ich vykonanie. Keďže podľa ustálenej judikatúry musí byť škoda „skutočná a určitá“(10), samotná držba údajov identifikujúcich dotknutú osobu bez uskutočnenia krokov na vydávanie sa za takúto osobu, nepredstavuje krádež totožnosti.

2. Analýza

22. Cieľom piatej otázky vnútroštátneho súdu je zistiť, či jednoduchá krádež citlivých osobných údajov dotknutej osoby(11) neznámym páchateľom predstavuje krádež totožnosti, a teda zakladá právo na náhradu škody, alebo či na to, aby k nej došlo, musí páchateľ skutočne prijať totožnosť dotknutej osoby alebo uskutočniť kroky na tento účel. Táto otázka sa kladie v súvislosti so zistením, že neznámi páchatelia odcudzili niektoré citlivé osobné údaje JU a SO z aplikácie spoločnosti Scalable Capital určenej na obchodovanie. Aj keď sa zdá, že nedošlo k žiadnemu ďalšiemu zneužitiu alebo použitiu údajov, keďže totožnosť páchateľov nie je známa a nie sú stále zadržaní, nie je možné takéto zneužitie alebo použitie v budúcnosti vylúčiť.

23. V článku 82 GDPR sa všeobecne(12) potvrdzuje právo každej dotknutej osoby, ktorá utrpela „majetkovú alebo nemajetkovú ujmu“ v dôsledku porušenia GDPR, na náhradu škody a zodpovednosť sa rozdeľuje medzi prevádzkovateľa(‑ov) a/alebo sprostredkovateľa(‑ov). V predmetnom ustanovení sa neuvádza ani konkrétna povaha, ani forma takejto škody. GDPR neodkazuje na právne predpisy členských štátov na účely definovania významu a rozsahu pojmu „nemajetková ujma“(13). Tento pojem sa z uvedeného dôvodu považuje za autonómny pojem práva Únie a vykladá sa jednotne vo všetkých členských štátoch.(14)

24. Náhrada škody podľa článku 82 GDPR je splatná po preukázaní porušenia GDPR, existencie „skutočne utrpenej ujmy“ a príčinnej súvislosti medzi touto ujmou a porušením.(15) GDPR nestanovuje režim objektívnej zodpovednosti.(16) Kompenzačná povaha režimu, ktorý inauguroval článok 82 ods. 1 GDPR, vylučuje aj priznanie sankčnej náhrady škody.(17) Takáto náhrada škody musí byť úplná a účinná, čím sa vyžaduje, aby „škoda, ktorá bola konkrétne utrpená v dôsledku porušenia GDPR, bola v celom rozsahu kompenzovaná“(18). Nemajetková ujma, ktorú dotknutá osoba utrpela, nemusí dosiahnuť určitý stupeň závažnosti.(19) Aj keď nie je stanovená žiadna hranica de minimis, pokiaľ ide o úroveň nemajetkovej ujmy, musia existovať jasné a presné dôkazy o tom, že dotknutá osoba takúto ujmu utrpela. Potenciálna alebo hypotetická škoda,(20) alebo len znepokojenie v súvislosti s krádežou osobných údajov nestačí.

25. Článok 82 ods. 3 GDPR zbavuje prevádzkovateľa alebo sprostredkovateľa zodpovednosti, „ak preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu“. Súdny dvor nemal príležitosť podrobne preskúmať článok 82 ods. 3 GDPR. Zdá sa, že doslovný výklad tohto ustanovenia predpokladá, že na vylúčenie uplatnenia výnimky postačuje akákoľvek nedbanlivosť alebo pochybenie prevádzkovateľa alebo sprostredkovateľa, ktorou sa čo i len podieľal na udalosti, ktorá spôsobila škodu. Okrem toho dôkazné bremeno,(21) ktoré toto ustanovenie ukladá prevádzkovateľovi(‑om) alebo sprostredkovateľovi(‑om) usilujúcim sa o uplatnenie výnimky, si môže vyžadovať vykonávanie priebežných opatrení zameraných na predchádzanie porušeniam ochrany údajov.(22)

26. Krádež osobných údajov dotknutej osoby zakladá právo na náhradu nemajetkovej ujmy podľa článku 82 ods. 1 GDPR, ak sú splnené tri podmienky stanovené v rozsudku Österreichische Post(23). Podľa odôvodnenia 7 GDPR „fyzické osoby by mali mať kontrolu nad svojimi vlastnými osobnými údajmi“. Ak by bolo dotknutým osobám „bránené v kontrole nad svojimi osobnými údajmi“(24) alebo ak fyzické osoby stratia „kontrolu nad svojimi osobnými údajmi“(25), môže to viesť ku vzniku nemajetkovej ujmy. V tejto súvislosti sa vnútroštátny súd pýta, či krádež osobných údajov predstavuje krádež totožnosti.

27. V normatívnych ustanoveniach GDPR sa krádež totožnosti neuvádza ani nedefinuje. V odôvodneniach 75 a 85 GDPR sa jednoducho odkazuje na „krádež totožnosti alebo podvod“. V odôvodnení 75 sa „krádež totožnosti alebo podvod“ uvádza ako jeden z neúplného zoznamu príkladov(26)rizika pre práva a slobody fyzických osôb v dôsledku spracúvania ich osobných údajov. V odôvodnení 85 GDPR sa podobne odkazuje na „krádež totožnosti alebo podvod“ ako príklad(27) ujmy spôsobenej tým, že porušenie ochrany osobných údajov sa nerieši primeraným a včasným spôsobom.(28)

28. Vo viacerých odôvodneniach(29) a ustanoveniach(30) iných právnych predpisov Únie sa uvádzajú pojmy ako „krádež identity“(31), „podvod s totožnosťou“ a „krádež totožnosti alebo podvod“(32). Nenašiel som žiadne ustanovenie právnych predpisov Únie, ktoré by tieto pojmy definovalo.(33)Právne predpisy Únie teda odkazujú na tieto pojmy na ilustračné účely.(34)

29. Je to zrejmé aj z posúdenia rôznych jazykových verzií týchto pojmov v odôvodneniach 75 a 85 GDPR. Zatiaľ čo nemecká (Identitätsdiebstahl oder ‑betrug), anglická (identity theft or fraud), estónska (identiteedivargust või ‑pettust), írska (goid aitheantais nó calaois aitheantais), litovská (būti pavogta ar suklastota tapatybė), holandská (identiteitsdiefstal of ‑fraude), poľská (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), rumunská (furt sau fraudă a identității) a slovenská (krádeži totožnosti alebo podvodu) jazyková verzia sú do značnej miery podobné, ostatné jazykové verzie sa od nich v rôznej miere odlišujú: česká (krádeži či zneužití identity), francúzska (vol ou une usurpation d’identité), grécka (κατάχρηση ή υποκλοπή ταυτότητας), portugalská (usurpação ou roubo da identidade), talianska (furto o usurpazione d’identità) a španielska (usurpación de identidad o fraude). Z rôznych jazykových verzií príslušných odôvodnení GDPR vyplýva, že pojmy krádež totožnosti, podvod s totožnosťou, zneužitie totožnosti, využitie totožnosti, prisvojenie si totožnosti a uzurpácia totožnosti sa prekrývajú a možno ich aspoň do určitej miery považovať za zameniteľné. Z toho vyplýva, že odôvodnenia 75 a 85 GDPR jasne nerozlišujú medzi krádežou totožnosti a podvodom s totožnosťou, čo je v rozpore s tvrdeniami SO uvedenými v bode 18 vyššie.

30. V odôvodneniach 75 a 85 GDPR sa rozlišuje medzi príkladom „straty kontroly“ alebo bránenia „v kontrole“ nad osobnými údajmi a príkladom „krádeže totožnosti alebo podvodu“. V dôsledku toho samotná krádež osobných údajov(35) nepredstavuje krádež totožnosti, aj keď táto krádež môže viesť k budúcemu použitiu alebo zneužitiu týchto údajov. Krádež totožnosti si vyžaduje ďalšie konanie alebo krok so škodlivými účinkami pre dotknutú osobu, ktoré presahujú rámec krádeže osobných údajov.(36) Osoba, ktorá ukradne osobné údaje dotknutej osoby, ich musí použiť alebo zneužiť, alebo podniknúť konkrétne kroky na ich použitie alebo zneužitie na nezákonné účely bez súhlasu tejto osoby.(37) Takéto konanie zvyčajne zahŕňa podvod alebo inú formu klamstva a spravidla sa vykonáva s cieľom získať finančný alebo iný prospech alebo poškodiť dotknutú osobu alebo jej okolie.(38)

31. Z uvedeného vyplýva, že aj keď krádež osobných údajov nepredstavuje krádež totožnosti ani podvod, táto krádež môže viesť ku vzniku nemajetkovej ujmy a práva na náhradu škody podľa článku 82 ods. 1 GDPR.(39) Preukázanie nemajetkovej ujmy môže byť jednoduchšie, ak sa zistí, že dotknutá osoba sa stala obeťou krádeže totožnosti alebo podvodu v dôsledku krádeže jej osobných údajov.(40) Právo na náhradu nemajetkovej ujmy podľa článku 82 ods. 1 GDPR za krádež osobných údajov však nezávisí od existencie krádeže totožnosti alebo podvodu.(41) Nemajetková ujma a právo na náhradu škody podľa článku 82 ods. 1 GDPR sa posudzujú individuálne, pričom sa zohľadňujú všetky relevantné okolnosti.

VI. Návrh

32. Vzhľadom na uvedené úvahy navrhujem, aby Súdny dvor na piatu otázku, ktorú položil Amtsgericht München (Okresný súd Mníchov, Nemecko), odpovedal takto.

Článok 82 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),

sa má vykladať v tom zmysle, že:

krádež citlivých osobných údajov dotknutej osoby neznámym páchateľom môže viesť ku vzniku nároku na náhradu nemajetkovej ujmy po preukázaní porušenia všeobecného nariadenia o ochrane údajov, skutočne utrpenej škody a príčinnej súvislosti medzi touto škodou a uvedeným porušením. Na priznanie takejto náhrady sa nevyžaduje, aby páchateľ prijal totožnosť dotknutej osoby, a samotná držba údajov, ktoré identifikujú dotknutú osobu, nepredstavuje krádež totožnosti.

1 Jazyk prednesu: angličtina.

2 Vnútroštátny súd neuvádza presnú právnu kvalifikáciu konania páchateľov podľa vnútroštátneho práva. Pojem „krádež“ je široký a môže zahŕňať zneužitie údajov tretími osobami.

3 Nariadenie Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1) (ďalej len „GDPR“).

4 V návrhoch na začatie prejudiciálneho konania sa tiež uvádza, že „keďže investičný účet spravoval robotický poradca, z uskutočnených obchodov nebol jasný postoj žalovaného k riziku“.

5 V tomto zmysle pozri rozsudok z 2. septembra 2021, OTP Jelzálogbank a i. (C‑932/19, EU:C:2021:673, bod 61 a citovaná judikatúra).

6 Súdny dvor vyložil článok 82 GDPR v tom zmysle, že existencia „škody“, ktorá bola „utrpená“, predstavuje jednu z podmienok vzniku práva na náhradu škody stanoveného v predmetnom ustanovení. Existencia porušenia GDPR sama osebe nezakladá právo na náhradu škody. Rozsudok zo 4. mája 2023, Österreichische Post (Nemajetková ujma spôsobená nezákonným spracúvaním údajov) (C‑300/21, EU:C:2023:370, body 32 a 42) (ďalej len „rozsudok Österreichische Post“).

7 Pozri analogicky rozsudok z 12. decembra 2019, Slovenské elektrárne (C‑376/18, EU:C:2019:1068, bod 29).

8 Pozri znenie piatej otázky vnútroštátneho súdu.

9 Pozri Európsky výbor pre ochranu údajov, Usmernenia 01/2021 o príkladoch týkajúcich sa oznamovania porušenia ochrany osobných údajov – prijaté 14. decembra 2021 – verzia 2.0, dostupné na https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf (europa.eu) (ďalej len „usmernenia z roku 2021“).

10 Rozsudok zo 4. apríla 2017, Ombudsman/Staelen (C‑337/15 P, EU:C:2017:256, body 91 až 95 a 127 až 131).

11 V článku 4 bode 1 GDPR sa stanovuje, že „osobné údaje“ sú „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby“.

12 Pozri odôvodnenie 146 GDPR.

13 Súdny dvor nevymedzil pojem „nemajetková ujma“ v kontexte článku 82 GDPR. Súhlasím s názorom, ktorý predniesol generálny advokát Pitruzzella, že nepríjemnosti alebo pocit nespokojnosti so skutočnosťou, že sa niekto „nabúral“ do údajov inej osoby, nestačí. Na to, aby bola takáto žaloba úspešná, musí dotknutá osoba preukázať, že strach zo zneužitia jej údajov jej spôsobil „citovú ujmu“. Pozri návrhy, ktoré predniesol generálny advokát Pitruzzella vo veci Nacionalna agencija za prichodite (C‑340/21, EU:C:2023:353, body 81 až 83).

14 Rozsudok Österreichische Post, bod 30.

15 Pozri článok 82 ods. 2 GDPR a rozsudok Österreichische Post, body 32 a 50.

16 Rozsudok Österreichische Post, body 33 a 34. Pozri tiež návrhy, ktoré predniesol generálny advokát Pitruzzella vo veci Nacionalna agencija za prichodite (C‑340/21, EU:C:2023:353, bod 61).

17 Rozsudok Österreichische Post, bod 58. Pozri tiež návrhy, ktoré predniesol generálny advokát Campos Sánchez‑Bordona vo veci Österreichische Post (Nemajetková ujma spôsobená nezákonným spracúvaním údajov) (C‑300/21, EU:C:2022:756, body 27 až 55), a generálny advokát Pitruzzella vo veci Nacionalna agencija za prichodite (C‑340/21, EU:C:2023:353, bod 74).

18 Rozsudok Österreichische Post, bod 58.

19 Rozsudok Österreichische Post, body 31 až 33, 51 a 58. Pozri tiež odôvodnenie 146 GDPR. Pozri naopak návrhy, ktoré predniesol generálny advokát Campos Sánchez‑Bordona vo veci Österreichische Post (Nemajetková ujma spôsobená nezákonným spracúvaním údajov) (C‑300/21, EU:C:2022:756, bod 105), a generálny advokát Pitruzzella vo veci Nacionalna agencija za prichodite (C‑340/21, EU:C:2023:353, bod 78).

20 V tomto zmysle pozri rozsudok Österreichische Post, bod 37.

21 Zdá sa, že na to, aby sa na prevádzkovateľa(‑ov) a/alebo sprostredkovateľa(‑ov) uplatňovala výnimka, môže sa od nich vyžadovať, aby preukázali, že nekonali nedbanlivo alebo že nepochybili.

22 Generálny advokát Pitruzzella sa domnieva, že na to, aby sa vyhli zodpovednosti podľa článku 82 GDPR, musia prevádzkovatelia systémov verejných alebo súkromných subjektov, ktoré uchovávajú veľké množstvo osobných údajov, zaviesť primerané opatrenia na riešenie najmä vonkajších útokov: pozri jeho návrhy, ktoré predniesol o veci Nacionalna agencija za prichodite (C‑340/21, EU:C:2023:353, body 65 až 67). Takéto proaktívne opatrenia môžu byť obmedzujúce a nákladné. Samotný článok 82 GDPR ukladá prevádzkovateľom a sprostredkovateľom veľmi vysokú úroveň povinnej starostlivosti.

23 Pozri body 32 a 50 uvedeného rozsudku. Pozri tiež bod 24 a poznámku pod čiarou 6 vyššie.

24 Odôvodnenie 75 GDPR.

25 Odôvodnenie 85 GDPR.

26 Je to zrejmé z použitia výrazov „môže“, „mohlo by“ a „najmä“ v tomto odôvodnení.

27 Je to zrejmé z použitia výrazov „môže“ a „ako je napríklad“ v tomto odôvodnení. Pozri analogicky rozsudok z 22. decembra 2008, Wallentin‑Hermann (C‑549/07, EU:C:2008:771, bod 22).

28 V článku 4 bode 12 GDPR sa „porušenie ochrany osobných údajov“ vymedzuje ako „porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim“.

29 Odôvodnenia uľahčujú výklad a porozumenie právnych predpisov Únie tým, že okrem iného uvádzajú ciele, ktoré sledujú, a kontext, v ktorom boli prijaté. Pomáhajú pri zisťovaní významu nejednoznačných legislatívnych ustanovení. Odôvodnenia nemožno použiť na výklad ustanovenia contra legem. Rozsudok z 19. novembra 1998, Nilsson a i. (C‑162/97, EU:C:1998:554, bod 54).

30 Pozri napríklad článok 86 písm. e) rozhodnutia Rady a Komisie 2013/490/EÚ z 22. júla 2013 o uzavretí Dohody o stabilizácii a pridružení medzi Európskymi spoločenstvami a ich členskými štátmi na jednej strane a Srbskou republikou na strane druhej (Ú. v. EÚ L 278, 2013, s. 14), a článok 2 ods. 2 písm. b) a články 21 a 25 nariadenia Európskeho parlamentu a Rady (EÚ) 2019/817 z 20. mája 2019 o stanovení rámca pre interoperabilitu medzi informačnými systémami EÚ v oblasti hraníc a víz a o zmene nariadení Európskeho parlamentu a Rady (ES) č. 767/2008, (EÚ) 2016/399, (EÚ) 2017/2226, (EÚ) 2018/1240, (EÚ) 2018/1726 a (EÚ) 2018/1861 a rozhodnutí Rady 2004/512/ES a 2008/633/SVV (Ú. v. EÚ L 135, 2019, s. 27).

31 V odôvodnení 14 smernice Európskeho parlamentu a Rady 2013/40/EÚ z 12. augusta 2013 o útokoch na informačné systémy, ktorou sa nahrádza rámcové rozhodnutie Rady 2005/222/SVV (Ú. v. EÚ L 218, 2013, s. 8), sa uvádza, že „ďalší dôležitý prvok integrovaného prístupu proti počítačovej kriminalite predstavuje stanovenie účinných opatrení proti krádeži identity a iným trestným činom súvisiacim s identitou“. V odôvodnení 31 smernice Európskeho parlamentu a Rady (EÚ) 2019/713 zo 17. apríla 2019 o boji proti podvodom s bezhotovostnými platobnými prostriedkami a proti ich falšovaniu a pozmeňovaniu, ktorou sa nahrádza rámcové rozhodnutie Rady 2001/413/SVV (Ú. v. EÚ L 123, 2019, s. 18), sa uvádza, že „pre obete môžu mať podvody s bezhotovostnými platobnými prostriedkami a ich falšovanie a pozmeňovanie vážne hospodárske aj nehospodárske dôsledky. Ak v rámci takého podvodu došlo napríklad ku krádeži totožnosti, jeho dôsledky sú často ešte horšie z dôvodu poškodenia dobrého mena a profesijnej ujmy, poškodenia úverového ratingu jednotlivca a závažnej emocionálnej ujmy“. V odôvodnení 33 uvedenej smernice sa uvádza, že „členské štáty by mali prijať opatrenia na pomoc a podporu takýmto obetiam, ktoré budú vychádzať z opatrení požadovaných podľa uvedenej smernice, ale budú vo väčšej miere priamo reagovať na osobitné potreby obetí podvodov súvisiacich s krádežou identity“.

32 Pojmy „krádež totožnosti alebo podvod“ sa bez ich definovania používajú v odôvodneniach iných právnych predpisov Únie. Pozri napríklad odôvodnenie 46 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 2018, s. 39), a odôvodnení 51 a 61 smernice Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 2016, s. 89).

33 Príloha II k nariadeniu Komisie (EÚ) 2018/1798 z 21. novembra 2018, ktorým sa vykonáva nariadenie Európskeho parlamentu a Rady (ES) č. 808/2004 o štatistikách Spoločenstva o informačnej spoločnosti za referenčný rok 2019 (Ú. v. EÚ L 296, 2018, s. 2), obsahuje niekoľko príkladov alebo odkazov na krádeže totožnosti. Patria medzi ne „krádež respondentových osobných údajov a vydávanie sa za neho/ju, ako napríklad nakupovanie v mene respondenta“ ako príklad „odcudzenia identity na internete“.

34 Naopak pozri článok 226‑4‑1 Code pénal français (francúzsky Trestný zákonník) [zmenený LOI n°2020‑936 du 30 juillet 2020 (zákon č. 2020‑936 z 30. júla 2020) – článok 19], ktorý stanovuje: „Odcudzenie totožnosti inej osoby alebo využitie jedného alebo viacerých údajov akéhokoľvek druhu, na základe ktorých možno túto osobu identifikovať, s cieľom narušiť jej pokoj alebo pokoj iných osôb alebo poškodiť jej česť alebo povesť, sa trestá odňatím slobody na jeden rok a peňažným trestom vo výške 15 000 eur. Rovnaké tresty sa uplatnia, ak je trestný čin spáchaný na verejnej online komunikačnej sieti. Ak sa takéhoto činu dopustí manžel/manželka alebo druh/družka obete, alebo partner/partnerka, ktorý(‑á) s obeťou uzatvoril(‑a) pacte civil de solidarité (občianske partnerstvo), potrestá sa odňatím slobody na dva roky a peňažným trestom 30 000 eur. V § 1028A(a)(1) 18 U.S. Code (Zákonník Spojených štátov) je definovaný americký federálny trestný čin krádeže totožnosti s priťažujúcimi okolnosťami. V predmetom ustanovení sa uvádza, že „kto počas a v súvislosti s akýmkoľvek trestným činom uvedeným v pododseku (c) vedome prevedie, má v držbe alebo použije bez zákonného oprávnenia prostriedok identifikácie inej osoby, bude okrem trestu stanoveného za takýto trestný čin odsúdený na trest odňatia slobody v trvaní 2 rokov“. Pozri tiež § 1028(a)(7) ods. 7 18 U.S. Code (Zákonník Spojených štátov), ktorý definuje americký federálny trestný čin krádeže totožnosti.

35 A z toho vyplývajúca strata kontroly nad odcudzenými osobnými údajmi.

36 Krádež totožnosti si vyžaduje, aby páchateľ sfalšoval totožnosť dotknutej osoby napríklad tým, že sa za ňu vydáva alebo ju napodobňuje.

37 Na rozdiel od tvrdení SO uvedených v bode 18 vyššie, ak nedošlo k použitiu alebo zneužitiu odcudzených údajov, alebo k uskutočneniu konkrétnych krokov na tento účel, povaha a rozsah týchto údajov nezakladajú domnienku krádeže totožnosti.

38 Ako príklady krádeže totožnosti pozri Agentúra Európskej únie pre kybernetickú bezpečnosť – Krádež totožnosti – Krajina hrozieb agentúry ENISA – od januára 2019 do apríla 2020, dostupné na https://www.enisa.europa.eu/publications/enisa‑threat‑landscape‑2020‑identity‑theft; oddiel 7.1 usmernení z roku 2021, dostupných na https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf(europa.eu), a Európsky výbor pre ochranu údajov, Usmernenia 01/2022 o právach dotknutých osôb – Právo na prístup – verzia 1.0 – prijaté 18. januára 2022, bod 105, dostupné na https://edpb.europa.eu/system/files/2022‑01/edpb_guidelines_012022_right‑of‑access_0.pdf.

39 Ak sú splnené tri podmienky uvedené v bode 24 vyššie.

40 Generálny advokát Campos Sánchez‑Bordona vo svojich návrhoch vo veci Österreichische Post (Nemajetková ujma spôsobená nezákonným spracúvaním údajov) (C‑300/21, EU:C:2022:756, body 98 a 99) uviedol, že príklady rizika alebo ujmy uvedené v odôvodneniach 75 a 85 GDPR môžu byť „závažné“ alebo „závažnejšie“. V praxi bude existencia krádeže totožnosti alebo podvodu pomáhať pri určovaní existencie ujmy.

41 Vyplýva to zo skutočnosti, že „krádež totožnosti alebo podvod“ sa v odôvodneniach 75 a 85 GDPR objavuje popri iných príkladoch rizika alebo ujmy, ako je „diskriminácia“, „finančná strata“ a „poškodenie dobrého mena“.