(Sprawy połączone C-182/22 i C-189/22 1 , Scalable Capital)(Odesłanie prejudycjalne - Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych - Rozporządzenie (UE) 2016/679 - Artykuł 82 - Prawo do odszkodowania za szkodę spowodowaną przetwarzaniem danych z naruszeniem tego rozporządzenia - Pojęcie "szkody niemajątkowej" - Odszkodowanie o charakterze sankcji lub wyłącznie tytułem wyrównania i rekompensaty - Minimalne lub symboliczne odszkodowanie - Kradzież danych osobowych zarejestrowanych w aplikacji handlowej - Kradzież tożsamości lub oszustwo dotyczące tożsamości)
(C/2024/4691)
Język postępowania: niemiecki
(Dz.U.UE C z dnia 5 sierpnia 2024 r.)
Sąd odsyłający
Amtsgericht München
Strony w postępowaniu głównym
Strona powodowa: JU (C-182/22), SO (C-189/22)
Strona pozwana: Scalable Capital GmbH
Sentencja
1) Artykuł 82 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)
należy interpretować w ten sposób, że:
przewidziane w tym przepisie prawo do odszkodowania pełni wyłącznie funkcję kompensacyjną, ponieważ odszkodowanie pieniężne oparte na tym przepisie powinno umożliwić pełną kompensację poniesionej szkody.
2) Artykuł 82 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
nie wymaga on, aby do celów odszkodowania na podstawie tego przepisu uwzględniano wagę i ewentualny umyślny charakter naruszenia tego rozporządzenia przez administratora danych.
3) Artykuł 82 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
przy ustalaniu kwoty odszkodowania należnego z tytułu prawa do odszkodowania za szkodę niemajątkową należy uznać, iż taka szkoda spowodowana naruszeniem ochrony danych osobowych nie jest ze swej natury mniej istotna niż uszczerbek na zdrowiu.
4) Artykuł 82 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
w razie wystąpienia szkody sąd krajowy może, w sytuacji gdy nie jest ona poważna, skompensować szkodę przyznając osobie, której dane dotyczą minimalne odszkodowanie, pod warunkiem, że takie odszkodowanie w pełni kompensuje poniesioną szkodę.
5) Artykuł 82 ust. 1 rozporządzenia 2016/679 w związku z motywami 75 i 85 tego rozporządzenia
należy interpretować w ten sposób, że:
pojęcie "kradzieży tożsamości" wymaga, by tożsamość osoby, której dotyczy kradzież danych osobowych, została rzeczywiście przywłaszczona przez osobę trzecią, aby można było uznać, że kradzież ta miała miejsce i że powstaje prawo do odszkodowania za szkodę niemajątkową na podstawie tego przepisu. Jednakże odszkodowanie za szkodę niemajątkową spowodowaną kradzieżą danych osobowych na podstawie tego przepisu nie może być ograniczone do przypadków, w których wykazano, że taka kradzież danych doprowadziła następnie do kradzieży tożsamości lub oszustwa dotyczącego tożsamości.
