Soudní dvůr vydal rozsudky ve věcech C-683/21 | Nacionalinis visuomenės sveikatos centras a C-807/21 | Deutsche Wohnen, podle kterých pouze zaviněné porušení obecného nařízení o ochraně osobních údajů může vést k uložení správní pokuty. Je-li entita, jíž je pokuta uložena, součástí skupiny společností, musí být pokuta vypočtena na základě obratu skupiny.

Litevský a německý soud požádaly Soudní dvůr o výklad obecného nařízení o ochraně osobních údajů (nařízení GDPR)1 stran možnosti vnitrostátních dozorových úřadů sankcionovat porušení tohoto nařízení uložením správní pokuty správci údajů.

V litevském případě napadá Národní středisko pro veřejné zdraví při ministerstvu zdravotnictví pokutu ve výši 12 000 eur, která mu byla uložena v souvislosti s tím, že s pomocí soukromého podniku vytvořilo mobilní aplikaci za účelem evidence a sledování údajů o osobách vystavených viru způsobujícímu onemocnění covid-19.

V německém případě realitní společnost Deutsche Wohnen, která má nepřímo v majetku přibližně 163 000 bytových jednotek a 3 000 komerčních prostor, napadá mimo jiné pokutu ve výši více než 14 milionů eur, která jí byla uložena proto, že uchovávala osobní údaje nájemců déle, než bylo nutné.

Soudní dvůr rozhodl, že správci údajů může být správní pokuta uložena za porušení nařízení GDPR pouze tehdy, pokud se tohoto porušení dopustil zaviněně, tedy úmyslně nebo z nedbalosti. Tak je tomu tehdy, pokud správce nemohl nevědět o protiprávní povaze svého jednání bez ohledu na to, zda věděl, či nevěděl o porušení.

Je-li správcem právnická osoba, není nutné, aby se porušení dopustil jeho řídící orgán, nebo aby o tomto porušení tento orgán věděl. Naopak právnická osoba je odpovědná jak za porušení, kterých se dopustili její zástupci, řídící pracovníci nebo manažeři, tak za porušení, kterých se dopustila jakákoliv jiná osoba, která jedná v rámci obchodní činnosti této právnické osoby jejím jménem. Kromě toho podmínkou uložení správní pokuty právnické osobě jakožto správci nemůže být dřívější konstatování, že se tohoto porušení dopustila identifikovaná fyzická osoba.

Navíc správci lze uložit pokutu i v souvislosti s operacemi, které provedl zpracovatel, lze-li tyto operace přičíst správci.

Pokud jde o společnou odpovědnost dvou nebo více entit, Soudní dvůr upřesnil, že tato odpovědnost vyplývá ze samotné skutečnosti, že se tyto entity podílely na určení účelů a prostředků zpracování. Předpokladem pro kvalifikaci „společných správců“ není existence formální dohody mezi dotčenými entitami. Společné rozhodnutí či konvergující rozhodnutí jsou dostačující. Pokud se však skutečně jedná o společné správce, musí mezi sebou ujednáním vymezit své podíly na odpovědnosti.

Konečně pokud jde o výpočet pokuty v případě, když je entita, jíž je pokuta uložena, podnikem nebo součástí podniku, musí dozorový úřad vycházet z pojmu „podnik“2 podle práva hospodářské soutěže. Maximální výše pokuty se tedy vypočítá na základě procentního podílu celkového celosvětového ročního obratu dotyčného podniku jako celku za předchozí finanční rok.

Úplná znění rozsudků, a případně jejich shrnutí (C-683/21 a C-807/21) jsou zveřejněna na internetové stránce CURIA v den vyhlášení.

Obrazový záznam z vyhlášení rozsudků je dostupný na „Europe by Satellite“.

Zdroj: SDEU
Foto: canva.com