Súdny dvor EÚ spresnil pravidlá ukladania pokút podľa GDPR

 

Z aktuálnych rozhodnutí Súdneho dvora EÚ vo veciach C-683/21 a C-807/21 (obidva rozhodnutia z 5. decembra 2023) možno abstrahovať niekoľko pravidiel ukladania pokút dozornými orgánmi podľa článku 83 Všeobecného nariadenia o ochrane údajov (ďalej ako „GDPR“ alebo „Nariadenie“). Pre tento účel tiež súdny dvor vysvetlil pojem „spoloční prevádzkovatelia“ a poukázal na jeho znaky.

Najpodstatnejšie závery uvedených rozhodnutí sme zhrnuli nasledovne:

  1. Miera spoločnej zodpovednosti spoločných prevádzkovateľov môže byť rôzna, pretože subjekty sa môžu zapojiť do spracúvania údajov v rôznych fázach a stupňoch, preto mieru zodpovednosť treba posudzovať individuálne.
  2. Spoločným prevádzkovateľom môže byť aj ten subjekt, ktorý nemá prístup k spracúvaným osobným údajom. Prevádzkovateľom môže byť aj subjekt, ktorý sám nevykonáva spracovateľské operácie s údajmi, ale podieľal sa na určení účelov a prostriedkov spracúvania osobných údajov cez aktuálne vyvíjanú mobilnú aplikáciu.
  3. Medzi spoločnými prevádzkovateľmi nemusí existovať formálna dohoda o určení účelov a prostriedkov spracúvania osobných údajov. Takéto určenie môže byť aj neformálne, pozostávajúce z viacerých vzájomne sa dopĺňajúcich rozhodnutí dotknutých subjektov.
  4. Dohoda spoločných prevádzkovateľov podľa článku 26 ods. 1 GDPR o určení zodpovednosti a realizovaní práv dotknutých osôb nepredstavuje predpoklad toho, aby boli dva alebo viaceré subjekty kvalifikované ako spoloční prevádzkovatelia. Uvedená dohoda je povinnosťou spoločných prevádzkovateľov, ak už takto kvalifikovaní sú.
  5. Členské štáty môžu v súlade s článkom 83 a 84 GDPR spresniť procesné pravidlá ukladania sankcií za porušenie Nariadenia, nemôžu však vytvárať nové hmotnoprávne podmienky, ktorými by bo dozorný orgán členského štátu pri ukladaní pokút viazaný.
  6. Pre uloženie sankcie (pokuty) sa vyžaduje zavinenie prevádzkovateľa. Všeobecné nariadenie o ochrane údajov neumožňuje uložiť pokutu bez zavinenia povinného subjektu, pričom môže ísť tak o úmysel, ako aj o nedbanlivosť.
  7. Ak je prevádzkovateľom právnická osoba, nie je rozhodujúce, či sa porušenia GDPR dopustil vedúci zamestnanec alebo rádový zamestnanec. Zodpovednosť prevádzkovateľa za porušenie GDPR vznikne v obidvoch prípadoch.
  8. Prevádzkovateľ je zodpovedný nielen za každé spracúvanie osobných údajov, ktoré vykonáva sám, ale aj za spracúvanie, ktoré vykonáva v jeho mene sprostredkovateľ. Pokutu tak možno uložiť prevádzkovateľovi v súvislosti so spracovateľskými operáciami, ktoré v jeho mene vykonal sprostredkovateľ, okrem prípadov, keď sprostredkovateľ vykonal spracúvanie na svoje vlastné účely alebo spracúval tieto údaje spôsobom nezlučiteľným s pokynmi prevádzkovateľa (v takom prípade sa sprostredkovateľ považuje za prevádzkovateľa).
  9. Ak je sankcionovaný subjekt súčasťou skupiny podnikov, výška pokuty sa vypočíta na základe obratu celej skupiny.