Особисті дані. Суд ЄС постановив рішення про накладення адміністративно-фінансових санкцій на юридичну особу

5 грудня 2023 року Суд Європейського Союзу виніс рішення у справі C-807/21, Deutsche Wohnen SE проти Staatsanwaltschaft Berlin , щодо тлумачення статті 83, пункти 4-6, Регламенту (ЄС) 2016/679. Європейського Парламенту та Ради від 27 квітня 2016 року щодо захисту фізичних осіб щодо обробки персональних даних, а також вільного переміщення таких даних та скасування Директиви 95/46/ЄС ( Загальний захист даних Регламент , GDPR) [1] . Цю заяву було подано в контексті спору між Deutsche Wohnen SE (DW) і Staatsanwaltschaft Berlin (прокуратурою Берліна) щодо грошового адміністративного штрафу, накладеного останньою.

Також читайте:

Особисті дані. Суд ЄС підтвердив право зацікавіленої особи на ефективний засіб судового захисту проти наглядового органу

Особисті дані. Суд ЄС прийняв рішення щодо можливого звільнення від відповідальності контролера даних у випадку порушення прав третіми особами

Особисті дані. Суд ЄС прийняв рішення щодо кваліфікації "контролером даних" офіційного журналу держави-члена

Особисті дані. Суд щодо діяльності, яка не підпадає до сфери дії GDPR та права ЄС

Це факти.

У рамках перевірки на місці Berliner Beauftragte für den Datenschutz (Берлінський наглядовий орган) звернув увагу DW на той факт, що компанії його групи [2] зберігали документи, що містять персональні дані орендарів, в системі електронного архівування, яка не дозволяють нам перевірити, чи було необхідне збереження, і переконатися, що непотрібні дані було видалено. У результаті наглядовий орган попросив DW видалити ці документи зі своєї електронної системи реєстрації до кінця 2017 року. Оголосивши, що видалення неможливе з технічних і юридичних причин, DW поінформував цей орган про свій намір створити нову систему архівування замість тієї, що містила вищезгадані документи. Однак 30 жовтня 2019 року останній наклав на DW кілька фінансових санкцій за те, що в період з 25 травня 2018 року по 5 березня 2019 року він навмисно не вжив необхідних заходів, щоб дозволити регулярне видалення персональних даних, що стосуються орендарів, які більше не потрібні або які з інших причин неправильно зберігалися.

Тому DW звернувся до Landgericht Berlin (Берлінський земельний суд), який закрив провадження, вважаючи, що рішення наглядового органу вплинуло на такі серйозні недоліки, що воно не могло бути підставою для застосування фінансового штрафу. Тому прокуратура Берліна звернулася до Kammergericht Berlin (Вищий суд землі Берлін; «передаючий суддя»), який, у світлі необхідності тлумачення відповідного європейського законодавства з цього питання, вирішив призупинити провадження та подати два питання до Суду ЄС для попереднього рішення .

У першому питанні суд запитав, чи слід тлумачити пункт 2 [3] статті 58 і пункти 1-6 [4] статті 83 GDPR так, що вони виключають національне законодавство, згідно з яким може бути накладено грошовий адміністративний штраф. бути покладено на юридичну особу, як контролера даних, за порушення, згадане в параграфах 4-6 цієї статті 83, лише за умови, що воно було раніше приписано ідентифікованій фізичній особі.

Суд попередньо нагадав, що законодавець Союзу не проводив різниці між фізичними та юридичними особами для цілей визначення відповідальності відповідно до GDPR; останній, по суті, підпорядковується єдиній умові, що вони самостійно або разом з іншими визначають цілі та інструменти обробки персональних даних. Отже, будь-яка особа, яка виконує цю умову, незалежно від того, чи є вона фізичною чи юридичною особою, державним органом, службою чи іншим органом, несе відповідальність, зокрема, за будь-яке порушення, зазначене у статті 83, пункти 4-6, GDPR, вчинені ним або від його імені.

Що стосується юридичних осіб, то, з одного боку, це означає, що останні несуть відповідальність не лише за порушення, вчинені їхніми представниками, менеджерами чи адміністраторами, а й будь-якою іншою особою, яка діє в межах їх комерційної діяльності та від їх імені. і, з іншого боку, що адміністративні грошові санкції, передбачені статтею 83 GDPR, повинні мати можливість накладатися безпосередньо на юридичних осіб, якщо їх можна кваліфікувати як контролерів даних відповідної обробки. Грошова адміністративна санкція за порушення, згадане в статті 83, параграфи 4-6, GDPR, таким чином, також може бути накладена на юридичних осіб, якщо вони мають статус контролерів даних, тоді як, з іншого боку, положення цього не передбачено. Положення дозволяє нам вважати, що накладення грошового адміністративного стягнення на юридичну особу, як на розпорядника даних, залежить від попереднього встановлення того, що відповідне порушення було вчинене ідентифікованою фізичною особою.

У другому запитанні , однак, суддя запитав, чи слід тлумачити статтю 83 GDPR у тому сенсі, що грошова адміністративна санкція може бути накладена відповідно до цього положення, лише якщо буде встановлено, що контролер даних, який одночасно є юридичним і особа і підприємство вчинили умисно або з необережності порушення, передбачене частинами четвертою - шостою цієї статті.

Суд попередньо нагадав, що суттєві умови, яких наглядовий орган повинен дотримуватися при накладенні грошової адміністративної санкції на контролера даних, підпадають виключно під законодавство Союзу та встановлюються, з точністю та без надання державам-членам будь-якої свободи розсуду, у статті 83 Конвенції. GDPR [5] . Зокрема, серед елементів, на підставі яких контролюючий орган застосовує до розпорядника персональних даних грошові адміністративні санкції, входить, зокрема, умисний або необережний характер порушення, тоді як можливість вважати розпорядника персональних даних відповідальним за відсутність його винна поведінка. Отже, лише порушення положень GDPR, вчинені протиправно контролером даних, тобто вчинені з умислом або необережністю, можуть призвести до накладення на останнього грошових адміністративних санкцій відповідно до статті 83.

У зв’язку з цим контролер даних може бути покараний за поведінку, що підпадає під сферу застосування GDPR, якщо він не міг не знати про незаконний характер своєї поведінки, незалежно від того, чи він усвідомлював порушення положень регламенту [6 ] . Крім того, коли контролер даних є юридичною особою, застосування статті 83 GDPR не передбачає дії або принаймні обізнаності з боку органу управління останнього [7] .

Зважаючи на все це, Суд постановив, що:

«Стаття 58(2)(i) та стаття 83(1)–(6) Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист осіб фізичних осіб щодо обробка персональних даних, а також вільний рух таких даних і скасування Директиви 95/46/EC (Загальний регламент захисту даних) повинні тлумачитися як такі, що перешкоджають національному законодавству, відповідно до якого грошові адміністративні штрафи можуть бути накладені на законних особа, як контролер даних, за порушення, згадане в пунктах 4-6 цієї статті 83, лише за умови, що таке порушення було раніше приписано ідентифікованій фізичній особі.

Статтю 83 Регламенту 2016/679 слід тлумачити так, що грошовий адміністративний штраф може бути накладено згідно з цим положенням лише у випадку, якщо встановлено, що контролер, який є одночасно юридичною особою та підприємством, вчинив, навмисно чи з необережності, порушення, передбачене частинами четвертою - шостою цієї статті».

Джерело статті тут.

[1] GUUE L 119 від 04.05.2016.

[2] DW є зареєстрованою компанією з нерухомості, зареєстрованою в Берліні, яка опосередковано володіє кількома житловими та комерційними одиницями через пакет акцій різних компаній. Власниками цих підрозділів є дочірні компанії DW, які керують операційною діяльністю, тоді як діяльність DW зосереджена на загальному управлінні групою, яку вона створює разом із ними. Компанії-власники здають в оренду комерційні та житлові приміщення, управління якими забезпечують інші компанії цієї групи (так звані «сервісні компанії»).

[3] Стаття 58 GDPR під назвою «Повноваження» в пункті 2 пункту i) передбачає: « ...Кожен наглядовий орган має всі наступні повноваження:

(…)

i) накласти грошове адміністративне стягнення відповідно до статті 83 на додаток до заходів, зазначених у цьому пункті, або замість таких заходів, залежно від обставин кожного окремого випадку… » .

[4] Стаття 83 GDPR під назвою «Загальні умови накладення грошових адміністративних санкцій» у пунктах 1-6 передбачає: « … Кожен наглядовий орган забезпечує, щоб грошові адміністративні санкції, накладені відповідно до цієї статті у зв’язку з порушеннями цього Регламенту, зазначені в пунктах 4, 5 і 6 є в кожному окремому випадку ефективними, пропорційними та переконливими.

Адміністративні грошові санкції накладаються, залежно від обставин кожного окремого випадку, на додаток до заходів, зазначених у статті 58(2), букви (a) - (h) та (j), або замість таких заходів. При вирішенні питання про накладення грошового адміністративного стягнення та встановленні його розміру в кожному окремому випадку враховуються такі елементи:

a) характер, серйозність і тривалість порушення, враховуючи характер, об’єкт або мету відповідної обробки, а також кількість суб’єктів даних, які постраждали від збитків, і рівень завданих ними збитків;

б) умисний чи необережний характер порушення;

c) заходи, вжиті контролером або обробником даних для пом’якшення збитків, яких зазнали зацікавлені сторони;

d) ступінь відповідальності контролера даних або обробника даних, враховуючи технічні та організаційні заходи, вжиті ними відповідно до статей 25 і 32;

e) будь-які попередні відповідні порушення, вчинені контролером або обробником даних;

f) ступінь співпраці з наглядовим органом з метою усунення порушення та пом’якшення його можливих негативних наслідків;

g) категорії персональних даних, на які вплинуло порушення;

(h) спосіб, у який наглядовий орган дізнався про порушення, зокрема, чи повідомив контролер або обробник про порушення та в якій мірі;

(i) якщо заходи, зазначені в частині 2 статті 58, раніше були призначені проти відповідного контролера даних або обробника даних стосовно того самого об’єкта, дотримання цих заходів;

j) дотримання кодексів поведінки, затверджених відповідно до статті 40, або механізмів сертифікації, затверджених відповідно до статті 42; І

k) будь-які інші обтяжуючі або пом'якшувальні фактори, що стосуються обставин справи, наприклад, отримані фінансові вигоди або уникнення збитків, прямо чи опосередковано, в результаті порушення.

Якщо у зв’язку з тією самою обробкою або пов’язаною обробкою контролер даних або обробник даних порушує, умисно чи з необережності, різні положення цього Регламенту, загальна сума грошового адміністративного стягнення не перевищує суми, зазначеної за порушення, більше серйозний.

Відповідно до параграфа 2 порушення наступних положень підлягають адміністративним штрафам у розмірі до 10 000 000 євро, або для підприємств — до 2 % від загального річного світового обороту за попередній фінансовий рік, залежно від того, що є вищим:

a) зобов’язання контролера даних та обробника даних відповідно до статей 8, 11, 25–39, 42 та 43;

(b) зобов’язання органу сертифікації відповідно до статей 42 і 43;

(c) зобов’язання контролюючого органу згідно зі статтею 41(4).

Відповідно до параграфа 2, порушення наступних положень підлягають адміністративним штрафам у розмірі до 20 000 000 євро, або для підприємств, до 4% від загального річного світового обороту за попередній фінансовий рік, залежно від того, що є вищим:

a) основні принципи обробки, включаючи умови, що стосуються згоди, відповідно до статей 5, 6, 7 і 9;

b) права зацікавлених сторін відповідно до статей 12-22;

(c) передачі персональних даних одержувачу в третій країні або міжнародній організації відповідно до статей 44-49;

(d) будь-які зобов’язання згідно із законодавством держав-членів, прийнятим відповідно до Розділу IX;

e) невиконання наказу, тимчасового чи остаточного обмеження обробки або наказу про призупинення потоків даних від наглядового органу відповідно до статті 58, параграф 2, або відмова в доступі в порушення статті 58(1).

Відповідно до частини 2 цієї статті, невиконання розпорядження наглядового органу, зазначеного в частині 2 статті 58, підлягає адміністративним штрафам у розмірі до 20 000 000 євро, або для підприємств – до 4% від загальний річний світовий оборот за попередній фінансовий рік, якщо він вищий... ».

[5] CGUE 0512.2023, Causa C-683/21, Національний центр громадського здоров’я , пункти 64-70.

[6] CJEU 25.03.2021, Справа C-601/16 P, Arrow Group і Arrow Generics проти Комісії , пункт 97; CJEU 25.03.2021, Справа C‑591/16 P, Lundbeck проти Комісії , пункт 156; CJEU 18.06.2013, Справа C-681/11, Schenker & Co. та інші. , пункт 37.

[7] CJEU 16.02.2017, справа C-94/15 P, Tudapetrol Mineralölerzeugnisse Nils Hansen проти Комісії , пункт 28; CJEU 06.07.1983, Об’єднані справи 100/80 до 103/80, Musique Diffusion française та інші проти Комісії , пункт 97.