O instanță lituaniană și una germană au solicitat Curții de Justiție să interpreteze Regulamentul general privind protecția datelor (RGPD) în raport cu posibilitatea autorităților naționale de supraveghere de a sancționa încălcarea
acestui regulament prin aplicarea unei amenzi administrative operatorului de date.
În cazul lituanian, Centrul Național de Sănătate Publică din cadrul Ministerului Sănătății contestă o amendă în cuantum de 12 000 de euro care i-a fost aplicată în contextul dezvoltării, cu ajutorul unei întreprinderi private, a unei
aplicații mobile în scopul înregistrării și al monitorizării datelor persoanelor expuse virusului Covid-19.
În cazul german, societatea imobiliară Deutsche Wohnen, care deține indirect aproximativ 163 000 de unități locative și 3 000 de unități comerciale, contestă printre altele o amendă în cuantum de peste 14 milioane de euro
care i-a fost aplicată pentru că a păstrat datele cu caracter personal ale chiriașilor mai mult decât era necesar. Curtea statuează că unui operator de date i se poate aplica o amendă administrativă pentru încălcarea GDPR numai dacă această încălcare a fost săvârșită în mod culpabil, cu alte cuvinte în mod intenționat sau din neglijență.
Aceasta este situația atunci când operatorul nu putea să nu cunoască natura ilicită a
comportamentului său, indiferent dacă era sau nu conștient de încălcare.
În cazul în care operatorul este o persoană juridică, nu este necesar ca încălcarea să fi fost comisă de organul său de administrare sau ca respectivul organ să fi avut cunoștință de aceasta. Dimpotrivă, o persoană juridică răspunde atât pentru încălcările săvârșite de reprezentanții, directorii sau administratorii săi, cât și pentru
cele săvârșite de orice altă persoană care acționează în cadrul activității sale comerciale și pe seama sa. Totodată, aplicarea unei amenzi administrative unei persoane juridice în calitate de operator nu poate fi supusă constatării
prealabile că această încălcare a fost comisă de o persoană fizică identificată.
În plus, unui operator i se poate aplica o amendă și pentru operațiunile efectuate de o persoană împuternicită de operator, în măsura în care aceste operațiuni pot fi imputate operatorului.
În ceea ce privește responsabilitatea comună a două sau mai multor entități în calitate de „operatori asociați”, Curtea precizează că aceasta decurge din simplul fapt că entitățile respective au participat la stabilirea scopurilor și a mijloacelor prelucrării.
Calificarea drept „operatori asociați” nu presupune existența unui acord formal între entitățile în cauză. O decizie comună sau chiar decizii convergente sunt suficiente. Cu toate acestea, din moment ce este vorba efectiv despre operatori asociați, aceștia trebuie să stabilească, prin acord, obligațiile care le revin.
În sfârșit, în ceea ce privește calculul amenzii atunci când destinatarul este sau face parte dintr-o întreprindere, autoritatea de supraveghere trebuie să se întemeieze pe noțiunea de „întreprindere” din dreptul
concurenței. Astfel, cuantumul maxim al amenzii trebuie calculat pe baza unui procent din cifra de afaceri anuală totală din exercițiul financiar precedent al întreprinderii în cauză, privită în ansamblul său.
Pentru aceste motive, Curtea (Marea Cameră) declară:
1) Articolul 4 punctul 7 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretat în sensul că
poate fi considerată operator, în sensul acestei dispoziții, o entitate care a însărcinat o întreprindere să dezvolte o aplicație informatică mobilă și care, în acest context, a participat la stabilirea scopurilor și a mijloacelor prelucrării datelor cu caracter personal realizate prin intermediul acestei aplicații, chiar dacă această entitate nu a efectuat ea însăși operațiuni de prelucrare a unor astfel de date, nu și‑a dat în mod explicit acordul pentru realizarea unor operațiuni concrete ale unei astfel de prelucrări sau pentru punerea la dispoziția publicului a respectivei aplicații mobile și nu a achiziționat aceeași aplicație mobilă, cu excepția cazului în care, înainte de această punere la dispoziția publicului, entitatea menționată s‑a opus în mod expres acesteia și prelucrării datelor cu caracter personal care au rezultat din aceasta.
2) Articolul 4 punctul 7 și articolul 26 alineatul (1) din Regulamentul 2016/679 trebuie interpretate în sensul că o calificare a două entități drept operatori asociați nu presupune nici existența unui acord între aceste entități cu privire la stabilirea scopurilor și a mijloacelor prelucrării datelor cu caracter personal în cauză, nici existența unui acord care stabilește condițiile referitoare la responsabilitatea comună privind prelucrarea.
3) Articolul 4 punctul 2 din Regulamentul 2016/679 trebuie interpretat în sensul că constituie o „prelucrare” în sensul acestei dispoziții utilizarea unor date cu caracter personal în scopul testării informatice a unei aplicații mobile, cu excepția cazului în care asemenea date au fost anonimizate astfel încât persoana vizată de aceste date nu este sau nu mai este identificabilă ori este vorba despre date fictive care nu se referă la o persoană fizică existentă.
4) Articolul 83 din Regulamentul 2016/679 trebuie interpretat în sensul că, pe de o parte, o amendă administrativă poate fi impusă în temeiul acestei dispoziții numai dacă se stabilește că operatorul a săvârșit, intenționat sau din neglijență, o încălcare prevăzută la alineatele (4)-(6) ale acestui articol și, pe de altă parte, o asemenea amendă poate fi impusă unui operator în ceea ce privește operațiunile de prelucrare a datelor cu caracter personal efectuate de o persoană împuternicită de operator în numele acestuia, cu excepția cazului în care, în cadrul acestor operațiuni, persoana împuternicită de operator a efectuat prelucrări în scopuri proprii sau a prelucrat aceste date într‑un fel incompatibil cu cadrul sau cu modalitățile de prelucrare așa cum au fost stabilite de operator sau într‑un fel cu privire la care nu se poate considera în mod rezonabil că operatorul respectiv și‑ar fi dat consimțământul.
