• Polski
  • English
  • Deutsch
  • ALERT PRAWNY: RODO. Ważne wyroki TSUE dotyczące kar

    gdpr, ochrona danych osbowych, odo, rodo, trybunal sprawiedliwosci ue

    Trybunał Sprawiedliwości UE wydał wyroki w sprawach C-683/21 (Nacionalinis visuomenės sveikatos centras) i C-807/21 (Deutsche Wohnen) – tak informuje komunikat prasowy nr 184/23 z dnia 5 grudnia 2023 r.

    Wyroki zostały wydane w postępowaniach wszczętych na wniosek sądów niemieckiego i litewskiego, które zwróciły się do Trybunału Sprawiedliwości o wykładnię ogólnego rozporządzenia o ochronie danych (RODO), co do możliwości nakładania na administratora przez krajowe organy nadzorcze sankcji za naruszenie tego rozporządzenia w drodze administracyjnej kary pieniężnej.

    W sprawie litewskiej, krajowe centrum zdrowia publicznego zakwestionowało karę nałożoną za utworzenie aplikacji mobilnej do rejestrowania danych osób związanych z COVID-19. Z kolei w sprawie niemieckiej, spółka Deutsche Wohnen, zakwestionowała karę nałożoną na nią za przechowywanie danych osobowych najemców dłużej niż było to konieczne. Więcej informacji w powyższych sprawach znajduje się tutaj.

    W związku z powyższymi sprawami Trybunał wskazał, że:

    • kara administracyjna za naruszenie RODO może zostać nałożona na administratora danych wyłącznie, gdy to naruszenie zostało popełnione w sposób zawiniony (umyślnie lub nieumyślnie); dotyczy to sytuacji, w której administrator danych nie mógł nie wiedzieć, że swoim zachowaniem narusza RODO, niezależnie od tego, czy miał świadomość popełnienia tego naruszenia;
    • jeśli administratorem jest osoba prawna, nie jest konieczne, aby naruszenie zostało popełnione przez organ zarządzający osoby prawnej ani aby ten organ wiedział o naruszeniu (to oznacza, że osoba prawna ponosi odpowiedzialność za naruszenie także wtedy gdy naruszenia dopuścili się jej przedstawiciele, dyrektorzy, zarządcy oraz wszystkie inne osoby działające w ramach działalności gospodarczej osoby prawnej i na jej rachunek);
    • nałożenie kary nie jest uzależnione od możliwości uprzedniego zidentyfikowania osoby fizycznej, przez którą naruszenie zostało popełnione;
    • można nałożyć karę pieniężną na administratora również za operacje dokonywane przez podmiot przetwarzający, jeżeli te operacje można przypisać administratorowi;
    • w przypadku współadministrowania przez dwóch lub większą liczbę podmiotów, naruszenie wynika z samego faktu ustalania przez te podmioty celów i sposobów przetwarzania danych (nie zakłada się obowiązku istnienia formalnych uzgodnień pomiędzy tymi podmiotami);

    Ponadto Trybunał wypowiedział się o zasadach obliczania wysokości kary pieniężnej w sytuacji, w której podmiot będący adresatem kary jest przedsiębiorstwem lub jego częścią. W takim wypadku Trybunał wskazał, że maksymalną kwotę kary pieniężnej obliczać należy na podstawie całkowitego rocznego i światowego obrotu danego przedsiębiorstwa z poprzedniego roku obrotowego. Jeśli zatem adresat kary należy do grupy kapitałowej, wówczas karę maksymalną należy obliczyć na podstawie obrotu całej grupy.

    Podkreślić należy, że to orzeczenie Trybunału wiąże w ten sam sposób inne sądy krajowe, których przedmiotem orzekania będą podobne problemy.

    Wróć do listy
    Aneta Frydrych-Romańska

    Aneta Frydrych-Romańska

    • Radca prawny
    Skontaktuj się z autorem

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    Subscribe to our newsletter

    FreshMail.pl