Το Δικαστήριο της Ευρωπαϊκής Ένωσης με τις αποφάσεις που εξέδωσε σήμερα στις υποθέσεις C-683/21 | Nacionalinis visuomenės sveikatos centras και C-807/21 | Deutsche Wohnen διευκρίνισε τις προϋποθέσεις επιβολής διοικητικών προστίμων, εκ μέρους των εθνικών εποπτικών αρχών, σε έναν ή περισσότερους υπευθύνους επεξεργασίας λόγω παράβασης του Γενικού Κανονισμού για την Προστασία Δεδομένων.
Ιστορικό
Ένα λιθουανικό και ένα γερμανικό δικαστήριο ζήτησαν από το Δικαστήριο να ερμηνεύσει τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ) όσον αφορά τη δυνατότητα των εθνικών εποπτικών αρχών να επιβάλλουν κυρώσεις για παραβάσεις του κανονισμού αυτού μέσω της επιβολής διοικητικού προστίμου στον υπεύθυνο της επεξεργασίας των δεδομένων.
Στη λιθουανική υπόθεση, το Εθνικό Κέντρο Δημόσιας Υγείας που υπάγεται στο Υπουργείο Υγείας προσβάλλει πρόστιμο 12.000 ευρώ το οποίο του επιβλήθηκε στο πλαίσιο της δημιουργίας, με τη βοήθεια ιδιωτικής επιχείρησης, εφαρμογής για συσκευές κινητής τηλεφωνίας με σκοπό την καταγραφή και την παρακολούθηση των δεδομένων των προσώπων που είχαν εκτεθεί στον Covid-19.
Στη γερμανική υπόθεση, η εταιρία ακινήτων Deutsche Wohnen, η οποία κατέχει έμμεσα περίπου 163.000 αστικά και 3.000 εμπορικά ακίνητα, προσβάλλει, μεταξύ άλλων, πρόστιμο ποσού άνω των 14 εκατομμυρίων ευρώ που της επιβλήθηκε επειδή διατηρούσε τα δεδομένα προσωπικού χαρακτήρα των ενοικιαστών για περισσότερο χρόνο από τον αναγκαίο.
Απόφαση ΔΕΕ
Το Δικαστήριο έκρινε ότι επιβολή διοικητικού προστίμου στον υπεύθυνο της επεξεργασίας των δεδομένων, λόγω παράβασης του ΓΚΠΔ, είναι δυνατή μόνον εφόσον η παράβαση ήταν υπαίτια, δηλαδή διαπράχθηκε εκ προθέσεως ή εξ αμελείας. Αυτό συμβαίνει στην περίπτωση που ο υπεύθυνος της επεξεργασίας δεν μπορούσε να αγνοεί ότι η συμπεριφορά του συνιστά παράβαση, ανεξαρτήτως του αν είχε επίγνωση της παράβασης.
Όταν ο υπεύθυνος της επεξεργασίας είναι νομικό πρόσωπο, δεν είναι αναγκαίο η παράβαση να έχει διαπραχθεί από το όργανο διαχείρισης ή εν γνώσει του. Αντιθέτως, τα νομικά πρόσωπα ευθύνονται όχι μόνον για παραβάσεις που διαπράττονται από τους εκπροσώπους τους, τους διευθυντές ή τους διαχειριστές τους, αλλά και για όσες διαπράττονται από οποιοδήποτε άλλο πρόσωπο ενεργεί στο πλαίσιο της επιχειρηματικής δραστηριότητάς τους και για λογαριασμό τους. Περαιτέρω, η επιβολή διοικητικού προστίμου σε νομικό πρόσωπο ως υπεύθυνο επεξεργασίας δεν μπορεί να εξαρτάται από την προηγούμενη διαπίστωση ότι η παράβαση διαπράχθηκε από ταυτοποιημένο φυσικό πρόσωπο.
Επιπλέον, στον υπεύθυνο της επεξεργασίας μπορεί να επιβληθεί πρόστιμο και για πράξεις που έχουν πραγματοποιηθεί από εκτελούντα την επεξεργασία, εφόσον οι πράξεις αυτές μπορούν να καταλογιστούν στον υπεύθυνο της επεξεργασίας.
Το Δικαστήριο διευκρίνισε επίσης ότι η από κοινού ευθύνη δύο ή περισσότερων οντοτήτων προκύπτει από το γεγονός και μόνο ότι περισσότερες από μία οντότητες συμμετείχαν στον καθορισμό των σκοπών και των μέσων της επεξεργασίας. Η ύπαρξη τυπικής συμφωνίας μεταξύ των εμπλεκόμενων οντοτήτων δεν αποτελεί προϋπόθεση για τον χαρακτηρισμό τους ως «από κοινού υπευθύνων». Αρκεί μια κοινή απόφασή τους, ή ακόμη και συγκλίνουσες αποφάσεις τους. Ωστόσο, εφόσον πρόκειται όντως για από κοινού υπευθύνους, πρέπει να καθορίζουν με μεταξύ τους συμφωνία τις αντίστοιχες υποχρεώσεις τους.
Τέλος, για τον υπολογισμό του προστίμου όταν ο αποδέκτης του είναι επιχείρηση ή αποτελεί τμήμα επιχείρησης, η εποπτική αρχή πρέπει να στηριχθεί στην έννοια της «επιχείρησης» σύμφωνα με το δίκαιο του ανταγωνισμού. Συνεπώς, ο υπολογισμός του ανώτατου ποσού του προστίμου πρέπει να γίνει με βάση ποσοστό του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους της συγκεκριμένης επιχείρησης, στο σύνολό της.
Δείτε τη σχετική Έκδοση: THE GDPR HANDBOOK
Δείτε το σχετικό Σεμινάριο: Επεξεργασία προσωπικών δεδομένων