Trybunał Sprawiedliwości UE wyjaśnił we wtorkowym wyroku warunki, na jakich krajowe organy nadzorcze mogą nałożyć administracyjną karę pieniężną na jednego lub więcej administratorów danych za naruszenie ogólnego rozporządzenia o ochronie danych (RODO). Zgodnie z orzeczeniem, nałożenie takiej kary zakłada zawinione zachowanie, co znaczy, że naruszenie zostało popełnione umyślnie lub nieumyślnie.
Sądy litewski i niemiecki zwróciły się o wykładnię RODO
Ponadto jeżeli adresat kary pieniężnej należy do grupy spółek, obliczenie kary pieniężnej powinno opierać się na obrocie całej grupy.
TSUE rozstrzygał sprawę, w której sądy litewski i niemiecki zwróciły się o wykładnię ogólnego rozporządzenia o ochronie danych (RODO) co do możliwości nakładania przez krajowe organy nadzorcze sankcji za naruszenie tego rozporządzenia w drodze administracyjnej kary pieniężnej na administratora danych.
W sprawie litewskiej krajowe centrum zdrowia publicznego przy ministerstwie zdrowia zakwestionowało karę pieniężną w wysokości 12 tys. euro, którą nałożono na nie w związku z utworzeniem, dzięki wsparciu prywatnego przedsiębiorstwa, aplikacji mobilnej w celu rejestracji i monitorowania danych osób narażonych na Covid-19.
W sprawie niemieckiej spółka nieruchomościowa Deutsche Wohnen, która posiada pośrednio około 163 tys. lokali mieszkalnych i 3 tys. lokali użytkowych, zakwestionowała między innymi karę pieniężną w wysokości ponad 14 mln euro, która została na nią nałożona za przechowywanie danych osobowych najemców dłużej niż było to konieczne.
Orzeczenie trybunału
Trybunał orzekł, że na administratora danych można nałożyć administracyjną karę pieniężną za naruszenie RODO tylko wtedy, gdy naruszenie to zostało popełnione w sposób zawiniony, to znaczy umyślnie lub nieumyślnie.
"Jest tak w przypadku, gdy administrator danych nie mógł nie wiedzieć, że jego zachowanie stanowi naruszenie, niezależnie od tego, czy miał świadomość popełnienia naruszenia, czy też nie" - wyjaśnił TSUE.
"Jeżeli administratorem jest osoba prawna, nie jest konieczne, aby naruszenie zostało popełnione przez jej organ zarządzający lub aby organ ten posiadał o nim wiedzę. Przeciwnie, osoba prawna jest odpowiedzialna zarówno za naruszenia popełnione przez jej przedstawicieli, dyrektorów lub zarządców, jak i za naruszenia popełnione przez każdą inną osobę działającą w ramach jej działalności gospodarczej i na jej rachunek" - orzekł Trybunał.
Ponadto nałożenia administracyjnej kary pieniężnej na osobę prawną jako administratora danych nie można uzależnić od uprzedniego stwierdzenia, że naruszenie to zostało popełnione przez zidentyfikowaną osobę fizyczną - doprecyzował TSUE. Co więcej, na administratora można nałożyć karę pieniężną również za operacje dokonywane przez podmiot przetwarzający, o ile operacje te można przypisać administratorowi.
W odniesieniu do współadministrowania przez dwóch lub większą liczbę podmiotów, Trybunał wyjaśnił, że wynika ono z samego faktu, iż podmioty te uczestniczyły w ustalaniu celów i sposobów przetwarzania danych.
"Zakwalifikowanie jako +współadministratorów+ nie zakłada istnienia formalnych uzgodnień między danymi podmiotami. Wspólna decyzja lub nawet zbieżne decyzje są wystarczające. Jednakże, gdy rzeczywiście mamy do czynienia ze współadministratorami, powinni oni określić w drodze uzgodnień swoje odpowiednie obowiązki. W odniesieniu do obliczania kary pieniężnej, gdy adresat jest przedsiębiorstwem lub jego częścią, organ nadzorczy winien oprzeć się na pojęciu +przedsiębiorstwa+ w prawie konkurencji. W związku z tym maksymalną kwotę kary pieniężnej należy obliczyć na podstawie odsetka całkowitego rocznego światowego obrotu danego przedsiębiorstwa z poprzedniego roku obrotowego, postrzeganego jako całość" - podsumował Trybunał Sprawiedliwości UE.
Z Brukseli Artur Ciechanowicz (PAP)
asc/ ap/