TSUE: jedynie zawinione naruszenie RODO może prowadzić do nałożenia administracyjnej kary pieniężnej

W najnowszym orzeczeniu TSUE możemy odnaleźć dwie istotne dla administratorów danych tezy.

Pierwsza z nich dotyczy możliwości nałożenia administracyjnej kary pieniężnej za naruszenie RODO tylko wtedy, gdy naruszenie to zostało popełnione w sposób zawiniony, to znaczy umyślnie lub nieumyślnie. 

Druga odnosi się do sytuacji, w której administratorem jest osoba prawna, nie jest konieczne, aby naruszenie zostało popełnione przez jej organ zarządzający lub aby organ ten posiadał o nim wiedzę.

Powyższe stanowisko TSUE jest odpowiedzią na dwa wnioski dotyczące pytań prejudycjalnych.

W sprawie litewskiej krajowe centrum zdrowia publicznego przy ministerstwie zdrowia zakwestionowało karę pieniężną w wysokości 12 000 EUR, którą nałożono na nie w związku z utworzeniem, dzięki wsparciu prywatnego przedsiębiorstwa, aplikacji mobilnej w celu rejestracji i monitorowania danych osób narażonych na COVID-19.

W tej sprawie spór kształtował się w okół pojęcia administratora danych.

W celu skutecznego zarządzania sytuacją wynikającą z rozprzestrzeniania się COVID-19 minister zdrowia Republiki Litewskiej, decyzją nr V-519 z dnia 24 marca 2020 r., polecił dyrektorowi Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (krajowego centrum zdrowia publicznego przy ministerstwie zdrowia; zwanego dalej „NVSC”) nabycie platformy informacyjnej (systemu informacyjnego) (zwanego dalej „aplikacją mobilną KARANTINAS” lub „aplikacją”) przeznaczonego do rejestracji i monitorowania danych dotyczących osób, które miały kontakt z osobami zakażonymi COVID-19.

Aplikacja mobilna KARANTINAS służyła do zbierania różnych informacji na temat jej użytkowników, takich jak numer ID, współrzędne szerokości i długości geograficznej, państwo, miasto, gmina, adres zamieszkania, imię, nazwisko, osobisty numer identyfikacyjny, numer telefonu, informacja o tym, czy osoba musi się poddać samoizolacji, informacja o tym, czy osoba jest zarejestrowana itp. Dane były zbierane nie tylko na Litwie, lecz także poza granicami tego kraju.

Przeprowadziwszy dochodzenie, Valstybinė duomenų apsaugos inspekcija (urząd ochrony danych osobowych; zwany dalej „urzędem”) nałożył, decyzją nr 3R-180 z dnia 24 lutego 2021 r., na NVSC i spółkę „IT sprendimai sėkmei” UAB, jako na współadministratorów, administracyjne kary pieniężne w związku z naruszeniami art. 5, 13, 24, 32 i 35 rozporządzenia (UE) 2016/679.

Urząd uznał, że dane osobowe były zbierane za pomocą aplikacji mobilnej KARANTINAS. Według spółki „IT sprendimai sėkmei” UAB dane osobowe za pośrednictwem aplikacji przekazało 3802 użytkowników.

Przedmiotem sporu między stronami jest przede wszystkim kwestia tego, czy zawarte w RODO pojęcie „administratora” należy interpretować szeroko, to znaczy w ten sposób, że oznacza ono, iż osobę, która jedynie ustala cele i sposoby przetwarzania danych, trzeba uznać za administratora danych osobowych, czy też to pojęcie należy interpretować węziej, z uwzględnieniem procedury organizacji zamówienia publicznego oraz jej wyniku. W niniejszej sprawie ustalono, że spółka „IT sprendimai sėkmei” UAB opracowała aplikację mobilną KARANTINAS, zaś udział NVSC, jako instytucji zamawiającej, sprowadzał się do przekazywania porad dotyczących treści informacji, które miały być zbierane. Niemniej jednak NVSC nie udzieliła zamówienia publicznego na sprzedaż produktu; nie podpisano też świadectwa przekazania i odbioru utworzonego produktu informatycznego i nie przeniesiono praw własności do aplikacji mobilnej KARANTINAS. Ponadto nic nie wskazuje na to, że udzielono oficjalnej zgody (oficjalnego pozwolenia) na udostępnienie aplikacji mobilnej w różnych sklepach internetowych (Google Play Store, App Store).

W sprawie niemieckiej spółka nieruchomościowa Deutsche Wohnen, która posiada pośrednio około 163 000 lokali mieszkalnych i 3 000 lokali użytkowych, zakwestionowała między innymi karę pieniężną w wysokości ponad 14 mln EUR, która została na nią nałożona za przechowywanie danych osobowych najemców dłużej niż było to konieczne.

Obwinione przedsiębiorstwo jest notowaną na giełdzie spółką działającą na rynku nieruchomości z siedzibą w Berlinie. Poprzez swoje udziały w innych podmiotach pośrednio posiada ono około 163 000 lokali mieszkalnych i 3000 lokali użytkowych. Właścicielami tych lokali są spółki zależne powiązane z obwinionym przedsiębiorstwem i należące do jednego koncernu, tzw. spółki holdingowe, które prowadzą działalność operacyjną. Działalność gospodarcza obwinionego przedsiębiorstwa jest skoncentrowana na zarządzaniu na szczeblu centralnym. Spółki holdingowe wynajmują lokale mieszkalne i użytkowe, które są zarządzane przez inne spółki z koncernu, tzw. spółki serwisowe.

W dniu 23 czerwca 2017 r., w ramach kontroli na miejscu, Berliner Beauftragte für den Datenschutz (berliński pełnomocnik ds. ochrony danych, zwany dalej „organem”) zwrócił uwagę obwinionego przedsiębiorstwa na fakt, że spółki należące do jego koncernu zapisywały dane osobowe najemców w elektronicznym systemie archiwizacji, w przypadku którego nie można było prześledzić, czy przechowywanie było konieczne, ani czy zapewniono usuwanie danych, które nie były już niezbędne. W konsekwencji organ zwrócił się do obwinionego przedsiębiorstwa o usunięcie dokumentów z elektronicznego systemu archiwizacji do końca 2017 r. Obwinione przedsiębiorstwo odmówiło, wskazując, że usunięcie danych nie jest możliwe z przyczyn technicznych i prawnych. W szczególności usunięcie dokumentów wymagałoby najpierw przeniesienia utrwalonych już archiwalnych danych do nowego systemu archiwizacji, który spełniałby ustawowe obowiązki w zakresie przechowywania dokumentów wynikające z prawa handlowego i podatkowego. W konsekwencji doszło do ustnej i pisemnej wymiany poglądów między obwinionym a organem w sprawie nakazu usunięcia.

W dniu 5 marca 2020 r. organ przeprowadził kontrolę w centrali koncernu tego przedsiębiorstwa, podczas której pobrano łącznie 16 losowych próbek z zasobu danych. Obwinione przedsiębiorstwo poinformowało organ, że zakwestionowany system archiwizacji został już wycofany z użytku i że migracja danych do nowego systemu nastąpi niebawem. W decyzji o wymierzeniu kary grzywny, wydanej w dniu 30 października 2020 r., zarzucono obwinionemu przedsiębiorstwu, że w okresie od 25 maja 2018 r. do 5 marca 2019 r. umyślnie nie podjęło niezbędnych środków w celu umożliwienia regularnego usuwania danych najemców, które nie były już potrzebne lub też były z innego powodu nieprawidłowo przechowywane. Ponadto zarzucono temu przedsiębiorstwu, że nadal przechowywało dane osobowe co najmniej 15 konkretnie wymienionych najemców, chociaż wiadomo było, że nie było to, względnie przestało być konieczne. Organ wymierzył grzywnę w wysokości 14 385 000 EUR za umyślne naruszenie art. 25 ust. 1, art. 5 ust. 1 lit. a), c) i e) ogólnego rozporządzenia o ochronie danych oraz 15 dalszych grzywien, z których każda wynosiła od 3000 do 17 000 euro – za naruszenie art. 6 ust. 1 ogólnego rozporządzenia o ochronie danych.

Decydujące znaczenie dla sporu prawnego ma to, czy postępowanie w sprawach zagrożonych karą grzywny może być prowadzone bezpośrednio przeciwko przedsiębiorstwu, czy też zgodnie z § 30 ust. 1 OWiG nałożenie grzywny na przedsiębiorstwo „biorące udział w postępowaniu” lub „będące uczestnikiem posiłkowym” wchodzi w grę tylko wtedy, gdy osoba fizyczna jako tzw. przedstawiciel popełniła konkretnie wskazany w decyzji o wymierzeniu grzywny „czyn powiązany”.

Przechodząc do orzeczenia TSUE. Trybunał wskazał, że:

w tym kontekście, odnosząc się do kwestii, czy naruszenie zostało popełnione umyślnie czy przez zaniedbanie i w związku z tym może podlegać karze grzywny zgodnie z art. 83 RODO, należy wyjaśnić, że osoba odpowiedzialna za zachowanie mieszczące się w zakresie stosowania RODO może zostać ukarany, gdyby nie mógł mieć pewności co do niezgodności z prawem swojego zachowania, niezależnie od tego, czy miał świadomość, że narusza ono przepisy RODO;

biorąc pod uwagę, że RODO ma na celu zapewnienie równoważnego i jednolitego poziomu ochrony i w tym celu musi być stosowane jednolicie w całej Unii, zezwolenie państwom członkowskim na zapewnienie takiego systemu nakładania grzywny byłoby sprzeczne z tym celem zgodnie z art. 83 RODO;

art. 83 rozporządzenia 2016/679 należy interpretować w ten sposób, że zgodnie z tym przepisem kara może zostać nałożona jedynie w przypadku wykazania, że ​​administrator będący jednocześnie osobą prawną i spółką dopuścił się naruszenia, o którym mowa w art. 83 ust. 4-6 RODO umyślnie lub przez niedbalstwo;

Nadto Trybunał wskazał, że:

zgodnie ze stwierdzeniami zawartymi w motywie 74 RODO ich odpowiedzialność rozciąga się na wszelkie przetwarzanie danych osobowych prowadzone przez nich lub w ich imieniu. W tym kontekście muszą nie tylko podjąć odpowiednie i skuteczne środki, ale muszą także być w stanie wykazać, że ich działania związane z przetwarzaniem są zgodne z RODO oraz że środki, które podjęli w celu zapewnienia tej zgodności, są również skuteczne. To właśnie ta odpowiedzialność w przypadku jednego z naruszeń, o których mowa w art. 83 ust. 4–6 RODO, stanowi podstawę do nałożenia na osobę odpowiedzialną kary pieniężnej zgodnie z art. 83 RODO;

Ponadto Trybunał orzekł już, że osobę fizyczną lub prawną, która we własnym interesie wpływa na przetwarzanie danych osobowych i w ten sposób uczestniczy w podejmowaniu decyzji o celach i środkach tego przetwarzania, można uznać za administratora danych;