Orzeczenie wstępne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 4 nr 7 – Pojęcie „osoby odpowiedzialnej” – Artykuł 58 ust. 2 – Uprawnienia zaradcze organów nadzorczych – Artykuł 83 – Nakładanie kar finansowych na osoba prawna Osoba – Wymogi – Swoboda działania państw członkowskich – Wymóg, aby naruszenie było umyślne lub wynikało z zaniedbania”
W sprawie C‑807/21
w sprawie wniosku o wydanie orzeczenia w trybie prejudycjalnym na podstawie art. 267 TFUE złożonego przez Kammergericht Berlin (Niemcy) postanowieniem z dnia 6 grudnia 2021 r., które wpłynęło do Trybunału w dniu 21 grudnia 2021 r., w postępowaniu
Deutsche Wohnen SE
przeciwko
Prokuratura w Berlinie
pozwolił
TRYBUNAŁ (wielka izba)
w składzie: Prezes K. Lenaerts, Wiceprezes L. Bay Larsen, Prezesi Izb A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz i Z. Csehi, Prezesi Izb O. Spineanu-Matei, Sędziowie M. Ilešič i J.‑C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (sprawozdawca), N. Wahl i M. Gavalec, sędziowie,
Prokurator Generalny: M. Campos Sánchez-Bordona,
Kanclerz: D. Dittert, kierownik wydziału,
na podstawie postępowania pisemnego i rozprawy przeprowadzonej w dniu 17 stycznia 2023 r.,
biorąc pod uwagę wyjaśnienia
– Deutsche Wohnen SE, reprezentowana przez adwokatów O. Geissa, K. Mertensa, N. Venna i T. Wybitula,
– rząd niemiecki reprezentowany przez J. Möllera i P.‑L. Krüger jako autoryzowany przedstawiciel,
– rząd estoński reprezentowany przez M. Kriisę, działającego w charakterze pełnomocnika,
– rząd niderlandzki reprezentowany przez C. S. Schillemansa, działającego w charakterze pełnomocnika,
– rząd norweski reprezentowany przez L.‑M. Moen Jünge, M. Munthe-Kaas i T. Westhagen Edell jako upoważnieni przedstawiciele,
– Parlament Europejski, reprezentowany przez G. C. Bartrama i P. Lópeza-Carcellera, działających w charakterze pełnomocników,
– Radę Unii Europejskiej, reprezentowaną przez J. Bauerschmidta i K. Pleśniaka, działających w charakterze pełnomocników,
– Komisję Europejską, reprezentowaną przez A. Bouchagiara, F. Erlbachera, H. Kranenborga i G. Meessena, działających w charakterze pełnomocników,
po zapoznaniu się z Opinią Rzecznika Generalnego na posiedzeniu w dniu 27 kwietnia 2023 r
następujące
Werdykt
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 83 ust. 4–6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzania danych osobowych, w sprawie swobodnego przepływu takich danych i uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016 L 119, s. 1, sprostowanie w Dz.U. 2018 L 127, s. 2) (dalej: RODO).
2 Powyższe powstaje w kontekście sporu prawnego pomiędzy Deutsche Wohnen SE (dalej: DW) a prokuraturą w Berlinie (Niemcy) w przedmiocie kar finansowych nałożonych na DW zgodnie z art. 83 RODO za naruszenie art. 5 ust. ) (a), c i e, nałożono art. 6 i art. 25 ust.1 RODO.
ramy prawne
Prawo Unii
3 Motywy 9, 10, 11, 13, 74, 129 i 150 RODO stanowią:
„(9) … różnice w poziomie ochrony praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych pomiędzy Państwami członkowskimi, w szczególności prawa do ochrony takich danych, mogą utrudniać swobodny przepływ takich danych na całym świecie Unia. Te różnice w poziomie ochrony mogą zatem stanowić przeszkodę w prowadzeniu działalności gospodarczej w całej Unii, zakłócać konkurencję i uniemożliwiać organom publicznym wypełnianie ich obowiązków wynikających z prawa Unii. …
(10) Aby zapewnić jednolity i wysoki poziom ochrony danych osób fizycznych oraz usunąć bariery w przepływie danych osobowych w Unii, poziom ochrony praw i wolności osób fizycznych podczas przetwarzania tych danych powinien być równoważne we wszystkich Państwach Członkowskich. Przepisy chroniące podstawowe prawa i wolności osób fizycznych podczas przetwarzania danych osobowych powinny być stosowane równomiernie i jednolicie w całej Unii. W odniesieniu do przetwarzania danych osobowych w celu wywiązania się z obowiązku prawnego lub dla wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, państwa członkowskie powinny mieć możliwość przyjęcia przepisów krajowych zapewniających stosowania zasad utrzymanych lub wprowadzonych zgodnie z niniejszym rozporządzeniem. […] Niniejsze rozporządzenie zapewnia również państwom członkowskim elastyczność w określaniu ich zasad, w tym dotyczących przetwarzania szczególnych kategorii danych osobowych… W tym zakresie niniejsze rozporządzenie nie wyklucza ustawodawstwa państw członkowskich określającego okoliczności szczególnych sytuacji przetwarzania, w tym bardziej precyzyjne określenie warunków, na jakich przetwarzanie danych osobowych jest zgodne z prawem.
(11) Skuteczna ochrona danych osobowych w całej Unii wymaga wzmocnienia i precyzyjnego określenia praw osób, których dane dotyczą, oraz zaostrzenia obowiązków podmiotów przetwarzających i decydujących o danych osobowych, a także – we wszystkich państwach członkowskich – równych uprawnień w zakresie monitorowania i zapewniania pewności przestrzeganie przepisów o ochronie danych osobowych i takie same sankcje w przypadku ich naruszenia.
…
(13) Aby zapewnić jednolity poziom ochrony danych osób fizycznych w całej Unii oraz wyeliminować rozbieżności, które mogłyby utrudniać swobodny przepływ danych osobowych w ramach rynku wewnętrznego, konieczne jest rozporządzenie zapewniające pewność prawa i pewność prawa dla podmiotów gospodarczych operatorów, w tym mikro, małych i średnich przedsiębiorstw, zapewnia przejrzystość, zapewnia osobom fizycznym we wszystkich państwach członkowskich ten sam poziom egzekwowalnych praw, nakłada te same obowiązki i odpowiedzialność na administratorów i podmioty przetwarzające oraz zapewnia jednolitą kontrolę przetwarzania danych osobowych danych oraz równoważne sankcje we wszystkich państwach członkowskich, a także gwarantowana skuteczna współpraca między organami nadzorczymi w każdym państwie członkowskim. …
…
(74) Należy uregulować odpowiedzialność administratora za przetwarzanie danych osobowych przez niego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek podjęcia odpowiednich i skutecznych środków oraz być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem, a środki są skuteczne. Powinien przy tym uwzględniać charakter, zakres, okoliczności i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.
…
(129) Aby zapewnić jednolity nadzór i egzekwowanie niniejszego rozporządzenia w całej Unii, organy nadzorcze w każdym państwie członkowskim powinny mieć te same zadania i skuteczne uprawnienia, w tym… uprawnienia dochodzeniowe, uprawnienia zaradcze i uprawnienia do nakładania sankcji… W w szczególności wszelkie środki mające na celu zapewnienie przestrzegania niniejszego rozporządzenia powinny być właściwe, konieczne i proporcjonalne, biorąc pod uwagę okoliczności każdego indywidualnego przypadku, z poszanowaniem prawa każdej osoby do bycia wysłuchaną przed podjęciem indywidualnego środka, który miałby niekorzystny wpływ na tej osoby oraz unikania niepotrzebnych kosztów i nadmiernych niedogodności dla osób, których to dotyczy. Uprawnienia dochodzeniowe w odniesieniu do dostępu do pomieszczeń należy wykonywać zgodnie ze szczegółowymi wymogami prawa procesowego państw członkowskich, takimi jak wymóg uprzedniej zgody sądu. Wszelkie prawnie wiążące działania podejmowane przez organ nadzorczy powinny mieć formę pisemną oraz powinny być jasne i jednoznaczne; należy wskazać organ nadzorczy, który przyjął środek, oraz datę przyjęcia środka, a środek powinien zostać podpisany przez upoważnionego przez niego kierownika lub członka organu nadzorczego i zawierać uzasadnienie środka oraz wzmiankę o zawarciu prawo do skutecznego środka prawnego. Nie powinno to wykluczać dodatkowych wymogów wynikających z prawa proceduralnego państw członkowskich. …
…
(150) Aby ujednolicić i zwiększyć skuteczność kar administracyjnych za naruszenia niniejszego rozporządzenia, każdy organ nadzorczy powinien być uprawniony do nakładania grzywien. W niniejszym rozporządzeniu należy określić naruszenia oraz maksymalny limit odpowiadających im kar finansowych oraz kryteria ich ustalania, które to kary powinien określić właściwy organ nadzorczy w każdym indywidualnym przypadku, biorąc pod uwagę wszystkie szczególne okoliczności, w szczególności charakter, wagę oraz czas trwania naruszenia i jego skutki, środki podjęte w celu zapewnienia wywiązania się z obowiązków wynikających z niniejszego rozporządzenia oraz zapobieżenia skutkom nieprzestrzegania lub złagodzenia ich skutków. W tym celu w przypadku nakładania grzywien na przedsiębiorstwa termin „przedsiębiorstwo” należy rozumieć w rozumieniu art. 101 i 102 TFUE. …”
4 Artykuł 4 RODO stanowi:
„Do celów niniejszego rozporządzenia określenie to oznacza:
…
7. „Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi decyduje o celach i środkach przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub prawie państwa członkowskiego, prawo Unii lub państwa członkowskiego może przewidywać administratora lub szczególne kryteria jego wyznaczania;
8. „procesor” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot przetwarzający dane osobowe w imieniu administratora;
…
18. „przedsiębiorstwo” oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od jej formy prawnej, w tym spółki osobowe lub stowarzyszenia prowadzące regularnie działalność gospodarczą;
…”
5 Artykuł 58 („Uprawnienia”) ust. 2 i 4 RODO stanowi:
„(2) Każdemu organowi nadzorczemu przysługują wszystkie poniższe uprawnienia zaradcze umożliwiające mu:
a) ostrzec administratora lub podmiot przetwarzający, że proponowane operacje przetwarzania mogą prawdopodobnie naruszać niniejsze rozporządzenie;
b) ostrzec administratora lub podmiot przetwarzający, jeżeli operacje przetwarzania naruszają niniejsze rozporządzenie,
…
d) poinstruować administratora lub podmiot przetwarzający, aby w stosownych przypadkach doprowadził operacje przetwarzania do zgodności z niniejszym rozporządzeniem w określony sposób i w określonym terminie;
…
f) do nałożenia tymczasowego lub ostatecznego ograniczenia przetwarzania, w tym zakazu,
…
(i) nałożyć grzywnę zgodnie z art. 83, oprócz środków, o których mowa w niniejszym ustępie lub zamiast nich, w zależności od okoliczności sprawy;
…
4. Wykonywanie uprawnień powierzonych organowi nadzorczemu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom, w tym skutecznym środkom prawnym i należytej procedurze sądowej, zgodnie z prawem Unii i prawem państwa członkowskiego, zgodnie z Kartą [ Prawa Podstawowe Unii Europejskiej].”
6 Artykuł 83 („Ogólne warunki nakładania kar”) RODO stanowi:
„1. Każdy organ nadzorczy zapewnia, aby nałożenie kar pieniężnych zgodnie z niniejszym artykułem za naruszenia niniejszego rozporządzenia, o których mowa w ust. 4, 5 i 6, było w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
(2) Kary nakłada się dodatkowo lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) i j), w zależności od okoliczności sprawy. Podejmując decyzję o nałożeniu grzywny i jej wysokości, w każdym indywidualnym przypadku należy należycie uwzględnić:
a) charakter, wagę i czas trwania naruszenia, z uwzględnieniem charakteru, zakresu lub celu danego przetwarzania oraz liczby osób, których przetwarzanie dotyczy, oraz rozmiaru poniesionej przez nie szkody;
b) naruszenie umyślne lub wynikające z zaniedbania;
c) wszelkie środki podjęte przez administratora lub podmiot przetwarzający w celu złagodzenia szkody wyrządzonej osobom, których dane dotyczą;
d) poziom odpowiedzialności administratora lub podmiotu przetwarzającego, z uwzględnieniem środków technicznych i organizacyjnych zastosowanych przez nich zgodnie z art. 25 i 32;
e) wszelkie istotne wcześniejsze naruszenia administratora lub podmiotu przetwarzającego;
f) zakres współpracy z organem nadzorczym w celu usunięcia naruszenia i złagodzenia jego ewentualnych negatywnych skutków;
g) kategorie danych osobowych, których dotyczy naruszenie;
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności czy i jeżeli ma to zastosowanie, w jakim zakresie administrator lub podmiot przetwarzający zgłosił naruszenie;
(i) przestrzegania środków zarządzonych wcześniej na podstawie art. 58 ust. 2 wobec danego administratora lub podmiotu przetwarzającego w związku z tym samym przedmiotem, jeżeli takie środki zostały zarządzone;
j) Zgodność z zatwierdzonymi kodeksami postępowania zgodnie z art. 40 lub zatwierdzonymi procedurami certyfikacji zgodnie z art. 42 oraz
k) wszelkie inne okoliczności obciążające lub łagodzące w danym przypadku, takie jak uzyskane korzyści finansowe lub straty, których udało się uniknąć bezpośrednio lub pośrednio w wyniku naruszenia.
(3) Jeżeli administrator lub podmiot przetwarzający umyślnie lub przez zaniedbanie naruszy kilka przepisów niniejszego rozporządzenia w ramach tych samych lub powiązanych operacji przetwarzania, łączna kwota kary nie może przekroczyć kwoty za najpoważniejsze naruszenie.
(4) Każde naruszenie poniższych przepisów powoduje, zgodnie z ust. 2, nałożenie grzywny w wysokości do 10 000 000 [euro] lub w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu za poprzedni rok budżetowy, w zależności od przypadku Kwoty są wyższe:
a) obowiązki administratorów i podmiotów przetwarzających zgodnie z art. 8, 11, 25–39, 42 i 43;
…
(5) Każde naruszenie poniższych przepisów powoduje, zgodnie z ust. 2, nałożenie grzywny w wysokości do 20 000 000 [Euro] lub, w przypadku przedsiębiorstwa, do 4% jego całkowitego rocznego światowego obrotu za poprzedni rok budżetowy, w zależności od przypadku Kwoty są wyższe:
a) zasady przetwarzania, w tym warunki zgody, zgodnie z art. 5, 6, 7 i 9;
b) prawa osoby, której dane dotyczą, o których mowa w art. 12–22;
…
d) wszystkie obowiązki wynikające z ustawodawstwa Państw Członkowskich przyjętego na mocy rozdziału IX;
e) niezastosowanie się do polecenia lub tymczasowego lub ostatecznego ograniczenia lub zawieszenia przekazywania danych przez organ nadzorczy zgodnie z art. 58 ust. 2 lub nieudzielenie dostępu z naruszeniem art. 58 ust.
6. Niezastosowanie się do polecenia organu nadzoru, o którym mowa w art. 58 ust. 2, podlega karze grzywny do wysokości 20 000 000 [euro], a w przypadku przedsiębiorcy do 4% kwoty swój całkowity roczny obrót światowy za rok poprzedni, zgodnie z ust. 2 niniejszego artykułu, za rok obrotowy, w zależności od tego, która z kwot jest wyższa.
7. Bez uszczerbku dla uprawnień zaradczych organów nadzorczych na mocy art. 58 ust. 2, każde państwo członkowskie może ustanowić zasady określające, czy i w jakim zakresie można nakładać kary na organy i podmioty publiczne mające siedzibę w danym państwie członkowskim.
(8) Wykonywanie przez organ nadzorczy uprawnień przysługujących mu na mocy niniejszego artykułu podlega odpowiednim gwarancjom proceduralnym zgodnie z prawem Unii i prawem państwa członkowskiego, w tym skutecznym środkom prawnym i należytym procesom.
…”
Prawo niemieckie
7 Zgodnie z art. 41 ust. 1 zdanie 1 federalnej ustawy o ochronie danych z dnia 30 czerwca 2017 r. (BGBl. 2017 I s. 2097) (dalej: BDSG), o ile ustawa ta nie stanowi inaczej, mają zastosowanie naruszenia z art. 83 ust. 4 bis 6 RODO przepisy ustawy o wykroczeniach administracyjnych z dnia 24 maja 1968 r. (BGBl. 1968 I s. 481) w wersji ogłoszenia z dnia 19 lutego 1987 r. (BGBl. 1987 I s. 602), zmienionej ustawą 19 czerwca 2020 r. (BGBl. 2020 I s. 1350) (dalej: OWiG).
8 Paragraf 30 OWiG („Kary karne wobec osób prawnych i stowarzyszeń osób”) stanowi:
„(1) Ktoś to zrobił
1. jako upoważniony organ przedstawicielski osoby prawnej lub jako członek takiego organu,
2. jako członek zarządu stowarzyszenia nieposiadającego osobowości prawnej lub członek takiego zarządu,
3. jako wspólnik uprawniony do reprezentowania spółki osobowej,
4. jako generalny przedstawiciel lub na stanowisku kierowniczym jako upoważniony sygnatariusz lub pełnomocnik osoby prawnej lub stowarzyszenia osób, o których mowa w pkt 2 lub 3, lub
5. jako każda inna osoba odpowiedzialna za zarządzanie przedsiębiorstwem lub spółką osoby prawnej lub stowarzyszeniem osób, o których mowa w pkt 2 lub 3, co obejmuje także monitorowanie zarządzania lub wykonywanie w inny sposób uprawnień kontrolnych na stanowisku kierowniczym,
Jeżeli zostało popełnione przestępstwo karne lub wykroczenie administracyjne, naruszono obowiązki osoby prawnej lub związku osób albo osoba prawna lub stowarzyszenie osób wzbogaciła się lub powinna się wzbogacić, na tę osobę może zostać nałożona grzywna .
…
(4) Jeżeli postępowanie karne lub postępowanie karne nie zostanie wszczęte z powodu przestępstwa lub wykroczenia administracyjnego lub jeśli zostanie umorzone lub nie zostanie nałożona żadna kara, grzywnę można ustalić niezależnie. Ustawa może przewidywać, że kara może zostać ustalona niezależnie także w innych przypadkach. Jednakże niezależna ocena kary pieniężnej nałożonej na osobę prawną lub stowarzyszenie osób jest wykluczona, jeżeli przestępstwo lub wykroczenie administracyjne nie może być ścigane ze względów prawnych…”
9 Art. 130 OWiG stanowi:
„(1) Każdy, kto jako właściciel przedsiębiorstwa lub spółki umyślnie lub przez zaniedbanie nie podejmuje środków nadzorczych niezbędnych do zapobiegania naruszeniom w przedsiębiorstwie lub spółce obowiązków, które dotyczą właściciela i których naruszenie grozi karą karą lub grzywną, działa niezgodnie z prawem, jeżeli popełniono takie przestępstwo, któremu przy właściwym nadzorze można by zapobiec lub znacznie je utrudnić. Niezbędne środki nadzorcze obejmują także wyznaczanie, staranny wybór i monitorowanie osób nadzorujących.
…
(3) Jeżeli naruszenie obowiązków podlega karze ustawowej, wykroczenie administracyjne może zostać ukarane karą grzywny w wysokości do miliona euro. Stosuje się § 30 ust. 2 zdanie 3. Jeżeli naruszenie obowiązku zagrożone jest karą grzywny, maksymalną karę za naruszenie obowiązku nadzorczego ustala się na podstawie maksymalnej kary zagrożonej za naruszenie obowiązku. …”
Postępowanie główne i pytania prejudycjalne
10 DW jest spółką notowaną na giełdzie nieruchomości z siedzibą w Berlinie (Niemcy) posiadającą formę prawną spółki europejskiej. Pośrednio posiada około 163 000 lokali mieszkalnych i 3 000 lokali użytkowych poprzez inwestycje w różnych spółkach.
11 Właścicielami tych jednostek są spółki zależne DW, tzw. spółki właścicielskie, które zarządzają działalnością operacyjną, przy czym DW odpowiada za całościowe zarządzanie grupą, której jest m.in. ze swoimi spółkami zależnymi. Te ostatnie wynajmują lokale mieszkalne i komercyjne, którymi zarządzają inne spółki z tej grupy, tzw. spółki usługowe.
12 W ramach prowadzonej działalności DW oraz zarządzane przez nią spółki z grupy przetwarzają dane osobowe najemców lokali mieszkalnych i komercyjnych, takie jak dowód tożsamości, dane podatkowe, ubezpieczenia społeczne i zdrowotne tych najemców oraz informacje o poprzednich umowach najmu.
13 W dniu 23 czerwca 2017 r. berliński Komisarz ds. Ochrony Danych (Niemcy) (zwany dalej: organem nadzorczym) poinformował DW w ramach kontroli na miejscu, że spółki należące do jej grupy przechowują dokumenty zawierające dane osobowe najemców w elektronicznym systemie archiwizacji system, w którym nie można stwierdzić, czy przechowywanie jest konieczne i czy istnieje pewność, że niepotrzebne dane zostaną usunięte.
14 Organ nadzorczy zwrócił się do DW o usunięcie tych dokumentów z jej elektronicznego systemu archiwalnego do końca 2017 r. DW odpowiedziało na tę prośbę, stwierdzając, że usunięcie nie jest możliwe ze względów technicznych i prawnych.
15 Po wymianie poglądów pomiędzy DW i organem nadzorczym na temat możliwości usunięcia przedmiotowych dokumentów DW poinformowała organ nadzorczy o zamiarze utworzenia nowego systemu przechowywania, który zastąpi system zawierający te dokumenty.
16 W dniu 5 marca 2019 roku organ nadzorczy przeprowadził kontrolę w siedzibie grupy zarządzanej przez DW. DW poinformował organ nadzorczy, że przedmiotowy system archiwum elektronicznego został już wycofany z użytku i że migracja danych do nowego systemu przechowywania jest nieuchronna.
17 Decyzją z dnia 30 października 2019 roku organ nadzorczy nałożył na DW karę pieniężną w wysokości 14 385 000 EUR za umyślne naruszenie art. 5 ust. 1 lit. a), c) i e) oraz art. 25 ust. 1 RODO (dalej: : dobra uwaga). Tą decyzją nałożyła również na DW dodatkowe kary w wysokości od 3 000 do 17 000 euro za naruszenia art. 6 ust. 1 RODO.
18 W karze pieniężnej organ nadzorczy uznał w szczególności, że w okresie od 25 maja 2018 r. do 5 marca 2019 r. DW umyślnie nie podjęła niezbędnych działań, aby umożliwić regularne usuwanie danych osobowych, które nie były już potrzebne lub które były niewłaściwie przechowywane z innych powodów od najemców. DW w dalszym ciągu przechowywała także dane osobowe co najmniej 15 określonych najemców, choć nie było to konieczne.
19 DW wniosła sprzeciw od tej decyzji do Sądu Okręgowego w Berlinie (Niemcy). To umorzyło postępowanie, gdyż zawiadomienie o nałożeniu kary zawierało tak istotne braki, że nie mogło stanowić podstawy do nałożenia kary.
20 Nałożenie kary pieniężnej na osobę prawną zostało ostatecznie uregulowane w § 30 OWiG, który poprzez § 41 ust. 1 BDSG ma zastosowanie także do naruszeń z art. 83 ust. 4 do 6 RODO. Zgodnie z art. 30 OWiG przestępstwo administracyjne może popełnić wyłącznie osoba fizyczna, a nie osoba prawna. Osobie prawnej można przypisać jedynie działania członków zarządu lub przedstawicieli. Zgodnie z § 30 ust. 4 OWiG niezależne postępowanie karne może być prowadzone przeciwko osobom prawnym pod pewnymi warunkami. Ale nawet wtedy konieczne jest ustalenie przestępstwa administracyjnego ze strony członka zarządu lub przedstawiciela danej osoby prawnej.
21 Prokuratura w Berlinie wniosła natychmiastową skargę na tę decyzję do sądu odsyłającego Kammergericht Berlin (Niemcy).
22 Sąd odsyłający pyta w pierwszej kolejności, czy zgodnie z art. 83 RODO musi istnieć możliwość nałożenia grzywny na osobę prawną bez uprzedniego przypisania naruszenia RODO zidentyfikowanej osobie fizycznej. W tym kontekście Trybunał chciałby wiedzieć, jakie znaczenie ma termin „przedsiębiorstwo” w rozumieniu art. 101 i 102 TFUE.
23 W tym względzie podnosi, że zgodnie z orzecznictwem krajowym istniejący na prawie krajowym reżim ograniczonej odpowiedzialności podmiotów prawnych jest sprzeczny z reżimem bezpośredniej odpowiedzialności korporacyjnej uregulowanym w art. 83 RODO. Zgodnie z tym orzecznictwem wynika m.in.: z brzmienia art. 83 RODO, który zgodnie z zasadą pierwszeństwa prawa Unii ma pierwszeństwo przed systemem krajowym, na spółki mogą być nakładane kary pieniężne. Nie ma zatem konieczności, wbrew wymogom obowiązującego prawa krajowego, opierania nakładania takich kar na zawinionym zachowaniu organów lub osób zarządzających osobami prawnymi.
24 Orzecznictwo to, podobnie jak większość krajowej literatury prawniczej, koncentruje się na pojęciu „przedsiębiorca” w rozumieniu art. 101 i 102 TFUE, a tym samym na idei, że odpowiedzialność jest przypisana podmiotowi gospodarczemu, w którym niepożądane, np.: B. szczególne znaczenie ma antykonkurencyjne zachowanie rynku. Zgodnie z tym funkcjonalnym rozumieniem wszelkie działania wszystkich pracowników uprawnionych do działania w imieniu spółki należy przypisać spółce w formie kar finansowych.
25 Po drugie, w przypadku gdyby Trybunał uznał, że musi istnieć możliwość bezpośredniego nałożenia grzywny na osobę prawną, sąd odsyłający chciałby wiedzieć, jakie kryteria należy zastosować, aby ustalić, czy osoba prawna jest przedsiębiorstwem odpowiedzialnym za naruszenie RODO. W szczególności chciałaby wiedzieć, czy na osobę prawną można nałożyć karę pieniężną na podstawie art. 83 RODO bez udowodnienia, że zarzucane jej naruszenie RODO nastąpiło w sposób zawiniony.
26 W tych okolicznościach Sąd Apelacyjny w Berlinie postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
1. Czy art. 83 ust. 4–6 RODO należy interpretować w ten sposób, że włącza on do prawa krajowego koncepcję spółki funkcjonalnej przypisaną art. 101 i 102 TFUE oraz zasadę sprawowania funkcji w ten sposób, że poprzez rozszerzenie zasady podmiotu prawnego na na czym opiera się art. 30 OWiG, kara może być wymierzona bezpośrednio przeciwko spółce i wymierzona kara nie wymaga stwierdzenia przestępstwa administracyjnego popełnionego przez osobę fizyczną i zidentyfikowaną, ewentualnie o charakterze karnym?
2. W przypadku odpowiedzi twierdzącej na pytanie pierwsze: Czy art. 83 ust. 4–6 RODO należy interpretować w ten sposób, że naruszenie zawiniło za pośrednictwem pracownika (por. art. 23 rozporządzenia [WE] nr 1/2003 Rady z dnia 16 grudnia 2002 r. w sprawie wprowadzenia w życie reguł konkurencji określonych w art. 81 i 82 Traktatu [(Dz.U. 2003 L 1, s. 1)], czy też w zasadzie wystarczy nałożyć na przedsiębiorcę karę pieniężną w sposób obiektywny, który można mu przypisać. Naruszenie obowiązków („odpowiedzialność rygorystyczna”)?
W sprawie wniosku o otwarcie rozprawy na nowo
27 W następstwie rozprawy, która odbyła się w dniu 17 stycznia 2023 r., DW pismem otrzymanym w sekretariacie Sądu w dniu 23 marca 2023 r. wniosła o otwarcie procedury ustnej na nowo zgodnie z art. 83 regulaminu postępowania przed Trybunałem.
28 Skarżąca opiera swój wniosek zasadniczo na tym, że w odpowiedziach sądu odsyłającego na żądanie wyjaśnień skierowane do sądu odsyłającego na podstawie art. 101 regulaminu postępowania przekazały Trybunałowi błędne informacje na temat mających zastosowanie przepisów prawa krajowego być prawem. Jednakże kompleksowe omówienie tej kwestii na rozprawie w dniu 17 stycznia 2023 r. nie było możliwe, gdyż strony dowiedziały się o tych odpowiedziach dopiero na trzy dni robocze przed rozprawą. Okres ten nie był wystarczający, aby dokładnie przygotować się do rozprawy.
29 Prawdą jest, że zgodnie z art. 83 regulaminu postępowania Trybunał może w każdej chwili po wysłuchaniu rzecznika generalnego podjąć decyzję o otwarciu procedury ustnej na nowo, w szczególności jeżeli uzna, że nie został dostatecznie poinformowany o fakcie jeżeli strona po zakończeniu procedury ustnej przedstawiła nowy fakt, mający kluczowe znaczenie dla rozstrzygnięcia Sądu, lub jeżeli argument, który nie został omówiony pomiędzy stronami, ma znaczenie dla rozstrzygnięcia.
30 Jednakże w niniejszej sprawie Trybunał posiada wszystkie informacje niezbędne do wydania orzeczenia i żaden argument nie ma znaczenia dla orzeczenia, który nie został omówiony między stronami. Wniosek o otwarcie procedury ustnej na nowo nie zawiera także żadnej nowej okoliczności, która miałaby decydujące znaczenie dla rozstrzygnięcia, jakie Trybunał musi podjąć w niniejszej sprawie.
31 Trybunał zatem po wysłuchaniu rzecznika generalnego uważa, że nie ma powodu do podjęcia decyzji o wznowieniu postępowania.
Odnośnie pytań zadanych
Na pierwsze pytanie
32 Poprzez pytanie pierwsze sąd odsyłający zmierza w istocie do ustalenia, czy art. 58 ust. 2 i art. 83 ust. 1–6 RODO należy interpretować w ten sposób, że stoją one na przeszkodzie przepisom krajowym nakładającym karę grzywny za przestępstwo, o którym mowa w art. Artykuł 83 Ustępy 4–6 RODO można nałożyć na osobę prawną występującą w charakterze administratora tylko wtedy, gdy naruszenie to zostało wcześniej przypisane zidentyfikowanej osobie fizycznej.
33 Na wstępie należy zauważyć, że w swoich uwagach na piśmie rząd niemiecki wyraził wątpliwości co do takiej wykładni prawa krajowego dokonanej przez sąd odsyłający, ponieważ § 130 OWiG pozwala na nałożenie grzywny na osobę prawną nawet poza przypadkami objętymi § 30 OWiG nakładają. Ponadto, zgodnie z tymi dwoma przepisami, w postępowaniu przeciwko spółce możliwe jest nałożenie tzw. kary „anonimowej” bez konieczności wskazywania osoby fizycznej jako sprawcy przedmiotowego naruszenia.
34 W odpowiedzi na wezwanie sądu odsyłającego do wyjaśnień, o którym mowa w pkt 28 niniejszego wyroku, sąd odsyłający stwierdził, że § 130 OWiG nie ma wpływu na pierwsze pytanie prejudycjalne.
35 Adresatem tego przepisu jest właściciel przedsiębiorstwa lub spółki, który w sposób zawiniony naruszył obowiązek nadzoru. Udowodnienie takiego naruszenia obowiązku z winy właściciela firmy jest jednak niezwykle skomplikowane i często niemożliwe. Kwestia, czy grupę spółek można sklasyfikować jako „przedsiębiorstwa” lub „właścicieli” w rozumieniu tego przepisu, budzi kontrowersje na poziomie krajowym. W każdym razie pierwsze pytanie prejudycjalne jest również istotne w tym kontekście.
36 Należy zauważyć, że dokonując wykładni przepisów prawa krajowego, Trybunał co do zasady ma obowiązek kierować się ocenami prawnymi wynikającymi z postanowienia odsyłającego. Zgodnie z utrwalonym orzecznictwem Trybunał Sprawiedliwości nie jest uprawniony do dokonywania wykładni prawa krajowego państwa członkowskiego (wyrok z 26 stycznia 2021 r., Hessischer Rundfunk, C-422/19 i C-423/19, EU:C:2021 s. 63, paragraf 31 i przytoczone tam orzecznictwo).
37 Zatem odpowiedź na pytanie pierwsze musi opierać się na założeniu, że zgodnie z obowiązującym prawem krajowym kara pieniężna za naruszenie na podstawie art. 83 ust. 4–6 RODO może zostać nałożona na osobę prawną w jego uprawnienia jako administratora danych jedynie na warunkach określonych w § 30 OWiG, mogą zostać nałożone pod pewnymi warunkami określonymi przez sąd odsyłający.
38 Aby odpowiedzieć na pierwsze pytanie prejudycjalne, należy w pierwszej kolejności wskazać, że zasady, zakazy i obowiązki przewidziane w RODO skierowane są w szczególności do „administratorów”. Zgodnie ze stwierdzeniami zawartymi w motywie 74 RODO ich odpowiedzialność rozciąga się na wszelkie przetwarzanie danych osobowych prowadzone przez nich lub w ich imieniu. W tym kontekście muszą nie tylko podjąć odpowiednie i skuteczne środki, ale muszą także być w stanie wykazać, że ich działania związane z przetwarzaniem są zgodne z RODO oraz że środki, które podjęli w celu zapewnienia tej zgodności, są również skuteczne. To właśnie ta odpowiedzialność w przypadku jednego z naruszeń, o których mowa w art. 83 ust. 4–6 RODO, stanowi podstawę do nałożenia na osobę odpowiedzialną kary pieniężnej zgodnie z art. 83 RODO.
39 W art. 4 ust. 7 RODO termin „administrator” jest szeroko zdefiniowany jako osoba fizyczna lub prawna, organ, instytucja lub inny podmiot, który samodzielnie lub wspólnie z innymi decyduje o celach i środkach przetwarzania danych osobowych.
40 Celem tej szerokiej definicji art. 4 ust. 7 RODO – która wyraźnie obejmuje także osoby prawne – jest, zgodnie z celem RODO, zapewnienie skutecznej ochrony podstawowych wolności i praw podstawowych osób fizycznych, a w szczególności wysoki poziom ochrony praw każdego człowieka w celu zapewnienia ochrony danych osobowych go dotyczących (zob. w tym sensie wyroki z 29 lipca 2019 r., Fashion ID, C-40/17, EU:C:2019:629, pkt 66 oraz z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 73 i przytoczone tam orzecznictwo).
41 Ponadto Trybunał orzekł już, że osobę fizyczną lub prawną, która we własnym interesie wpływa na przetwarzanie danych osobowych i w ten sposób uczestniczy w podejmowaniu decyzji o celach i środkach tego przetwarzania, można uznać za administratora danych (zob. wyrok Sense z 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 68).
42 Z brzmienia i celu art. 4 ust. 7 RODO wynika zatem, że przy ustalaniu odpowiedzialności na podstawie RODO ustawodawca Unii nie dokonał rozróżnienia między osobami fizycznymi i prawnymi, gdyż jedyną przesłanką tej odpowiedzialności jest to, że osoby te samodzielnie lub wspólnie z innymi osobami decydujemy o celach i środkach przetwarzania danych osobowych.
43 Z zastrzeżeniem przepisów art. 83 ust. 7 RODO dotyczących organów i podmiotów publicznych, każda osoba spełniająca ten wymóg – niezależnie od tego, czy jest to osoba fizyczna, prawna, organ, instytucja czy inny podmiot – odpowiada m.in. . za naruszenie, o którym mowa w art. 83 ust. 4-6 RODO, którego dopuścił się samodzielnie lub w jego imieniu.
44 W odniesieniu do osób prawnych oznacza to, po pierwsze, jak rzecznik generalny zasadniczo stwierdził w pkt 57–59 swojej opinii, że są one odpowiedzialne nie tylko za naruszenia popełnione przez ich przedstawicieli, dyrektorów lub kierowników, ale także za naruszenia popełnione przez inna osoba działająca w ramach prowadzonej działalności gospodarczej i w imieniu tych osób prawnych. Z drugiej strony musi istnieć możliwość nałożenia kar pieniężnych przewidzianych w art. 83 RODO za takie naruszenia bezpośrednio na osoby prawne, jeżeli można je uznać za administratorów danego przetwarzania.
45 Następnie art. 58 ust. 2 RODO szczegółowo określa uprawnienia organów nadzorczych do przyjęcia środków zaradczych, nie odwołując się do prawa państw członkowskich i nie przyznając państwom członkowskim żadnej swobody. Z jednej strony uprawnienia te, do których zalicza się możliwość nałożenia kar finansowych na podstawie art. 58 ust. 2 lit. i) RODO, skierowane są do administratora, a z drugiej – jak wynika z pkt 39 niniejszego wyroku – takim administratorem może być zarówno osoba fizyczna, jak i prawna. Materialne wymogi, które organ nadzorczy musi wziąć pod uwagę przy nakładaniu takiej kary, są szczegółowo wymienione w art. 83 ust. 1–6 RODO i nie pozostawiają państwom członkowskim żadnej swobody.
46 Z podsumowania Art. 4 nr 7, Art. 83 i Art. 58 ust.2 lit. i RODO wynika, że kara za naruszenie zgodnie z Art. 83 ust.4 do 6 RODO może zostać nałożona także na osoby prawne mogą zostać nałożone pod warunkiem, że posiadają one status osoby odpowiedzialnej. Z drugiej strony w RODO nie ma przepisu, który uzależnia nałożenie kary pieniężnej na osobę prawną jako administratora od uprzedniego ustalenia, że naruszenia dopuściła się zidentyfikowana osoba fizyczna.
47 Prawdą jest, że art. 58 ust. 4 i art. 83 ust. 8 RODO w świetle motywu 129 RODO wskazują, że wykonywanie uprawnień powierzonych przez organ nadzorczy na podstawie tych artykułów podlega odpowiednim warunkom gwarancje zgodne z prawem UE i muszą podlegać prawu państwa członkowskiego, w tym skutecznym środkom sądowym i należytym procedurom.
48 Jednakże fakt, że RODO przyznaje w ten sposób państwom członkowskim możliwość określenia wymogów dotyczących procedury, jaką mają stosować organy nadzorcze przy nakładaniu grzywny, nie oznacza, że są one uprawnione do określenia, oprócz tych wymogów proceduralnych, przesłanki merytoryczne będące: uzupełnieniem tych uregulowanych w art. 83 ust. 1-6 RODO. Ponadto okoliczność, że prawodawca Unii konkretnie i wyraźnie przewidział taką możliwość, lecz nie określił takich dodatkowych przesłanek materialnych, potwierdza, że nie pozostawił państwom członkowskim żadnej swobody uznania w tym zakresie. Prawo Unii ma zatem zastosowanie wyłącznie do tych wymogów materialnych.
49 Powyższą literalną interpretację Art. 58 ust.2 i Art. 83 ust.1 do 6 RODO potwierdza cel RODO.
50 W szczególności z motywu 10 RODO wynika, że jego przepisy m.in. cele polegające na zapewnieniu jednolitego i wysokiego poziomu ochrony danych osób fizycznych w całej Unii podczas przetwarzania danych osobowych oraz w tym celu zapewnienie, aby zasady chroniące podstawowe prawa i wolności tych osób były stosowane w sposób jednolity i spójny w całej Unii, gdy przetwarzanie takich danych. Motywy 11 i 129 RODO podkreślają także konieczność zapewnienia organom nadzorczym równych uprawnień w zakresie monitorowania i zapewnienia przestrzegania zasad ochrony danych osobowych, a także jednakowych sankcji w przypadku naruszeń, aby zapewnić spójne stosowanie RODO naruszają RODO.
51 Jednakże sprzeczne z celem RODO byłoby umożliwienie państwom członkowskim jednostronnego wymagania, jako warunku koniecznego do nałożenia grzywny na podstawie art. 83 RODO na administratora będącego osobą prawną, aby dane naruszenie zostało wcześniej zidentyfikowane zostały przypisane lub można je przypisać osobie fizycznej. Ponadto taki dodatkowy wymóg mógłby ostatecznie osłabić skuteczność i odstraszający efekt kar finansowych nakładanych na osoby prawne jako administratorów danych, z naruszeniem art. 83 ust. 1 RODO.
52 Zgodnie z art. 288 ust. 2 TFUE rozporządzenie Unii wiąże w całości i jest bezpośrednio stosowane w każdym państwie członkowskim, w związku z czym, o ile nie przewidziano inaczej, państwa członkowskie nie mają możliwości przyjęcia przepisów krajowych wpływających na zakres takiego rozporządzenia wpływ regulacji. Ponadto państwa członkowskie nie mogą, na mocy swoich obowiązków wynikających z traktatu FUE, podważać bezpośredniego stosowania wynikającego z rozporządzeń. W szczególności nie mogą podejmować żadnych działań, które przesłaniałyby przed jednostkami unijny charakter przepisu prawnego i wynikające z niego skutki (wyrok z dnia 15 listopada 2012 r., Al-Aqsa/Rada i Holandia/Al-Aqsa, C-539/10 P i C‑550/10 P, EU:C:2012:711, pkt 86, 87 i przytoczone tam orzecznictwo).
53 Wreszcie, w odniesieniu do pytań postawionych przez sąd odsyłający, należy zauważyć, że pojęcie „przedsiębiorstwa” w rozumieniu art. 101 i 102 TFUE nie ma znaczenia dla kwestii, czy i na jakich warunkach może zostać nałożona grzywna osoba z art. 83 RODO może zostać nałożona na osobę odpowiedzialną będącą osobą prawną, gdyż kwestię tę jednoznacznie regulują art. 58 ust. 2 i art. 83 ust. 1–6 RODO.
54 Pojęcie to ma znaczenie jedynie dla ustalenia wysokości kary pieniężnej nałożonej na administratora zgodnie z art. 83 ust. 4–6 RODO.
55 Jak zauważył rzecznik generalny w pkt 45 swojej opinii, powołanie się w motywie 150 RODO na pojęcie „przedsiębiorstwa” w rozumieniu art. 101 i 102 TFUE oznacza w tym konkretnym kontekście obliczenie grzywien mających zastosowanie do Artykuły 101 i 102 TFUE. 83 Należy przez to rozumieć ust. 4 do 6 RODO.
56 Pod pojęciem przedsiębiorstwa do celów stosowania reguł konkurencji przewidzianych w art. 101 i 102 TFUE rozumie się każdy podmiot prowadzący działalność gospodarczą, niezależnie od jego formy prawnej i sposobu finansowania. Oznacza zatem jednostkę gospodarczą, nawet jeżeli z prawnego punktu widzenia składa się ona z kilku osób fizycznych lub prawnych. Na tę jednostkę gospodarczą składa się jednolita organizacja zasobów osobistych, materialnych i niematerialnych, która realizuje w sposób trwały określony cel gospodarczy (wyrok z dnia 6 października 2021 r., Sumal, C-882/19, EU:C:2021:800, pkt 41 i cytowane tam orzecznictwo).
57 Z art. 83 ust. 4–6 RODO, który dotyczy naliczania kar pieniężnych za naruszenia wymienione w tych ustępach, wynika, że jeżeli adresatem kary jest przedsiębiorstwo w rozumieniu art. 101 i 102 TFUE lub jedną z takich, maksymalną kwotę grzywny oblicza się na podstawie odsetka całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego danego przedsiębiorstwa.
58 Ostatecznie, jak wskazał rzecznik generalny w pkt 47 swojej opinii, jedynie grzywna, której wysokość może zostać ustalona przez organ nadzorczy na podstawie faktycznej lub materialnej zdolności adresata, posługując się pojęciem jedności gospodarczej w ramach znaczenie paragrafu 56 niniejszego wyroku Przytoczone powyżej orzecznictwo spełnia trzy wymogi określone w art. 83 ust. 1 RODO, a mianowicie skuteczność i proporcjonalność oraz charakter odstraszający.
59 Jeżeli zatem organ nadzorczy, w oparciu o swoje uprawnienia wynikające z art. 58 ust. 2 RODO, podejmie decyzję o nałożeniu kary pieniężnej zgodnie z art. 83 RODO na administratora będącego lub stanowiącego część przedsiębiorstwa w rozumieniu art. 101 i 102 TFUE 83 w świetle motywu 150 RODO ma obowiązek posługiwać się pojęciem „przedsiębiorca” w rozumieniu art. 101 i 102 TFUE przy obliczaniu kar finansowych za naruszenia, o których mowa w art. 83 ust. 4–6 RODO należy traktować jako podstawę.
60 W świetle powyższego na pytanie pierwsze należy odpowiedzieć, że art. 58 ust. 2 lit. i) oraz art. 83 ust. 1–6 RODO należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu nakładającemu karę pieniężną za przestępstwo, o którym mowa w art.83 ust.4-6 RODO, na osobę prawną występującą w charakterze administratora można nałożyć jedynie wówczas, gdy naruszenie to zostało wcześniej przypisane zidentyfikowanej osobie fizycznej.
Na drugie pytanie
61 Poprzez pytanie drugie, zadane na wypadek udzielenia odpowiedzi twierdzącej na pytanie pierwsze, sąd odsyłający zmierza w istocie do ustalenia, czy art. 83 RODO należy interpretować w ten sposób, że zgodnie z tym przepisem kara grzywny może zostać nałożony, jeżeli zostanie udowodnione, że osoba odpowiedzialna będąca osobą prawną i jednocześnie spółką dopuściła się naruszenia, o którym mowa w art. 83 ust. 4-6 RODO umyślnie lub przez niedbalstwo.
62 W tym względzie należy zauważyć, że zgodnie z art. 83 ust. 1 RODO kary muszą być skuteczne, proporcjonalne i odstraszające. Natomiast art. 83 RODO nie zawiera wyraźnego wyjaśnienia, że naruszenia, o których mowa w ust. 4–6, mogą być karane taką karą jedynie wówczas, gdy zostały popełnione umyślnie lub co najmniej przez zaniedbanie.
63 Rządy Niemiec, Estonii, Norwegii i Rada Unii Europejskiej wywodzą z tego m.in. że ustawodawca Unii chciał pozostawić państwom członkowskim pewien margines swobody przy wdrażaniu art. 83 RODO, umożliwiając im w stosownych przypadkach nałożenie kar finansowych zgodnie z tym przepisem, bez przedstawienia dowodu, że naruszenie karalne przez tę karę, RODO zostało popełnione umyślnie lub przez zaniedbanie.
64 Nie można przyjąć takiej wykładni art. 83 RODO.
65 Jak wskazano w pkt 45 i 48 niniejszego wyroku, przesłanki materialne, które organ nadzorczy musi wziąć pod uwagę przy nałożeniu grzywny na osobę odpowiedzialną, podlegają wyłącznie prawu Unii. Wymogi te są precyzyjnie określone w art. 83 ust. 1-6 RODO i nie pozostawiają żadnej swobody państwom członkowskim (zob. także wyrok z 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C :2023:XXX, pkt 64–70).
66 W odniesieniu do tych wymogów należy zauważyć, że art. 83 ust. 2 RODO wymienia kryteria, które organ nadzorczy bierze pod uwagę przy nakładaniu kary pieniężnej na osobę odpowiedzialną. Zgodnie z lit. b) tego przepisu kryteria te obejmują „umyślny lub wynikający z zaniedbania charakter naruszenia”. Natomiast żadne z kryteriów wymienionych w tym przepisie nie wskazuje na możliwość pociągnięcia odpowiedzialnego do odpowiedzialności niezależnie od jego winy.
67 Ponadto akapit drugi art. 83 RODO należy czytać w związku z jego akapitem trzecim, który określa konsekwencje kumulacji naruszeń RODO i brzmi następująco: „Jeżeli administrator lub podmiot przetwarzający naruszy to samo lub jeżeli powiązane ze sobą operacje przetwarzania umyślnie lub w wyniku zaniedbania naruszają kilka przepisów niniejszego rozporządzenia, łączna kwota kary nie może przekroczyć kwoty za najpoważniejsze naruszenie.”
68 Z brzmienia art.83 ust.2 RODO wynika, że jedynie naruszenia przepisów RODO zawinione są przez administratora, tj. H. dopuścił się umyślnie lub przez zaniedbanie, może skutkować nałożeniem na niego grzywny na mocy niniejszego artykułu.
69 Ogólny system i cel RODO potwierdzają tę interpretację.
70 Po pierwsze, prawodawca Unii przewidział system sankcji, który umożliwia organom nadzorczym nałożenie najwłaściwszej sankcji w zależności od okoliczności każdego indywidualnego przypadku.
71 Art. 58 ust. 2 lit. i) RODO stanowi, że organom nadzorczym przysługuje uprawnienie do nałożenia kary pieniężnej zgodnie z art. 83 RODO „w uzupełnieniu lub zamiast” innych uprawnień zaradczych, o których mowa w art. 58 ust. ), takie jak uprawnienie do wydawania ostrzeżeń, ostrzeżeń lub instrukcji. Podobnie motyw 148 tego rozporządzenia stanowi w szczególności, że w przypadku drobnego naruszenia lub gdy prawdopodobna kara nakładałaby na osobę fizyczną nieproporcjonalne obciążenie, organy nadzorcze mogą powstrzymać się od nałożenia kary i w zamian nałożyć upomnienie nadany.
72 Po drugie, jak wskazano w pkt 50 niniejszego wyroku, przepisy RODO mają m.in. cele polegające na zapewnieniu jednolitego i wysokiego poziomu ochrony danych osób fizycznych w całej Unii podczas przetwarzania danych osobowych oraz w tym celu zapewnienie, aby zasady chroniące podstawowe prawa i wolności tych osób były stosowane w sposób jednolity i jednolity w całej Unii, gdy przetwarzanie takich danych. Aby zapewnić spójne stosowanie RODO, organy nadzorcze muszą mieć także równe uprawnienia w zakresie monitorowania i zapewnienia przestrzegania zasad ochrony danych osobowych, aby móc nakładać takie same sankcje w przypadku naruszeń RODO.
73 System sankcji umożliwiający nałożenie kary zgodnie z Art. 83 RODO, jeżeli uzasadniają to szczególne okoliczności konkretnego przypadku, stanowi zachętę dla administratorów i podmiotów przetwarzających do przestrzegania RODO. Kary pieniężne, poprzez swój efekt odstraszający, przyczyniają się do większej ochrony osób fizycznych podczas przetwarzania danych osobowych. Stanowią zatem kluczowy element zapewniający poszanowanie praw tych osób i są spójne z celem RODO, jakim jest zapewnienie wysokiego poziomu ochrony takich osób podczas przetwarzania danych osobowych.
74 Jednakże prawodawca Unii nie uznał za konieczne, aby w celu zapewnienia tak wysokiego poziomu ochrony przewidzieć nakładanie grzywien niezależnie od winy. Biorąc pod uwagę, że RODO ma na celu zapewnienie równoważnego i jednolitego poziomu ochrony i w tym celu musi być stosowane jednolicie w całej Unii, zezwolenie państwom członkowskim na zapewnienie takiego systemu nakładania grzywny byłoby sprzeczne z tym celem zgodnie z art. 83 RODO. Taka swoboda wyboru prawdopodobnie zakłóciłaby również konkurencję między podmiotami gospodarczymi w Unii, co miałoby między innymi miejsce w przypadku prawodawcy Unii. byłoby sprzeczne z celami określonymi w motywach 9 i 13 RODO.
75 Należy zatem stwierdzić, że art. 83 RODO nie pozwala na nałożenie grzywny za naruszenie, o którym mowa w art. 83 ust. 4–6, bez wykazania, że naruszenie to zostało popełnione umyślnie lub przez zaniedbanie osoby odpowiedzialny. Zatem przesłanką nałożenia takiej kary jest zawinione naruszenie.
76 W tym kontekście, odnosząc się do kwestii, czy naruszenie zostało popełnione umyślnie czy przez zaniedbanie i w związku z tym może podlegać karze grzywny zgodnie z art. 83 RODO, należy wyjaśnić, że osoba odpowiedzialna za zachowanie mieszczące się w zakresie stosowania RODO może zostać ukarany, gdyby nie mógł mieć pewności co do niezgodności z prawem swojego zachowania, niezależnie od tego, czy miał świadomość, że narusza ono przepisy RODO (patrz odpowiednie wyroki z 18 czerwca 2013 r., Schenker & Co. i in., C-681/11, EU:C:2013:404, pkt 37 i przytoczone tam orzecznictwo, z 25 marca 2021 r., Lundbeck/Komisja, C-591/16 P, EU:C: 2021:243, pkt 156 oraz z dnia 25 marca 2021 r., Arrow Group i Arrow Generics/Komisja, C‑601/16 P, EU:C:2021:244, pkt 97).
77 Jeżeli administratorem jest osoba prawna, należy także wyjaśnić, że stosowanie art. 83 RODO nie wymaga żadnych działań ani nawet wiedzy ze strony organu zarządzającego tej osoby prawnej (patrz odpowiednio wyroki z 7 czerwca , 1983, Musique Diffusion française i in./Komisja, 100/80–103/80, EU:C:1983:158, pkt 97 oraz z dnia 16 lutego 2017 r., Tudapetrol Mineralölerzeuge Nils Hansen/Komisja, C‑94/15 P, EU:C:2017:124, pkt 28 i przytoczone tam orzecznictwo).
78 W świetle powyższego na pytanie drugie należy odpowiedzieć, że art. 83 RODO należy interpretować w ten sposób, że zgodnie z tym przepisem kara pieniężna może zostać nałożona jedynie w przypadku wykazania, że administrator, będący zarówno osoba prawna i przedsiębiorca dopuściła się umyślnie lub przez zaniedbanie naruszenia, o którym mowa w art. 83 ust. 4-6 RODO.
Koszt
79 Dla stron w postępowaniu głównym postępowanie stanowi część postępowania toczącego się przed sądem odsyłającym; Sąd ten jest odpowiedzialny za decyzje dotyczące kosztów. Wydatki poniesione przez inne strony w związku z przedstawieniem uwag Trybunałowi nie podlegają zwrotowi.
Z tych powodów Trybunał Sprawiedliwości (wielka izba) orzekł, co następuje:
1. Art. 58 ust. 2 lit. i) oraz art. 83 ust. 1–6 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzania danych osobowych, swobodnego przepływu danych i uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
należy interpretować w następujący sposób:
są sprzeczne z przepisem krajowym, zgodnie z którym karę pieniężną za naruszenie, o którym mowa w art. 83 ust. 4–6 RODO, można nałożyć na osobę prawną pełniącą funkcję administratora tylko wtedy, gdy naruszenie to zostało wcześniej przypisane zidentyfikowanej osobie fizycznej.
2. Art. 83 rozporządzenia 2016/679
należy interpretować w ten sposób
Zgodnie z tym przepisem kara może zostać nałożona jedynie w przypadku wykazania, że administrator będący jednocześnie osobą prawną i spółką dopuścił się naruszenia, o którym mowa w art. 83 ust. 4-6 RODO umyślnie lub przez niedbalstwo.
