Z aktuálnych rozhodnutí Súdneho dvora EÚ vo veciach C-683/21 a C-807/21 (obidva rozhodnutia z 5. decembra 2023) možno abstrahovať niekoľko pravidiel ukladania pokút dozornými orgánmi podľa článku 83 Všeobecného nariadenia o ochrane údajov (ďalej ako „GDPR“ alebo „Nariadenie“). Pre tento účel tiež súdny dvor vysvetlil pojem „spoloční prevádzkovatelia“ a poukázal na jeho znaky.
Najpodstatnejšie závery uvedených rozhodnutí sme zhrnuli nasledovne:
- Miera spoločnej zodpovednosti spoločných prevádzkovateľov môže byť rôzna, pretože subjekty sa môžu zapojiť do spracúvania údajov v rôznych fázach a stupňoch, preto mieru zodpovednosť treba posudzovať individuálne.
- Spoločným prevádzkovateľom môže byť aj ten subjekt, ktorý nemá prístup k spracúvaným osobným údajom. Prevádzkovateľom môže byť aj subjekt, ktorý sám nevykonáva spracovateľské operácie s údajmi, ale podieľal sa na určení účelov a prostriedkov spracúvania osobných údajov cez aktuálne vyvíjanú mobilnú aplikáciu.
- Medzi spoločnými prevádzkovateľmi nemusí existovať formálna dohoda o určení účelov a prostriedkov spracúvania osobných údajov. Takéto určenie môže byť aj neformálne, pozostávajúce z viacerých vzájomne sa dopĺňajúcich rozhodnutí dotknutých subjektov.
- Dohoda spoločných prevádzkovateľov podľa článku 26 ods. 1 GDPR o určení zodpovednosti a realizovaní práv dotknutých osôb nepredstavuje predpoklad toho, aby boli dva alebo viaceré subjekty kvalifikované ako spoloční prevádzkovatelia. Uvedená dohoda je povinnosťou spoločných prevádzkovateľov, ak už takto kvalifikovaní sú.
- Členské štáty môžu v súlade s článkom 83 a 84 GDPR spresniť procesné pravidlá ukladania sankcií za porušenie Nariadenia, nemôžu však vytvárať nové hmotnoprávne podmienky, ktorými by bo dozorný orgán členského štátu pri ukladaní pokút viazaný.
- Pre uloženie sankcie (pokuty) sa vyžaduje zavinenie prevádzkovateľa. Všeobecné nariadenie o ochrane údajov neumožňuje uložiť pokutu bez zavinenia povinného subjektu, pričom môže ísť tak o úmysel, ako aj o nedbanlivosť.
- Ak je prevádzkovateľom právnická osoba, nie je rozhodujúce, či sa porušenia GDPR dopustil vedúci zamestnanec alebo rádový zamestnanec. Zodpovednosť prevádzkovateľa za porušenie GDPR vznikne v obidvoch prípadoch.
- Prevádzkovateľ je zodpovedný nielen za každé spracúvanie osobných údajov, ktoré vykonáva sám, ale aj za spracúvanie, ktoré vykonáva v jeho mene sprostredkovateľ. Pokutu tak možno uložiť prevádzkovateľovi v súvislosti so spracovateľskými operáciami, ktoré v jeho mene vykonal sprostredkovateľ, okrem prípadov, keď sprostredkovateľ vykonal spracúvanie na svoje vlastné účely alebo spracúval tieto údaje spôsobom nezlučiteľným s pokynmi prevádzkovateľa (v takom prípade sa sprostredkovateľ považuje za prevádzkovateľa).
- Ak je sankcionovaný subjekt súčasťou skupiny podnikov, výška pokuty sa vypočíta na základe obratu celej skupiny.
