Sodišče EU: Upravno globo lahko dobi kdorkoli, ki ustreza upravljavcu

Sodišče EU je razsodilo, da se upravne globe v skladu s členom 83(4) do (6) lahko dodelijo vsakomur, ki ustreza definiciji upravljavca, globe pa bodo temeljile na skupnem prometu upravljavca, kot ga določa konkurenčno pravo. Možnost naložitve upravnih glob je omejena na primere, ko je stranka kršila GDPR naklepno ali iz malomarnosti.

Povezava do sodbe (CJEU – C807/21 – Deutsche Wohnen)

Za kaj je šlo?

DW je nepremičninsko podjetje, ki kotira na borzi in ima posredno okoli 163.000 stanovanjskih enot in 3.000 poslovnih enot. Lastniki teh enot so hčerinske družbe (holdingi) DW in enote oddajajo drugim družbam v skupini (storitvene družbe). DW predstavlja zgolj centralno vodstvo. DW in skupina podjetij, ki jih upravlja, obdelujeta osebne podatke najemnikov omenjenih enot.

Leta 2017 je berlinska agencija za varstvo podatkov med inšpekcijo na kraju samem obvestila DW, da podjetja v njeni skupini shranjujejo osebne podatke v potencialno sporni zbirki. Agencija za varstvo podatkov ni mogla povedati, ali je shranjevanje potrebno, niti ali obstajajo zaščitni ukrepi, ki zagotavljajo izbris podatkov, ki niso več potrebni. DW je DPA navedel, da bo podatke premaknil v bolj skladno zbirko podatkov, vendar se to v praksi nikoli ni uresničilo.

Leta 2019 je DPA kaznoval DW s 14.385.000 € globe zaradi namerne kršitve člena 5(1)(a), (c) in (e) ter člena 25(1) GDPR. Agencija za varstvo podatkov je ugotovila, da DW namerno ni sprejel potrebnih ukrepov, da bi omogočil redno brisanje osebnih podatkov v zvezi z najemniki ali preveril, ali so bili shranjeni po pomoti. Navedla je tudi, da je DW še naprej hranil osebne podatke najmanj 15 imenovanih najemnikov, kjer tako shranjevanje ni bilo potrebno.

DW se je na to odločitev pritožil na deželno sodišče v Berlinu. Sodišče je navedlo, da naložitev globe pravni osebi ureja nacionalna zakonodaja (30. člen OWiG). Nemška zakonodaja kot zahtevo za naložitev upravne globe pravni osebi zahteva, da se prvotna kršitev pripiše fizični osebi, ki je odgovorna za skladnost pravne osebe z zakonom (podobno torej, kot je to v Sloveniji).

Državno tožilstvo v Berlinu je vložilo pritožbo na višje deželno sodišče v Berlinu. Sodišče je ugotovilo, da režim omejene odgovornosti pravnih oseb po nacionalni zakonodaji ni združljiv z režimom neposredne odgovornosti podjetij, ki ga določa 83. člen GDPR. Zato je odločitev posredovalo Sodišču EU in postavilo dve vprašanji:

1. Ali člen 83(4) do (6) GDPR vključuje v nacionalno zakonodajo funkcionalni koncept podjetja in načelo gospodarskega subjekta (kot je opredeljeno v konkurenčnem pravu v členih 101 in 102 PDEU). Če je to tako, ali to razširja opredelitev pravne osebe, ki je podlaga za odstavek 30 [OWiG]? Če je odgovor pritrdilen, ali to pomeni, da je mogoče upravno globo sprožiti neposredno zoper podjetje in globo naložiti, ne da bi bilo treba ugotoviti, da je fizična in identificirana oseba storila upravni prekršek?
2. Če je odgovor na 1. vprašanje pritrdilen, ali je treba 4. do 6. odstavek 83. člena GDPR razlagati tako, da je moralo podjetje kršiti obveznosti namerno/iz malomarnosti prek zaposlenega, ali je objektivno dejstvo kršitev, ki jo je povzročila, zadostna za naložitev globe temu podjetju (načelo objektivne odgovornosti)?

Sodišče EU

Sodišče EU je odločilo, da kršitev člena 83(4) do (6) ni omejena na fizične osebe in zahteva namen na strani upravljavca.

Prvo vprašanje

Člen 83(4) do (6) GDPR izključuje nacionalno zakonodajo in globa se lahko naloži kateri koli osebi (fizični ali pravni), ki ustreza definiciji upravljavca v skladu z GDPR.

1. Pojem upravljavca je opredeljen široko in zakonodajalec EU ni razlikoval med fizičnimi in pravnimi osebami. 7. člen GDPR ga opredeljuje kot fizično ali pravno osebo, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov. Sodišče EU je v preteklosti tudi razsodilo, da se lahko fizična oseba šteje za upravljavca, kadar sodeluje pri določanju namenov in sredstev obdelave. To pomeni (kot je navedel generalni pravobranilec v točkah od 57 do 59 sklepnih predlogov), da so pravne osebe odgovorne za kršitve, ki jih v njihovem imenu stori katera koli oseba (fizična ali pravna). Posledično je odgovornost upravljavca izjemno široka.
2. Skupno branje členo 4(7), člena 83 in 58(2)i GDPR kaže, da se lahko upravna globa naloži tudi pravnim osebam, če so upravljavci. Glede na to, da je GDPR v zvezi s tem izrecna, nacionalna zakonodaja ne more preglasiti uredbe GDPR in državam članicam ne daje diskrecije za uvedbo dodatnih zahtev.
3. Pojem podjetja (v smislu členov 101 in 102 PDEU) torej ne vpliva na pogoje za upravno globo v skladu s členom 83 GDPR. To vprašanje je izčrpno urejeno z 2. odstavkom 58. člena in 1. do 6. odstavkom 83. člena GDPR. Tako je pojem podjetja relevanten le za namene določitve zneska upravne globe, ki se upravljavcu naloži v skladu s členom 83(4) do (6) GDPR.
4. pojem podjetja (v smislu členov 101 in 102 PDEU) opredeljuje gospodarsko enoto, ki jo lahko sestavlja več fizičnih ali pravnih oseb. Če je naslovnik upravne globe del podjetja ali je njegov del, je treba najvišji znesek upravne globe izračunati na podlagi odstotka celotnega svetovnega letnega prometa zadevnega podjetja v prejšnjem poslovnem letu. Zato globa ni omejena na promet ene od hčerinskih družb DW, temveč se izračuna glede na promet DW kot celote (vključno s holdingom in storitvenimi družbami).

Drugo vprašanje

Sodišče EU je zavrnilo idejo, da so upravne globe v skladu z GDPR ena od objektivnih kazni. 83. člen torej zahteva, da je upravljavec namerno ali iz malomarnosti storil kršitev.

1. Nadzorni organi glede te zadeve nimajo diskrecijske pravice. Vsebinske pogoje, ki jih mora izpolnjevati nadzorni organ, ko upravljavcu naloži upravno globo, ureja izključno zakonodaja EU, saj so podrobno določeni in ne prepuščajo nobene diskrecijske pravice državam članicam v členih 83(1) do (6) GDPR.
2. Člen 83(2)(b) GDPR, ki se bere v povezavi s členom 83(3) GDPR, opisujeta mednarodno naravo kršitev in kršitev iz malomarnosti. Iz besedila teh členov izhaja, da se globa lahko izreče le za kršitve, ki jih upravljavec stori naklepno ali iz malomarnosti.
3. To razlago širše podpira splošni namen GDPR. Zakonodajalcu EU se pri pripravi GDPR ni zdelo potrebno uvesti določbe o objektivni odgovornosti za upravne globe. GDPR si prizadeva za raven zaščite, ki je enakovredna in homogena, zato jo je treba dosledno uporabljati po vsej Evropski uniji. V nasprotju s tem namenom bi bilo dovoliti državam članicam, da določijo sistem stroge odgovornosti za globe v skladu s členom 83 GDPR. Takšna svoboda izbire bi poleg tega lahko izkrivljala konkurenco med gospodarskimi subjekti v Evropski uniji, kar bi bilo v nasprotju z navedenimi cilji zakonodajalca EU, zlasti tistimi iz uvodnih izjav 9 in 13 GDPR.
4. Nazadnje, če je upravljavec pravna oseba, ni nujno, da je kršitev storil njen upravni organ, niti ni nujno, da je ta organ vedel za to kršitev. Namesto tega je pravna oseba odgovorna za kršitve, ki jih storijo njeni predstavniki, ki so lahko katera koli oseba, ki deluje v okviru poslovanja v imenu upravljavcev