lagen.
EU-domstolen

Förslag till avgörande av generaladvokat Anthony Collins föredraget den 26 oktober 2023

CELEX
62022CC0182
Typ
EU-domstolen

Källa

1 Originalspråk: engelska.

2 Den hänskjutande domstolen har inte preciserat den rättsliga kvalificeringen av gärningsmännens agerande enligt nationell rätt. Stöld är ett brett begrepp och kan innefatta tillskansning av uppgifter från tredje parts sida.

3 Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad den allmänna dataskyddsförordningen).

4 I besluten om hänskjutande anges även att [v]ärdepappersdepån förvaltades av en så kallad fondrobot, vilket innebär att det inte var möjligt att dra några slutsatser om kärandens riskprofil.

5 Se, för ett liknande resonemang, dom av den 2 september 2021, OTP Jelzálogbank m.fl. ( C‑932/19, EU:C:2021:673, punkt 26 och där angiven rättspraxis).

6 Domstolen har tolkat artikel 82 i den allmänna dataskyddsförordningen så, att förekomsten av en skada som har uppkommit är ett av de tre villkor som måste vara uppfyllda för att ersättning ska kunna erhållas enligt den bestämmelsen. En överträdelse av den allmänna dataskyddsförordningen ger inte i sig upphov till en rätt till ersättning. Dom av den 4 maj 2023, Österreichische Post (Immateriell skada på grund av olaglig behandling av personuppgifter) ( C‑300/21, EU:C:2023:370), punkterna 32 och 42 (nedan kallad domen i målet Österreichische Post).

7 Se, analogt, dom av den 12 december 2019, Slovenské elektrárne ( C‑376/18, EU:C:2019:1068, punkt 29).

8 Se lydelsen i den hänskjutande domstolens femte fråga.

9 Se Europeiska dataskyddsstyrelsen, Riktlinjer 01/2021 om exempel på anmälan av personuppgiftsincidenter, Antagna den 14 december 2021, Version 2.0. Tillgängliga på https://edpb_guidelines_012021_pdbnotification_adopted_sv.pdf (europa.eu) (nedan kallade 2021 års riktlinjer).

10 Dom av den 4 april 2017, ombudsmannen/Staelen ( C‑337/15 P, EU:C:2017:256, punkterna 91–95 och 127–131).

11 I artikel 4.1 i den allmänna dataskyddsförordningen föreskrivs att med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

12 Se skäl 146 i den allmänna dataskyddsförordningen.

13 Domstolen har inte definierat begreppet immateriell skada inom ramen för artikel 82 i den allmänna dataskyddsförordningen. Jag instämmer med generaladvokat Pitruzzella att det inte är tillräckligt att vara irriterad eller missnöjd över att ens uppgifter har hackats. För att vinna framgång med en sådan talan måste den registrerade visa att rädslan för att hans eller hennes uppgifter kommer att missbrukas har vållat honom eller henne en emotionell skada. Se förslag till avgörande av generaladvokaten Pitruzella i målet Natsionalna agentsia za prihodite ( C‑340/21, EU:C:2023:353, punkterna 81–83).

14 Domen i målet Österreichische Post, punkt 30.

15 Se artikel 82.2 i den allmänna dataskyddsförordningen och domen i målet Österreichische Post, punkerna 32 och 50.

16 Domen i målet Österreichische Post, punkterna 33 och 34. Se även förslag till avgörande av generaladvokaten Pitruzzella i målet Natsionalna agentsia za prihodite ( C‑340/21, EU:C:2023:353, punkt 61).

17 Domen i målet Österreichische Post, punkt 58. Se även förslag till avgörande av generaladvokaten Campos Sánchez-Bordona i målet Österreichische Post (Ideell skada på grund av olaglig behandling av uppgifter) ( C‑300/21, EU:C:2022:756, punkterna 27–55) och förslag till avgörande av generaladvokaten Pitruzzella i målet Natsionalna agentsia za prihodite ( C‑340/21, EU:C:2023:353, punkt 74).

18 Domen i målet Österreichische Post, punkt 58.

19 Domen i målet Österreichische Post, punkterna 31–33, 51 och 58). Se även skäl 146 i den allmänna dataskyddsförordningen. Se, däremot, förslag till avgörande av generaladvokaten General Campos Sánchez-Bordona i målet Österreichische Post (Ideell skada på grund av olaglig behandling av uppgifter) ( C‑300/21, EU:C:2022:756, punkt 105) och förslag till avgörande av generaladvokaten Pitruzzella i målet Natsionalna agentsia za prihodite ( C‑340/21, EU:C:2023:353, punkt 78).

20 Se, för ett liknande resonemang, dom i målet Österreichische Post, punkt 37.

21 För att omfattas av undantaget förefaller det krävas att den eller de personuppgiftsansvariga och/eller personuppgiftsbiträdet eller personuppgiftsbiträdena lägger fram negativ bevisning.

22 Generaladvokat Pitruzzella anser att för att undgå ansvar enligt artikel 82 i den allmänna dataskyddsförordningen måste personuppgiftsansvariga för system tillhörande offentliga eller privata organisationer som behandlar stora mängder personuppgifter vidta lämpliga åtgärder för att motverka i synnerhet externa angrepp. Se hans förslag till avgörande i målet Natsionalna agentsia za prihodite ( C‑340/21, EU:C:2023:353, punkterna 65–67). Sådana proaktiva åtgärder kan vara betungande och kostsamma. Personuppgiftsansvariga och personuppgiftsbiträden åläggs en mycket omfattande omsorgsplikt genom artikel 82 i dataskyddsförordningen i sig.

23 Se punkterna 32 och 50 i den domen. Se även punkt 24 och fotnot 6 i förevarande förslag till avgörande.

24 Skäl 75 i den allmänna dataskyddsförordningen.

25 Skäl 85 i den allmänna dataskyddsförordningen.

26 Detta framgår av användningen av orden kan, skulle kunna och i synnerhet i det skälet.

27 Detta framgår av användningen av orden kan och såsom i det skälet. Se, analogt, dom av den 22 december 2008, Wallentin-Hermann ( C‑549/07, EU:C:2008:771, punkt 22).

28 I artikel 4.12 i den allmänna dataskyddsförordningen definieras personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats

29 Skäl underlättar tolkningen och förståelsen av unionslagstiftningen genom att bland annat ange de mål som eftersträvas med den och det sammanhang i vilket den har antagits. De gör det lättare att fastställa innebörden av tvetydiga lagstiftningsbestämmelser. Skäl kan inte åberopas för att tolka en bestämmelse contra legem. Dom av den 19 november 1998, Nilsson m.fl. ( C‑162/97, EU:C:1998:554, punkt 54).

30 Se, exempelvis, artikel 86 e i rådets och kommissionens beslut 2013/490/EU av den 22 juli 2013 om ingående av stabiliserings- och associeringsavtalet mellan Europeiska gemenskaperna och deras medlemsstater, å ena sidan, och Republiken Serbien, å andra sidan (EUT L 278, 2013, s. 14) och artiklarna 2.2 b, 21 och 25 i Europaparlamentets och rådets förordning (EU) 2019/817 av den 20 maj 2019 om inrättande av en ram för interoperabilitet mellan EU‑informationssystem på området gränser och viseringar, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 och (EU) 2018/1861 samt rådets beslut 2004/512/EG och 2008/633/RIF (EUT L 135, 2019, s. 27).

31 I skäl 14 i Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF (EUT L 218, 2013, s. 8) anges att [i]nförandet av effektiva åtgärder mot identitetsstöld och andra identitetsrelaterade brott utgör en annan viktig del i en samlad ansats mot it-relaterad brottslighet. I skäl 31 i Europaparlamentets och rådets direktiv (EU) 2019/713 av den 17 april 2019 om bekämpande av bedrägeri och förfalskning som rör andra betalningsmedel än kontanter och om ersättande av rådets rambeslut 2001/413/RIF (EUT L 123, 2019, s. 18) anges att [b]edrägeri och förfalskning som rör andra betalningsmedel än kontanter kan få allvarliga ekonomiska och icke-ekonomiska följder för brottsoffren. Om sådant bedrägeri innefattar till exempel identitetsstöld förvärras dess följder ofta eftersom det ger upphov till renomméskada, yrkesmässig skada, skada i fråga om en persons kreditvärdighet och allvarlig emotionell skada. I skäl 33 i det direktivet anges att [m]edlemsstaterna bör anta åtgärder för hjälp och stöd till sådana offer som bygger på de åtgärder som krävs enligt det direktivet, men som mer direkt svarar mot de särskilda behov som offer för bedrägeri som rör identitetsstöld har.

32 Begreppen identitetsstöld eller bedrägeri används, utan definition, i skälen i annan unionslagstiftning. Se, exempelvis, skäl 46 i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 2018, s. 39) och skälen 51 och 61 of Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89).

33 Bilaga II till kommissionens förordning (EU) 2018/1798 av den 21 november 2018 om genomförande av Europaparlamentets och rådets förordning (EG) nr 808/2004 om gemenskapsstatistik om informationssamhället för referensåret 2019 (EUT L 296, 2018, s. 2) innehåller ett antal exempel på och hänvisningar till identitetsstöld. Bland dessa ges någon har stulit uppgiftslämnarens personuppgifter och t.ex. köpt varor i hans/hennes namn som ett exempel på identitetsstöld online.

34 Se, däremot, artikel 226–4–1 i Code pénal français (den franska strafflagen) (ändrad genom LOI no2020–936 du 30 juillet 2020 (lag nr 2020–936 av den 30 juli 2020) – artikel 19), där följande föreskrivs: Den som stjäl en annan persons identitet eller använder en eller flera uppgifter av något slag genom vilka den personen kan identifieras i syfte att störa hans eller hennes sinnesfrid eller skada hans eller hennes anseende eller rykte ska dömas till ett års fängelse och 15000 euro i böter. Samma påföljder ska tillämpas när brottet begås i ett allmänt kommunikationsnät online. När sådana gärningar begås av brottsoffrets make/maka eller sambo, eller av en partner som har anknytning till brottsoffret genom ett avtal om registrerat partnerkap (pacte civil de solidarité) ska vederbörande dömas till två års fängelse och 30000 euro i böter. I 18 U.S. Code § 1028A(a)(1) fastställs det amerikanska federala brottet grov identitetsstöld. Där föreskrivs att ”den som under och i samband med något av de brott som anges i underavsnitt c och som medvetet överför, innehar eller använder en annan persons identitetshandling, utan lagenligt tillstånd, ska utöver den påföljd som föreskrivs för det brottet dömas till två års fängelse. Se även 18 U.S. Code § 1028(a)(7), om fastställande av det amerikanska federala brottet identitetsstöld.

35 Och den därav följande förlusten av kontroll över de stulna personuppgifterna.

36 Identitetsstöld kräver att gärningsmannen ger en felaktig bild av den registrerade, till exempel genom att utge sig för att vara den registrerade.

37 Tvärtemot vad SO har hävdat enligt punkt 18 i förevarande förslag till avgörande ger de stulna uppgifternas art och omfattning inte upphov till en presumtion för identitetsstöld, om de uppgifterna inte har använts på felaktigt sätt eller konkreta åtgärder har vidtagits i det syftet.

38 För exempel på identitetsstöld, se Europeiska unionens cybersäkerhetsbyrå – Identity theft – Enisa Threat Landscape – From January 2019 to April 2020, tillgänglig på https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-identity-theft, avsnitt 7.1 i 2021 års riktlinjer, tillgängliga på https://edpb_guidelines_012021_pdbnotification_adopted_sv.pdf (europa.eu) och punkt 105 i Europeiska dataskyddsstyrelsens riktlinjer, Guidelines 01/2022 on data subject rights – Right of access –Version 1.0 – Adopted on 18 January 2022, punkt 105, tillgängliga på https://edpb.europa.eu/system/files/2022–01/edpb_guidelines_012022_right-of-access_0.pdf och punkt 7.1.

39 När de tre villkor som beskrivs i punkt 24 i förevarande förslag till avgörande är uppfyllda.

40 I sitt förslag till avgörande i målet Österreichische Post (Immateriell skada på grund av olaglig behandling av personuppgifter) ( C‑300/21, EU:C:2022:756, punkterna 98 och 99), angav generaladvokaten Campos Sánchez-Bordona att de exempel på risker eller skador som ges i skälen 75 och 85 i den allmänna dataskyddsförordningen kan vara betydande eller av allvarligare karaktär. Förekomsten av identitetsstöld eller bedrägeri bidrar i praktiken till att det fastställs att en skada föreligger.

41 Detta följer av det faktum att identitetsstöld eller bedrägeri i skäl 75 och 85 i den allmänna dataskyddsförordningen anges tillsammans med andra exempel på risk eller skada, såsom diskriminering, ekonomisk förlust och skadat anseende.