TSUE o interpretacji pojęcia przedsiębiorcy w kontekście obliczania maksymalnej kary
Trybunał Sprawiedliwości UE wydał orzeczenie w bardzo ciekawej sprawie. Dotyczyła ona tego, czy organ nadzorczy nakładający administracyjną karę pieniężną powinien badać światowy obrót z poprzedniego roku obrotowego tylko wobec karanego administratora czy też patrzeć szerzej tj. na taki obrót całej grupy kapitałowej do, której częścią jest ten podmiot.
Mimo, że wniosek Sądu z Danii dotyczy postępowania karnego, gdyż kraj ten nie przewiduje administracyjnych kar pieniężnych to wyrok TSUE wskazuje na ważne elementy działania organów nadzorczych.
Stan faktyczny sprawy prezentuje się tak:
Spółce ILVA postawiono w postępowaniu przed duńskimi sądami zarzuty niewywiązania się w okresie od maja 2018 r. do stycznia 2019 r. z obowiązków, jakie spoczywały na niej jako na administratorze, wynikających z art. 5 ust. 1 lit. e), art. 5 ust. 2 i art. 6 RODO w odniesieniu do przechowywania danych osobowych dotyczących jej byłych klientów.
Spółka ILVA prowadzi sieć sklepów meblowych i wchodzi w skład Lars Larsen Group (zwanej dalej „Lars Larsen Group” lub „grupą”). Całkowity obrót grupy w roku obrotowym 2016/2017 wynosił 6,57 mld koron duńskich (DKK) (około 881 mln EUR). Obrót spółki ILVA, będącej spółką zależną, wyniósł 1,8 mld DKK (około 241 mln EUR).
Prokurator, działając na podstawie zalecenia Datatilsynet (urzędu ochrony danych, który jest duńskim organem ochrony danych, czyli „organem nadzorczym” w rozumieniu RODO), uznał za konieczne nałożenie grzywny w wysokości 1,5 mln DKK (około 201 000 EUR). Poziomem obrotów przyjętym jako ramy do obliczenia kwoty tej grzywny nie był obrót spółki ILVA, ale całkowity obrót całej grupy.
Wyrokiem z dnia 12 lutego 2021 r. Retten i Aarhus (sąd rejonowy w Aarhus, Dania) uznał spółkę ILVA za winną zarzucanych jej czynów, przy czym uznał, że – wbrew twierdzeniu prokuratora – działała ona nieumyślnie. Ów sąd nakazał spółce ILVA zapłatę grzywny w wysokości 100 000 DKK (około 13 400 EUR). Co więcej, zdaniem tego sądu, ponieważ zarzuty postawiono wyłącznie spółce ILVA, a nie całej grupie, przy obliczaniu wysokości grzywny nie zachodziła konieczność uwzględniania obrotu tej grupy. Zauważył też, że spółka ILVA prowadziła niezależną działalność w zakresie sprzedaży detalicznej, a grupa nie utworzyła spółki zależnej jedynie w celu powierzenia jej przetwarzania danych osobowych grupy.
Od tego wyroku prokurator wniósł środek odwoławczy do Vestre Landsret (sądu apelacyjnego regionu zachodniego, Dania), będącego sądem odsyłającym w niniejszej sprawie. Sąd ten dąży do ustalenia, czy pojęcie „przedsiębiorstwa” występujące w art. 83 ust. 4–6 RODO należy rozumieć w ten sposób, że aby ustalić wysokość grzywny [kary pieniężnej] w przypadku naruszenia przez spółkę RODO konieczne jest uwzględnienie obrotu grupy, do której należy spółka objęta postępowaniem.
Prokurator uważa, że tak właśnie jest. Twierdzi on, że z motywu 150 RODO wynika, że pojęcie to należy rozumieć zgodnie z art. 101 i 102 TFUE.
Z kolei spółka ILVA uważa, że przy ustalaniu grzywny [kary pieniężnej] za naruszenie RODO przez przedsiębiorstwo pod uwagę nie należy brać całkowitego obrotu grupy, do której należy spółka. W tej konkretnej sprawie zarzuty postawiono spółce ILVA, a więc spółce zależnej, a nie spółce dominującej.
1. Czy pojęcie „przedsiębiorstwa”, które zostało użyte w art. 83 ust. 4–6 ogólnego rozporządzenia o ochronie danych, należy traktować jako odnoszące się do przedsiębiorstwa w rozumieniu art. 101 i 102 TFUE w związku z motywem 150 tego rozporządzenia oraz orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej dotyczącego prawa konkurencji Unii, tak że pojęcie „przedsiębiorstwa” obejmuje każdy podmiot prowadzący działalność gospodarczą, niezależnie od jego statusu prawnego i sposobu jego finansowania?
2. Na wypadek udzielenia odpowiedzi twierdzącej na pytanie pierwsze – czy art. 83 ust. 4–6 ogólnego rozporządzenia o ochronie danych należy interpretować w ten sposób, że przy nakładaniu grzywny na przedsiębiorstwo pod uwagę należy brać całkowity roczny światowy obrót jednostki gospodarczej, do której należy to przedsiębiorstwo, czy też jedynie całkowity roczny światowy obrót samego tego przedsiębiorstwa? […]
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
O „obrocie” mowa wprost w art. 83 ust. 4–6 RODO w kontekście obliczania maksymalnej kwoty kary pieniężnej, którą można by nałożyć na spółki. Maksymalna kwota dotyczy bardzo dużych spółek, ponieważ limit ten nie ma zastosowania, gdy kara pieniężna jest niższa niż kwota bezwzględna podana w trzech wymienionych ustępach art. 83, a mianowicie 10 mln EUR lub 20 mln EUR. Pułap uzależniony od obrotu ma zatem znaczenie wyłącznie w przypadku spółek o całkowitym obrocie światowym przekraczającym 500 mln EUR(18).
Wynika z tego, że gdyby sąd odsyłający miał uznać, że spółka dominująca Lars Larsen Group wywiera decydujący wpływ na spółkę ILVA, wówczas w ujęciu abstrakcyjnym maksymalną kwotę grzywny, jaką można nałożyć w postępowaniu głównym, należy obliczyć na podstawie procenta całkowitego rocznego światowego obrotu w poprzednim roku obrotowym danego przedsiębiorstwa, a więc Lars Larsen Group (do której należy spółka ILVA).
Inaczej niż w przypadku art. 83 ust. 4–6 RODO (zob. pkt 34 niniejszej opinii), art. 83 ust. 2, art. 83 ust. 1 czy art. 83 ust. 3(22) tego rozporządzenia nie zawierają żadnego odniesienia do obrotu przedsiębiorstwa. Wynika z tego, że ustawodawca Unii podjął decyzję, aby nie czynić „obrotu” konkretnym czynnikiem branym pod uwagę przy ustalaniu faktycznej kary pieniężnej. Zamiast tego w art. 83 ust. 2 wymieniono inne czynniki(23) charakteryzujące zachowanie administratora lub podmiotu przetwarzającego, któremu zarzucono naruszenie, aby zapewnić, że każde naruszenie jest oceniane na podstawie wszystkich istotnych indywidualnych okoliczności. W mojej ocenie z powyższego można wywodzić, że prawodawca Unii dążył do dokonania rozróżnienia między czynnikami, które stanowią podstawę przy ustalaniu maksymalnej kwoty kary pieniężnej (krok 1), a wykazem wymogów wiążących organ nadzorczy przy ustalaniu faktycznej kary pieniężnej (krok 2).
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
Oprócz spełnienia tych trzech warunków art. 83 ust. 2 wymaga, aby właściwy organ nadzorczy, który zdecyduje, czy należy nałożyć administracyjną karę pieniężną i ustala jej kwotę, w każdym przypadku należycie uwzględnił szereg czynników.
27 Zgodnie z tym ostatnim przepisem elementy te obejmują w szczególności charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób, których dane dotyczą, rozmiar poniesionej przez nie szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte przez administratora danych osobowych lub podmiot przetwarzający te dane w celu złagodzenia poniesionej szkody, stopień odpowiedzialności tego administratora lub tego podmiotu przetwarzającego oraz kategorie danych osobowych, których dotyczyło naruszenie.
28 Wspomniane elementy charakteryzują albo zachowanie wspomnianego administratora lub wspomnianego podmiotu przetwarzającego, oskarżonego o naruszenie niektórych przepisów RODO, albo same te naruszenia. Służą one zatem zapewnieniu, że każde z tych naruszeń będzie oceniane na podstawie wszystkich istotnych okoliczności indywidualnych oraz że zostaną osiągnięte cele systemu kar przewidzianego w RODO.
29 Chociaż elementy te nie odnoszą się do pojęcia przedsiębiorstwa w rozumieniu art. 101 i 102 TFUE, to Trybunał orzekł już, że jedynie kara pieniężna, która uwzględnia nie tylko ogół elementów charakteryzujących w ten sposób stwierdzone naruszenia RODO, lecz również, w stosownych przypadkach, rzeczywistą lub materialną zdolność ekonomiczną jej adresata, może spełniać trzy warunki określone w art. 83 ust. 1 RODO, a mianowicie być zarazem skuteczna, proporcjonalna i odstraszająca. Przy ocenie tych warunków należy zaś wziąć pod uwagę, czy adresat ten stanowi część przedsiębiorstwa w rozumieniu art. 101 i 102 TFUE (zob. podobnie wyrok z dnia 5 grudnia 2023 r., Deutsche Wohnen, C‑807/21, EU:C:2023:950, pkt 58).
artykuł 83 ust. 4–6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), w świetle motywu 150 tego rozporządzenia, należy interpretować w ten sposób, że termin „przedsiębiorstwo” zawarty w tych przepisach odpowiada pojęciu „przedsiębiorstwa” w rozumieniu art. 101 i 102 TFUE, w związku z czym w przypadku nałożenia kary pieniężnej za naruszenie rozporządzenia 2016/679 na administratora danych osobowych, który jest przedsiębiorstwem lub jego częścią, maksymalna kwota kary pieniężnej zostaje określona na podstawie odsetka całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego tego przedsiębiorstwa. Pojęcie „przedsiębiorstwa” należy również uwzględnić w celu dokonania oceny rzeczywistych lub materialnych możliwości ekonomicznych adresata kary pieniężnej i sprawdzenia w ten sposób, czy kara pieniężna jest zarazem skuteczna, proporcjonalna i odstraszająca.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.
