Επιβολή προστίμου μόνο για υπαίτιες παραβάσεις του GDPR (ΔΕΕ)

Σύμφωνα με τις Αποφάσεις του Δικαστηρίου της ΕΕ στις 5/12/2023 στις υποθέσεις C-683/21 (Nacionalinis visuomenės sveikatos centras) και C-807/21 (Deutsche Wohnen), διοικητικό πρόστιμο μπορεί να επιβληθεί μόνο για υπαίτιες παραβάσεις του Γενικού Κανονισμού για την Προστασία Δεδομένων.

Όταν ο αποδέκτης του διοικητικού προστίμου ανήκει σε όμιλο εταιριών, το πρόστιμο πρέπει να υπολογίζεται με βάση τον κύκλο εργασιών του ομίλου. 

Το Δικαστήριο διευκρινίζει τις προϋποθέσεις επιβολής διοικητικών προστίμων, εκ μέρους των εθνικών εποπτικών αρχών, σε έναν ή περισσότερους υπευθύνους επεξεργασίας λόγω παράβασης του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ). Ειδικότερα, το Δικαστήριο κρίνει ότι προϋπόθεση για την επιβολή διοικητικού προστίμου είναι η υπαίτια συμπεριφορά, δηλαδή η παράβαση να έχει διαπραχθεί εκ προθέσεως ή εξ αμελείας. Επιπλέον, όταν ο αποδέκτης του προστίμου ανήκει σε όμιλο εταιριών, ο υπολογισμός του προστίμου πρέπει να γίνεται βάσει του κύκλου εργασιών ολόκληρου του ομίλου.

Ένα λιθουανικό και ένα γερμανικό δικαστήριο ζήτησαν από το Δικαστήριο να ερμηνεύσει τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ) [1] όσον αφορά τη δυνατότητα των εθνικών εποπτικών αρχών να επιβάλλουν κυρώσεις για παραβάσεις του κανονισμού αυτού μέσω της επιβολής διοικητικού προστίμου στον υπεύθυνο της επεξεργασίας των δεδομένων. 

Στη λιθουανική υπόθεση, το Εθνικό Κέντρο Δημόσιας Υγείας που υπάγεται στο Υπουργείο Υγείας προσβάλλει πρόστιμο 12 000 ευρώ το οποίο του επιβλήθηκε στο πλαίσιο της δημιουργίας, με τη βοήθεια ιδιωτικής επιχείρησης, εφαρμογής για συσκευές κινητής τηλεφωνίας με σκοπό την καταγραφή και την παρακολούθηση των δεδομένων των προσώπων που είχαν εκτεθεί στον Covid-19. 

Στη γερμανική υπόθεση, η εταιρία ακινήτων Deutsche Wohnen, η οποία κατέχει έμμεσα περίπου 163000 αστικά και 3000 εμπορικά ακίνητα, προσβάλλει, μεταξύ άλλων, πρόστιμο ποσού άνω των 14 εκατομμυρίων ευρώ που της επιβλήθηκε επειδή διατηρούσε τα δεδομένα προσωπικού χαρακτήρα των ενοικιαστών για περισσότερο χρόνο από τον αναγκαίο. 

Το Δικαστήριο κρίνει ότι επιβολή διοικητικού προστίμου στον υπεύθυνο της επεξεργασίας των δεδομένων, λόγω παράβασης του ΓΚΠΔ, είναι δυνατή μόνον εφόσον η παράβαση ήταν υπαίτια, δηλαδή διαπράχθηκε εκ προθέσεως ή εξ αμελείας. Αυτό συμβαίνει στην περίπτωση που ο υπεύθυνος της επεξεργασίας δεν μπορούσε να αγνοεί ότι η συμπεριφορά του συνιστά παράβαση, ανεξαρτήτως του αν είχε επίγνωση της παράβασης. Όταν ο υπεύθυνος της επεξεργασίας είναι νομικό πρόσωπο, δεν είναι αναγκαίο η παράβαση να έχει διαπραχθεί από το όργανο διαχείρισης ή εν γνώσει του. 

Αντιθέτως, τα νομικά πρόσωπα ευθύνονται όχι μόνον για παραβάσεις που διαπράττονται από τους εκπροσώπους τους, τους διευθυντές ή τους διαχειριστές τους, αλλά και για όσες διαπράττονται από οποιοδήποτε άλλο πρόσωπο ενεργεί στο πλαίσιο της επιχειρηματικής δραστηριότητάς τους και για λογαριασμό τους. 

Περαιτέρω, η επιβολή διοικητικού προστίμου σε νομικό πρόσωπο ως υπεύθυνο επεξεργασίας δεν μπορεί να εξαρτάται από την προηγούμενη διαπίστωση ότι η παράβαση διαπράχθηκε από ταυτοποιημένο φυσικό πρόσωπο. Επιπλέον, στον υπεύθυνο της επεξεργασίας μπορεί να επιβληθεί πρόστιμο και για πράξεις που έχουν πραγματοποιηθεί από εκτελούντα την επεξεργασία, εφόσον οι πράξεις αυτές μπορούν να καταλογιστούν στον υπεύθυνο της επεξεργασίας. 

Το Δικαστήριο διευκρινίζει ότι η από κοινού ευθύνη δύο ή περισσότερων οντοτήτων προκύπτει από το γεγονός και μόνο ότι περισσότερες από μία οντότητες συμμετείχαν στον καθορισμό των σκοπών και των μέσων της επεξεργασίας. Η ύπαρξη τυπικής συμφωνίας μεταξύ των εμπλεκόμενων οντοτήτων δεν αποτελεί προϋπόθεση για τον χαρακτηρισμό τους ως «από κοινού υπευθύνων». Αρκεί μια κοινή απόφασή τους, ή ακόμη και συγκλίνουσες αποφάσεις τους. 

Ωστόσο, εφόσον πρόκειται όντως για από κοινού υπευθύνους, πρέπει να καθορίζουν με μεταξύ τους συμφωνία τις αντίστοιχες υποχρεώσεις τους. Τέλος, για τον υπολογισμό του προστίμου όταν ο αποδέκτης του είναι επιχείρηση ή αποτελεί τμήμα επιχείρησης, η εποπτική αρχή πρέπει να στηριχθεί στην έννοια της «επιχείρησης» [2] σύμφωνα με το δίκαιο του ανταγωνισμού. Συνεπώς, ο υπολογισμός του ανώτατου ποσού του προστίμου πρέπει να γίνει με βάση ποσοστό του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους της συγκεκριμένης επιχείρησης, στο σύνολό της. (curia.europa.eu)

___________

1 Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων). 

2 Η έννοια αυτή καλύπτει κάθε φορέα ο οποίος ασκεί οικονομική δραστηριότητα, ανεξαρτήτως του νομικού καθεστώτος που τον διέπει και του τρόπου χρηματοδότησής του. Προσδιορίζει, επομένως, μια οικονομική ενότητα, έστω και αν, από νομικής απόψεως, αυτή αποτελείται από περισσότερα φυσικά ή νομικά πρόσωπα

Σχόλια

Top Legal Stories

Δέκα (10) θέσεις Ειδικού/ής επιστήμονα στο Πανεπιστήμιο Κύπρου για διδασκαλία μαθημάτων της Εκπαίδευσης Δοκίμων Αστυνομικών

Καταχρηστικές ρήτρες τραπεζών: Ανακοίνωση της Υπηρεσίας Προστασίας Καταναλωτή

Απορρίφθηκε η προδικαστική ένσταση της Δημοκρατίας στις προσφυγές για το Επενδυτικό Πρόγραμμα : Οι προσβαλλόμενες πράξεις δεν είναι κυβερνητικές

Άκυρο το πρόστιμο του ΠΔΣ κατά δικηγορικής εταιρείας σύμφωνα με απόφαση του Ανωτάτου Δικαστηρίου

Ο Δικηγόρος που άλλαξε φύλο δυο φορές. Από άνδρας έγινε γυναίκα και μετά πάλι άνδρας