„Kradzieży tożsamości” w kontekście odpowiedzialności odszkodowawczej na podstawie art. 82 ust. 1 w zw. z motywami 75 i 85 RODO

Art. 82 ust. 1 RODO w związku z motywami 75 i 85 tego rozporządzenia należy interpretować w ten sposób, że pojęcie „kradzieży tożsamości” wymaga, by tożsamość osoby, której dotyczy kradzież danych osobowych, została rzeczywiście przywłaszczona przez osobę trzecią, aby można było uznać, że kradzież ta miała miejsce i że powstaje prawo do odszkodowania za szkodę niemajątkową na podstawie tego przepisu. Jednakże odszkodowanie za szkodę niemajątkową spowodowaną kradzieżą danych osobowych na podstawie tego przepisu nie może być ograniczone do przypadków, w których wykazano, że taka kradzież danych doprowadziła następnie do kradzieży tożsamości lub oszustwa dotyczącego tożsamości.

Pojęcie „kradzieży tożsamości” nie zostało zdefiniowane w RODO. Jednakże „kradzież” lub „oszustwo dotyczące” tożsamości są wymienione w motywie 75 tego rozporządzenia jako część niewyczerpującego wykazu skutków przetwarzania danych osobowych, które może spowodować uszczerbek fizyczny lub szkodę majątkową lub niemajątkową. W motywie 85 wspomnianego rozporządzenia „kradzież” lub „sfałszowanie” tożsamości są ponownie wymienione łącznie w wykazie obejmującym uszczerbek fizyczny lub szkodę majątkową lub niemajątkową, które mogą być spowodowane naruszeniem ochrony danych osobowych.

Różne wersje językowe motywów 75 i 85 RODO wymieniają „kradzież tożsamości”, „oszustwo dotyczące tożsamości”, „nadużycie tożsamości”, „niewłaściwe wykorzystanie tożsamości” i „przywłaszczenie tożsamości”, które to terminy są tam używane bez rozróżnienia. W konsekwencji pojęcia „kradzież” i „oszustwo dotyczące” tożsamości są zamienne i nie można dokonywać między nimi żadnego rozróżnienia. Te dwa ostatnie pojęcia wskazują na wolę przywłaszczenia sobie tożsamości osoby, której dane osobowe zostały wcześniej skradzione.

Wśród różnych pojęć wymienionych w wykazach zawartych w motywach 75 i 85 RODO „utrata kontroli” lub bycie pozbawionym możliwości „sprawowania kontroli” nad danymi osobowymi odróżnia się od „kradzieży” lub „oszustwa dotyczącego tożsamości”. Wynika z tego, że dostęp i przejęcie kontroli nad takimi danymi, które można by zrównać z ich kradzieżą, nie są same w sobie równoważne z „kradzieżą” lub „oszustwem dotyczącym” tożsamości. Innymi słowy, kradzież danych osobowych nie stanowi sama w sobie kradzieży tożsamości lub oszustwa dotyczącego tożsamości.

Odszkodowanie za szkodę niemajątkową spowodowaną kradzieżą danych osobowych na podstawie art. 82 ust. 1 RODO nie może być ograniczone do przypadków, w których wykazano, że taka kradzież danych doprowadziła następnie do kradzieży tożsamości lub oszustwa dotyczącego tożsamości. Kradzież danych osobowych osoby, której dane dotyczą, rodzi bowiem prawo do odszkodowania za doznaną szkodę niemajątkową na podstawie art. 82 ust. 1 RODO, jeżeli zastosowanie mają trzy przesłanki określone w tym przepisie, obejmujące przetwarzanie danych osobowych z naruszeniem przepisów RODO, szkodę poniesioną przez osobę, której dane dotyczą, oraz związek przyczynowy między tym niezgodnym z prawem przetwarzaniem a tą szkodą [zob. wyrok z dnia 4 maja 2023 r., Österreichische Post, C-300/21).

Wyrok TSUE z dnia 20 czerwca 2024 r., C-182/22

Standard: 83890 (pełna treść orzeczenia)