WYROK TRYBUNAŁU (wielka izba)
z dnia 5 grudnia 2023 r.(*)
Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 4 pkt 7 – Pojęcie „administratora” – Artykuł 58 ust. 2 – Uprawnienia naprawcze przysługujące organom nadzorczym – Artykuł 83 – Nakładanie administracyjnych kar pieniężnych na osobę prawną – Przesłanki – Zakres swobody państw członkowskich – Wymóg umyślnego lub nieumyślnego charakteru naruszenia
W sprawie C‑807/21
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Kammergericht Berlin (wyższy sąd krajowy w Berlinie, Niemcy) postanowieniem z dnia 6 grudnia 2021 r., które wpłynęło do Trybunału w dniu 21 grudnia 2021 r., w postępowaniu:
Deutsche Wohnen SE
przeciwko
Staatsanwaltschaft Berlin,
TRYBUNAŁ (wielka izba),
w składzie: K. Lenaerts, prezes, L. Bay Larsen, wiceprezes, A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi, O. Spineanu-Matei, prezesi izb, M. Ilešič, J.‑C. Bonichot, L.S. Rossi, A. Kumin, N. Jääskinen (sprawozdawca), N. Wahl i M. Gavalec, sędziowie,
rzecznik generalny: M. Campos Sánchez-Bordona,
sekretarz: D. Dittert, kierownik wydziału,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 17 stycznia 2023 r.,
rozważywszy uwagi, które przedstawili:
– w imieniu Deutsche Wohnen SE – O. Geiss, K. Mertens, N. Venn i T. Wybitul, Rechtsanwälte,
– w imieniu rządu niemieckiego – J. Möller i P.‑L. Krüger, w charakterze pełnomocników,
– w imieniu rządu estońskiego – M. Kriisa, w charakterze pełnomocnika,
– w imieniu rządu niderlandzkiego – C.S. Schillemans, w charakterze pełnomocnika,
– w imieniu rządu norweskiego – L.-M. Moen Jünge, M. Munthe-Kaas i T. Westhagen Edell, w charakterze pełnomocników,
– w imieniu Parlamentu Europejskiego – G.C. Bartram i P. López-Carceller, w charakterze pełnomocników,
– w imieniu Rady Unii Europejskiej – J. Bauerschmidt i K. Pleśniak, w charakterze pełnomocników,
– w imieniu Komisji Europejskiej – A. Bouchagiar, F. Erlbacher, H. Kranenborg i G. Meessen, w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 27 kwietnia 2023 r.,
wydaje następujący
Wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 83 ust. 4 i 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).
2 Wniosek ten został złożony w ramach sporu pomiędzy Deutsche Wohnen SE (zwaną dalej „DW”) a Staatsanwaltschaft Berlin (prokuraturą w Berlinie, Niemcy) w przedmiocie administracyjnej kary pieniężnej nałożonej na DW na podstawie art. 83 RODO z tytułu naruszenia art. 5 ust. 1 lit. a), c) i e), art. 6 oraz art. 25 ust. 1 tego rozporządzenia.
Ramy prawne
Prawo Unii
3 Motywy 9–11, 13, 74, 129 i 150 RODO mają następujące brzmienie:
„(9) […] Różnice w stopniu ochrony praw i wolności osób fizycznych w państwach członkowskich – w szczególności prawa do ochrony danych osobowych – w związku z przetwarzaniem danych osobowych mogą utrudniać swobodny przepływ danych osobowych w Unii [Europejskiej]. Mogą zatem stanowić przeszkodę w prowadzeniu działalności gospodarczej na szczeblu Unii, zakłócać konkurencję oraz utrudniać organom wykonywanie obowiązków nałożonych na nie prawem Unii. […]
(10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. Jeżeli chodzi o przetwarzanie danych osobowych w celu wypełnienia obowiązku prawnego, w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, państwa członkowskie powinny móc zachować lub wprowadzić krajowe przepisy doprecyzowujące stosowanie przepisów niniejszego rozporządzenia. […] Niniejsze rozporządzenie umożliwia też państwom członkowskim doprecyzowanie jego przepisów, w tym w odniesieniu do przetwarzania szczególnych kategorii danych osobowych […]. W tym względzie niniejsze rozporządzenie nie wyklucza możliwości określenia w prawie państwa członkowskiego okoliczności dotyczących konkretnych sytuacji związanych z przetwarzaniem danych, w tym dookreślenia warunków, które decydują o zgodności przetwarzania z prawem.
(11) Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich.
[…]
(13) Aby zapewnić spójny stopień ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym – w tym mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom – pewność prawa i przejrzystość, a osobom fizycznym we wszystkich państwach członkowskich ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i podmiotów przetwarzających, które pozwoli spójnie monitorować przetwarzanie danych osobowych, a także które zapewni równoważne kary we wszystkich państwach członkowskich oraz skuteczną współpracę organów nadzorczych z różnych państw członkowskich. […]
[…]
(74) Należy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.
[…]
(129) Aby zapewnić spójne monitorowanie i egzekwowanie niniejszego rozporządzenia w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same zadania i faktyczne uprawnienia, w tym uprawnienia do prowadzenia postępowań wyjaśniających, naprawcze, uprawnienia do nakładania kar […]. W szczególności każdy środek powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia – z uwzględnieniem okoliczności danej sprawy, z poszanowaniem prawa do wysłuchania danej osoby przed zastosowaniem indywidualnego środka, który miałby niekorzystnie na nią wpłynąć, i bez nadmiernych kosztów i niedogodności dla danej osoby. Uprawnienia do prowadzenia postępowań wyjaśniających, jeżeli chodzi o dostęp do pomieszczeń, należy wykonywać zgodnie ze szczegółowymi wymogami przepisów państwa członkowskiego dotyczących postępowania, takimi jak wymóg uzyskania uprzedniego zezwolenia sądu. Każdy prawnie wiążący środek organu nadzorczego powinien być sporządzony na piśmie, mieć jasny i jednoznaczny charakter, wskazywać organ nadzorczy, który wydał środek, i datę wydania środka, nosić podpis szefa lub członka organu nadzorczego przez niego upoważnionego, podawać powody zastosowania środka oraz informować o prawie do skutecznego środka ochrony prawnej. Nie powinno to wykluczać dodatkowych wymogów na mocy przepisów państwa członkowskiego dotyczących postępowania. […]
[…]
(150) W celu wzmocnienia i zharmonizowania sankcji administracyjnych za naruszenie niniejszego rozporządzenia każdy organ nadzorczy powinien być uprawniony do nakładania administracyjnych kar pieniężnych. W niniejszym rozporządzeniu należy wymienić rodzaje naruszeń oraz wskazać górną granicę i kryteria ustalania związanych z nimi administracyjnych kar pieniężnych, które właściwy organ nadzorczy powinien określać indywidualnie dla każdego przypadku z uwzględnieniem wszystkich stosownych okoliczności danej sytuacji, z należytym uwzględnieniem w szczególności charakteru, wagi, czasu trwania naruszenia i jego konsekwencji, a także środków podjętych w celu zastosowania się do obowiązków wynikających z niniejszego rozporządzenia oraz w celu zapobieżenia konsekwencjom naruszenia lub w celu zminimalizowania tych konsekwencji. Jeżeli administracyjna kara pieniężna jest nakładana na przedsiębiorstwo, to »przedsiębiorstwo« należy do tych celów rozumieć zgodnie z art. 101 i 102 TFUE. […]”.
4 Zgodnie z art. 4 tego rozporządzenia:
„Na użytek niniejszego rozporządzenia:
[…]
7) »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
8) »podmiot przetwarzający« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
[…]
18) »przedsiębiorca« oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą;
[…]”.
5 Artykuł 58 owego rozporządzenia, zatytułowany „Uprawnienia”, stanowi w ust. 2 i 4:
„2. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:
a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;
b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;
[…]
d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
[…]
f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
[…]
i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;
[…]
4. Wykonywanie uprawnień powierzonych organowi nadzorczemu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom – w tym prawu do skutecznego środka ochrony prawnej przed sądem i rzetelnego procesu, określonym w prawie Unii i prawie państwa członkowskiego zgodnie z Kartą praw podstawowych [Unii Europejskiej]”.
6 Artykuł 83 tego samego rozporządzenia, zatytułowany „Ogólne warunki nakładania administracyjnych kar pieniężnych”, ma następujące brzmienie:
„1. Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
2. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
b) umyślny lub nieumyślny charakter naruszenia;
c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
g) kategorie danych osobowych, których dotyczyło naruszenie;
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
3. Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
4. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:
a) obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 –39 oraz 42 i 43;
[…]
5. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:
a) podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;
b) praw osób, których dane dotyczą, o których mowa w art. 12–22;
[…]
d) wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX;
e) nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1.
6. Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega na mocy ust. 2 niniejszego artykułu administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
7. Bez uszczerbku dla uprawnień naprawczych organu nadzorczego, o których mowa w ust. 58 ust. 2, każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim.
8. Wykonywanie przez organ nadzorczy uprawnień powierzonych mu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom proceduralnym zgodnie z prawem Unii i prawem państwa członkowskiego, obejmującym prawo do skutecznego sądowego środka ochrony prawnej i rzetelnego procesu.
[…]”.
Prawo niemieckie
7 Paragraf 41 ust. 1 zdanie pierwsze Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych) z dnia 30 czerwca 2017 r. (BGBl. 2017 I, s. 2097) przewiduje, że o ile ustawa ta nie stanowi inaczej, przepisy Gesetz über Ordnungswidrigkeiten (ustawy o wykroczeniach administracyjnych) z dnia 24 maja 1968 r. (BGBl 1968. I, s. 481), w wersji komunikatu z dnia 19 lutego 1987 r. (BGBl 1987. I, s. 602), zmienionej ustawą z dnia 19 czerwca 2020 r. (BGBl 2020. I, s. 1350) (zwanej dalej „OWiG”), mają zastosowanie do naruszeń, o których mowa w art. 83 ust. 4–6 RODO.
8 Paragraf 30 OWiG, zatytułowany „Grzywny orzeczone wobec osób prawnych lub stowarzyszeń osób”, stanowi:
„1) Jeżeli osoba działająca
1. jako organ uprawniony do reprezentowania osoby prawnej lub jako członek takiego organu,
2. jako prezes stowarzyszenia nieposiadającego zdolności prawnej lub jako członek jego zarządu,
3. jako wspólnik uprawniony do reprezentowania spółki osobowej posiadającej zdolność prawną,
4. jako ogólny pełnomocnik lub w sprawowaniu funkcji kierowniczej w charakterze prokurenta lub przedstawiciela handlowego osoby prawnej lub stowarzyszenia osób, o których mowa w pkt 2 lub 3, lub
5. jako osoba w inny sposób odpowiedzialna za zarządzanie zakładem lub przedsiębiorstwem osoby prawnej lub stowarzyszeniem osób, o których mowa w pkt 2 lub 3, co obejmuje nadzór nad zarządzaniem działalnością lub wszelkie inne wykonywanie uprawnień kontrolnych w ramach funkcji kierowniczych,
popełniła czyn zabroniony lub wykroczenie administracyjne, w wyniku czego naruszone zostały obowiązki spoczywające na osobie prawnej lub stowarzyszeniu osób lub w wyniku którego ta osoba prawna lub to stowarzyszenie osób wzbogaciły się lub mogły się wzbogacić, na tę osobę prawną lub na to stowarzyszenie osób może zostać nałożona grzywna.
[…]
4) W przypadku gdy czyn zabroniony lub wykroczenie administracyjne nie prowadzi do wszczęcia postępowania karnego lub postępowania w sprawach zagrożonych grzywną lub w przypadku gdy takie postępowanie zostaje umorzone lub odstąpiono od wymierzenia kary, grzywna może zostać nałożona niezależnie. Ustawa może również przewidywać możliwość niezależnego nakładania grzywny w innych przypadkach. Jednakże nie można nakładać grzywny w sposób niezależny na osobę prawną lub stowarzyszenie, jeżeli za czyn zabroniony lub wykroczenie administracyjne nie ma podstawy prawnej do nałożenia kary […]”.
9 Paragraf 130 OWiG stanowi:
„1) Kto, będąc właścicielem zakładu lub przedsiębiorstwa, umyślnie lub nieumyślnie nie podejmuje niezbędnych środków nadzoru w celu zapobieżenia niewywiązywaniu się w zakładzie lub w przedsiębiorstwie z nałożonych na właściciela tego zakładu lub przedsiębiorstwa obowiązków, a których naruszenie jest zagrożone karą lub grzywną, popełnia wykroczenie administracyjne, jeżeli takie uchybienie zostało popełnione, gdy odpowiedni nadzór mógł mu zapobiec lub znacznie je utrudnić. Niezbędne środki nadzoru obejmują również wyznaczenie osób odpowiedzialnych za nadzór, staranny ich dobór i kontrolę.
[…]
3) Jeżeli uchybienie obowiązkowi podlega karze, wykroczenie administracyjne może podlegać grzywnie w wysokości do 1 mln EUR. Zastosowanie ma § 30 ust. 2 zdanie trzecie. W przypadku gdy naruszenie obowiązku podlega grzywnie, maksymalna kwota grzywny nałożonej za naruszenie obowiązku nadzoru jest określana na podstawie maksymalnej kwoty grzywny nałożonej za to uchybienie. […]”.
Postępowanie główne i pytania prejudycjalne
10 DW jest spółką nieruchomościową, utworzoną w formie spółki europejskiej, notowaną na giełdzie, z siedzibą w Berlinie (Niemcy). Poprzez swoje udziały w różnych spółkach pośrednio posiada ona około 163 000 lokali mieszkalnych i 3000 lokali użytkowych.
11 Właścicielami tych lokali są spółki zależne powiązane z DW (zwane „spółkami holdingowymi”), które prowadzą działalność operacyjną, podczas gdy DW zajmuje się zarządzaniem na szczeblu centralnym grupą, którą tworzy wspólnie z tymi spółkami holdingowymi. Spółki holdingowe wynajmują lokale mieszkalne i użytkowe, które są zarządzane przez inne spółki ze wspomnianej grupy, tak zwane spółki usługowe.
12 W ramach swojej działalności gospodarczej DW i spółki należące do grupy przetwarzają dane osobowe najemców lokali mieszkalnych i użytkowych, takie jak na przykład dane zawarte w dowodach tożsamości, dane podatkowe, dotyczące ubezpieczenia społecznego i zdrowotnego tych najemców, a także informacje na temat wcześniejszych umów najmu.
13 W dniu 23 czerwca 2017 r., w ramach kontroli na miejscu, Berliner Beauftragte für den Datenschutz (organ nadzorczy w Berlinie, Niemcy, zwany dalej „organem nadzorczym”) zwrócił uwagę DW na okoliczność, że spółki należące do jej grupy przechowywały dokumenty zawierające dane osobowe najemców w elektronicznym systemie archiwizacji, w przypadku którego nie można było prześledzić, czy przechowywanie było konieczne ani czy zapewniono usuwanie danych, które nie były już niezbędne.
14 Organ nadzorczy zwrócił się do DW o usunięcie tych dokumentów z jej elektronicznego systemu archiwizacji najpóźniej do końca 2017 r. W odpowiedzi na to wezwanie DW podniosła, że usunięcie nie było możliwe ze względów technicznych i prawnych.
15 W następstwie wymiany korespondencji między DW a organem nadzorczym w przedmiocie możliwości usunięcia spornych dokumentów DW poinformowała ten organ o zamiarze wprowadzenia nowego systemu przechowywania mającego na celu zastąpienie systemu, który zawierał wspomniane dokumenty.
16 W dniu 5 marca 2019 r. organ nadzorczy przeprowadził kontrolę w centrali grupy kierowanej przez DW. Podczas tej kontroli DW poinformowała ten organ, że sporny system elektronicznej archiwizacji został już wycofany z użytku i że migracja danych do nowego systemu przechowywania nastąpi niebawem.
17 Decyzją z dnia 30 października 2019 r. organ nadzorczy nałożył na DW administracyjną karę pieniężną w wysokości 14 385 000 EUR za umyślne naruszenie art. 5 ust. 1 lit. a), c) i e) oraz art. 25 ust. 1 RODO (zwaną dalej „rozpatrywaną decyzją”). W decyzji tej organ ten nałożył również na DW 15 innych kar pieniężnych w wysokości od 3000 do 17 000 EUR z tytułu naruszenia art. 6 ust. 1 RODO.
18 W rozpatrywanej decyzji organ nadzorczy uznał w szczególności, że DW w okresie od dnia 25 maja 2018 r. do dnia 5 marca 2019 r. umyślnie nie podjęła niezbędnych środków w celu umożliwienia regularnego usuwania danych najemców, które nie były już potrzebne lub też były z innego powodu nieprawidłowo przechowywane. Podniósł on również, że DW nadal przechowywała dane osobowe co najmniej 15 konkretnie wymienionych najemców, chociaż nie było to konieczne.
19 DW wniosła skargę na tę decyzję do Landgericht Berlin (sądu krajowego w Berlinie, Niemcy). Sąd ten umorzył postępowanie, uznając, że rozpatrywana decyzja była dotknięta tak poważnymi uchybieniami, że nie mogła ona stanowić podstawy nałożenia kary pieniężnej.
20 Sąd ten zauważył w szczególności, że nałożenie kary pieniężnej na osobę prawną jest uregulowane w sposób wyczerpujący w § 30 OWiG, który zgodnie z § 41 ust. 1 federalnej ustawy o ochronie danych ma zastosowanie do naruszeń, o których mowa w art. 83 ust. 4–6 RODO. Tymczasem zgodnie z § 30 OWiG wykroczenie administracyjne może zostać stwierdzone wyłącznie przeciwko osobie fizycznej, a nie przeciwko osobie prawnej. Ponadto jedynie działania członków organów lub przedstawicieli osoby prawnej mogą zostać przypisane tej osobie prawnej. O ile ust. 4 wspomnianego § 30 zezwalał, pod pewnymi warunkami, na wszczęcie postępowania administracyjnego w sprawach o wykroczenie przeciwko osobie prawnej, o tyle również w takim przypadku wymagane byłoby stwierdzenie popełnienia wykroczenia administracyjnego przez członków organów lub przedstawicieli danej osoby prawnej.
21 Staatsanwaltschaft Berlin (prokuratura w Berlinie) wniosła skargę na tę decyzję do Kammergericht Berlin (wyższego sądu krajowego w Berlinie, Niemcy), który jest sądem odsyłającym.
22 Sąd odsyłający zastanawia się w pierwszej kolejności, czy na podstawie art. 83 RODO istnieje możliwość nałożenia administracyjnej kary pieniężnej na osobę prawną bez uprzedniego przypisania naruszenia tego rozporządzenia zidentyfikowanej osobie fizycznej. W tym kontekście sąd ten zastanawia się w szczególności nad znaczeniem pojęcia „przedsiębiorstwa” w rozumieniu art. 101 i 102 TFUE.
23 W tym względzie wspomniany sąd wyjaśnia, że zgodnie z orzecznictwem krajowym istniejący w prawie krajowym system ograniczonej odpowiedzialności osób prawnych jest sprzeczny z przewidzianym w art. 83 RODO systemem bezpośredniej odpowiedzialności przedsiębiorstw. Zgodnie z tym orzecznictwem z brzmienia art. 83 RODO – który zgodnie z zasadą pierwszeństwa prawa Unii ma pierwszeństwo przed systemem krajowym – wynika w szczególności, że na przedsiębiorstwa mogą zostać nałożone administracyjne kary pieniężne. Nie jest zatem konieczne powiązanie nałożenia takich kar pieniężnych z zawinionym działaniem organów lub osób zarządzających osobami prawnymi, w przeciwieństwie do tego, co wymagane jest na podstawie właściwego prawa krajowego.
24 Zdaniem tego sądu orzecznictwo to, podobnie jak większość doktryny krajowej, przypisuje bowiem szczególne znaczenie pojęciu „przedsiębiorstwa” w rozumieniu art. 101 i 102 TFUE, a zatem koncepcji, zgodnie z którą odpowiedzialność jest przypisywana podmiotowi gospodarczemu, w ramach którego doszło do niepożądanego zachowania, na przykład antykonkurencyjnego. Zgodnie z tą „funkcjonalną” koncepcją wszelkie zachowania wszystkich pracowników upoważnionych do działania w imieniu przedsiębiorstwa można przypisać przedsiębiorstwu, również w ramach postępowań administracyjnych dotyczących nakładania grzywien.
25 W drugiej kolejności, na wypadek gdyby Trybunał uznał, że powinna istnieć możliwość nałożenia administracyjnej kary pieniężnej bezpośrednio na osobę prawną, sąd odsyłający zastanawia się nad kryteriami, jakie należy zastosować w celu ustalenia odpowiedzialności osoby prawnej jako przedsiębiorstwa za naruszenie RODO. Sąd ten zmierza w szczególności do ustalenia, czy administracyjna kara pieniężna może zostać nałożona na podstawie art. 83 tego rozporządzenia na osobę prawną bez wykazania, że zarzucane jej naruszenie wspomnianego rozporządzenia zostało popełnione w sposób zawiniony.
26 W tych okolicznościach Kammergericht Berlin (wyższy sąd krajowy w Berlinie) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy art. 83 ust. 4–6 RODO należy interpretować w ten sposób, że wprowadza on do prawa krajowego przyjęte na gruncie art. 101 i 102 TFUE funkcjonalne pojęcie przedsiębiorstwa i zasadę podmiotu pełniącego funkcję (Funktionsträgerprinzip) z takim skutkiem, że poprzez rozszerzenie zasady podmiotu prawa (Rechtsträgerprinzip) leżącej u podstaw § 30 OWiG postępowanie w sprawach zagrożonych karą grzywny może być prowadzone bezpośrednio przeciwko przedsiębiorstwu, a wymierzenie grzywny nie wymaga stwierdzenia popełnienia wykroczenia administracyjnego – ewentualnie przy spełnieniu wszystkich obiektywnych i subiektywnych przesłanek deliktu – przez zidentyfikowaną osobę fizyczną?
2) W przypadku odpowiedzi twierdzącej na pytanie pierwsze – czy art. 83 ust. 4–6 RODO należy interpretować w ten sposób, że przedsiębiorstwo musi ponosić winę za wykroczenie popełnione przez pracownika [zob. art. 23 rozporządzenia Rady (WE) nr 1/2003 z dnia 16 grudnia 2002 r. w sprawie wprowadzenia w życie reguł konkurencji ustanowionych w art. 81 i 82 traktatu (Dz.U. 2003, L 1, s. 1)], czy też samo obiektywne naruszenie obowiązków, które można przypisać przedsiębiorstwu, wystarcza co do zasady do ukarania tego przedsiębiorstwa grzywną (»odpowiedzialność na zasadzie ryzyka«)?”.
W przedmiocie wniosku o otwarcie ustnego etapu postępowania na nowo
27 Po przeprowadzeniu rozprawy w dniu 17 stycznia 2023 r. DW, pismem złożonym w sekretariacie Trybunału w dniu 23 marca 2023 r., wniosła o otwarcie na ustnego etapu postępowania nowo na podstawie art. 83 regulaminu postępowania przed Trybunałem.
28 Na poparcie swojego wniosku DW podnosi zasadniczo, że odpowiedzi udzielone przez sąd odsyłający na wniosek o udzielenie wyjaśnień skierowany do tego sądu na podstawie art. 101 regulaminu postępowania przed Trybunałem dostarczają Trybunałowi nietrafnych informacji dotyczących mających zastosowanie przepisów prawa krajowego. Tymczasem wyczerpująca dyskusja na ten temat na rozprawie w dniu 17 stycznia 2023 r. nie była możliwa, ponieważ strony zapoznały się z tymi odpowiedziami dopiero na trzy dni robocze przed tą rozprawą. Taki termin nie pozwolił bowiem na szczegółowe przygotowanie rozprawy.
29 Prawdą jest, że zgodnie z art. 83 regulaminu postępowania Trybunał może w każdej chwili, po zapoznaniu się ze stanowiskiem rzecznika generalnego, postanowić o otwarciu ustnego etapu postępowania na nowo, w szczególności jeśli uzna, że okoliczności zawisłej przed nim sprawy nie są wystarczająco wyjaśnione, lub jeśli po zamknięciu ustnego etapu postępowania strona przedstawiła nowy fakt mogący mieć decydujące znaczenie dla rozstrzygnięcia Trybunału, lub też jeśli sprawa ma zostać rozstrzygnięta na podstawie argumentu, który nie był przedmiotem dyskusji między zainteresowanymi.
30 Jednakże w niniejszym przypadku Trybunał posiada wszystkie informacje niezbędne do wydania wyroku, a podstawy rozstrzygnięcia w niniejszej sprawie nie stanowią argumenty, które nie były przedmiotem dyskusji między zainteresowanymi. Ponadto we wniosku o otwarcie ustnego etapu postępowania na nowo nie podniesiono żadnej nowej okoliczności faktycznej, która mogłaby mieć wpływ na orzeczenie, jakie Trybunał ma wydać w tej sprawie.
31 W tych okolicznościach Trybunał uznaje, po zapoznaniu się ze stanowiskiem rzecznika generalnego, że nie ma potrzeby zarządzenia otwarcia ustnego etapu postępowania na nowo.
W przedmiocie pytań prejudycjalnych
W przedmiocie pytania pierwszego
32 Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 58 ust. 2 i art. 83 ust. 1–6 RODO należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu, na mocy którego administracyjna kara pieniężna może zostać nałożona na osobę prawną działającą w charakterze administratora za naruszenie, o którym mowa w art. 83 ust. 4–6 tego rozporządzenia, tylko wtedy, gdy naruszenie to zostało uprzednio przypisane zidentyfikowanej osobie fizycznej.
33 Na wstępie należy zauważyć, że w uwagach na piśmie rząd niemiecki wyraził wątpliwości co do tej wykładni prawa krajowego dokonanej przez sąd odsyłający, ze względu na to, że § 130 OWiG pozwala na nałożenie grzywny na osobę prawną również poza przypadkami, o których mowa w § 30 OWiG. Ponadto te dwa przepisy pozwalają na nałożenie tak zwanej „anonimowej” grzywny w ramach postępowania wszczętego przeciwko przedsiębiorstwu, bez konieczności zidentyfikowania osoby fizycznej będącej sprawcą danego naruszenia.
34 W odpowiedzi na wniosek o udzielenie wyjaśnień skierowany do sądu odsyłającego, o którym mowa w pkt 28 niniejszego wyroku, sąd ten wskazał, że § 130 OWiG nie ma wpływu na pytanie pierwsze.
35 Zdaniem tego sądu przepis ten dotyczy bowiem właściciela przedsiębiorstwa, który w sposób zawiniony uchybił obowiązkowi nadzoru. Dowód takiego uchybienia zobowiązaniom, które można przypisać właścicielowi przedsiębiorstwa, jest jednak niezwykle złożony i często niemożliwy do przedstawienia, a kwestia, czy grupę przedsiębiorstw można uznać za „przedsiębiorstwo” lub „właściciela przedsiębiorstw” w rozumieniu tego przepisu, jest przedmiotem kontrowersji na szczeblu krajowym. W każdym razie pierwsze pytanie prejudycjalne jest również istotne w tym kontekście.
36 Należy przypomnieć, że w odniesieniu do wykładni przepisów krajowego porządku prawnego Trybunał jest co do zasady zobowiązany do oparcia się na stwierdzeniach wynikających z postanowienia odsyłającego. Zgodnie bowiem z utrwalonym orzecznictwem Trybunał nie jest właściwy do dokonywania wykładni prawa wewnętrznego państwa członkowskiego (wyrok z dnia 26 stycznia 2021 r., Hessischer Rundfunk, C‑422/19 i C‑423/19, EU:C:2021:63, pkt 31 i przytoczone tam orzecznictwo).
37 W związku z tym na pierwsze pytanie prejudycjalne należy odpowiedzieć, wychodząc z założenia, że zgodnie z mającym zastosowanie prawem krajowym administracyjna kara pieniężna może zostać nałożona na osobę prawną działającą w charakterze administratora danych za naruszenie, o którym mowa w art. 83 ust. 4–6 RODO, wyłącznie na warunkach przewidzianych w § 30 OWiG, tak jak zostały one przedstawione przez sąd odsyłający.
38 W celu udzielenia odpowiedzi na pytanie pierwsze należy przede wszystkim zauważyć, że zasady, zakazy i obowiązki przewidziane w RODO są skierowane w szczególności do „administratorów”, których odpowiedzialność obejmuje, jak podkreślono w motywie 74 RODO, wszelkie przetwarzanie danych osobowych przez nich samych lub w ich imieniu i którzy z tego tytułu nie tylko są zobowiązani do wdrożenia odpowiednich i skutecznych środków, lecz również powinni być w stanie wykazać zgodność czynności przetwarzania z RODO, w tym skuteczności środków przyjętych w celu zapewnienia takiej zgodności. To właśnie ta odpowiedzialność stanowi w przypadku naruszeń, o których mowa w art. 83 ust. 4–6 tego rozporządzenia, podstawę nałożenia administracyjnej kary pieniężnej na administratora na podstawie tego art. 83.
39 Artykuł 4 pkt 7 RODO definiuje w sposób szeroki pojęcie „administratora” jako osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
40 Celem tej szerokiej definicji art. 4 pkt 7 RODO, która wyraźnie obejmuje osoby prawne, jest, zgodnie z celem RODO, zapewnienie skutecznej ochrony podstawowych praw i wolności osób fizycznych, a także między innymi zapewnienie wysokiego poziomu ochrony prawa każdej osoby do ochrony dotyczących jej danych osobowych (zob. podobnie wyroki: z dnia 29 lipca 2019 r., Fashion ID, C‑40/17, EU:C:2019:629, pkt 66; z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 73 i przytoczone tam orzecznictwo).
41 Ponadto Trybunał orzekł już, że osobę fizyczną lub prawną, która wpływa dla własnych interesów na przetwarzanie danych osobowych i uczestniczy z tego powodu w określeniu celów i sposobów tego przetwarzania, można uznać za administratora d(zob. w tym zakresie wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 68).
42 Z brzmienia i celu art. 4 pkt 7 RODO wynika zatem, że prawodawca Unii nie dokonał w celu ustalenia odpowiedzialności na podstawie tego rozporządzenia rozróżnienia między osobami fizycznymi a osobami prawnymi, jako że odpowiedzialność ta uzależniona została wyłącznie od warunku przewidującego, że osoby te, samodzielnie lub wspólnie z innymi osobami, określają cele i sposoby przetwarzania danych osobowych.
43 W związku z tym, z zastrzeżeniem tego, co zostało przewidziane w art. 83 ust. 7 RODO dotyczącym organów i podmiotów publicznych, każda osoba spełniająca ten warunek – niezależnie od tego, czy jest to osoba fizyczna, osoba prawna, organ publiczny, jednostka lub inny podmiot – jest w szczególności odpowiedzialna za każde naruszenie, o którym mowa w art. 83 ust. 4–6, popełnione przez nią lub w jej imieniu.
44 Co się tyczy osób prawnych, oznacza to, po pierwsze, jak zauważył w istocie rzecznik generalny w pkt 57–59 opinii, że są one odpowiedzialne nie tylko za naruszenia popełnione przez ich przedstawicieli, dyrektorów lub osoby zarządzające, lecz również przez każdą inną osobę działającą w ramach działalności gospodarczej tych osób prawnych i na ich rzecz. Po drugie, w przypadku takich naruszeń powinna istnieć możliwość nakładania administracyjnych kar pieniężnych przewidzianych w art. 83 RODO bezpośrednio na osoby prawne, jeżeli można je uznać za administratorów.
45 Następnie należy zauważyć, że art. 58 ust. 2 RODO określa w sposób precyzyjny zakres uprawnień naprawczych, jakimi dysponują organy nadzorcze, bez odsyłania do prawa państw członkowskich ani pozostawienia tym państwom zakresu uznania. Tymczasem, po pierwsze, uprawnienia te, do których zgodnie z art. 58 ust. 2 lit. i) RODO należy wymierzenie administracyjnej kary pieniężnej, dotyczą administratora, a po drugie, taki administrator może, jak wynika z pkt 39 niniejszego wyroku, być zarówno osobą fizyczną, jak i osobą prawną. Przesłanki materialne, które organ nadzorczy musi spełnić przy nakładaniu takiej kary pieniężnej, są natomiast wymienione w art. 83 ust. 1–6 RODO, w sposób precyzyjny i niepozostawiający państwom członkowskim swobody uznania.
46 Z art. 4 pkt 7 w związku z art. 83 i art. 58 ust. 2 lit. i) RODO wynika zatem, że administracyjna kara pieniężna za naruszenie, o którym mowa w tym art. 83 ust. 4–6, może zostać również nałożona na osoby prawne, jeżeli mają one status administratorów. Natomiast żaden przepis RODO nie pozwala uznać, że nałożenie administracyjnej kary pieniężnej na osobę prawną działającą w charakterze administratora jest uzależnione od uprzedniego stwierdzenia, że naruszenie to zostało popełnione przez zidentyfikowaną osobę fizyczną.
47 Prawdą jest, że z art. 58 ust. 4 i art. 83 ust. 8 RODO w świetle motywu 129 tego rozporządzenia wynika, że wykonywanie przez organ nadzorczy uprawnień powierzonych mu na mocy tych artykułów podlega odpowiednim zabezpieczeniom proceduralnym zgodnie z prawem Unii i prawem państw członkowskich, obejmującym prawo do skutecznego sądowego środka ochrony prawnej i rzetelnego procesu.
48 Jednakże okoliczność, że wspomniane rozporządzenie daje w ten sposób państwom członkowskim możliwość ustanowienia wymogów dotyczących procedury stosowanej przez organy nadzorcze w celu nałożenia administracyjnej kary pieniężnej, w żaden sposób nie oznacza, że są one również uprawnione do ustanowienia, poza takimi wymogami proceduralnymi, przesłanek materialnych dodatkowych w stosunku do warunków określonych w art. 83 ust. 1–6. Ponadto fakt, że prawodawca Unii zadbał o to, by wyraźnie przewidzieć tę możliwość, ale nie przewidział takich dodatkowych przesłanek materialnych, potwierdza, że nie pozostawił on państwom członkowskim zakresu uznania w tym względzie. Wspomniane przesłanki materialne podlegają zatem wyłącznie prawu Unii.
49 Powyższą wykładnię literalną art. 58 ust. 2 i art. 83 ust. 1–6 RODO potwierdza cel tego rozporządzenia.
50 W szczególności z motywu 10 RODO wynika, że jego przepisy mają zwłaszcza na celu zapewnienie spójnego i wysokiego poziomu ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Unii i zapewnienie w tym celu spójnego i jednolitego w całej Unii stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. W motywach 11 i 129 RODO podkreślono ponadto konieczność zadbania o to, by w celu zapewnienia spójnego stosowania tego rozporządzenia organom nadzorczym przysługiwały równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz by organy te mogły nakładać równorzędne kary za naruszenia tego rozporządzenia.
51 Tymczasem zezwolenie państwom członkowskim na to, by w sposób jednostronny mogły wymagać w charakterze koniecznej przesłanki nałożenia administracyjnej kary pieniężnej na podstawie art. 83 RODO na administratora będącego osobą prawną, aby dane naruszenie zostało uprzednio przypisane lub mogło zostać przypisane zidentyfikowanej osobie fizycznej, byłoby sprzeczne z tym celem RODO. Ponadto taki dodatkowy wymóg mógłby ostatecznie osłabić skuteczność i odstraszający skutek administracyjnych kar pieniężnych nakładanych na osoby prawne jako administratorów, z naruszeniem art. 83 ust. 1 RODO.
52 W tym względzie należy przypomnieć, że art. 288 akapit drugi TFUE przewiduje, iż rozporządzenie Unii wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich, co wyklucza w braku odmiennego postanowienia możliwość przyjmowania przez państwa członkowskie przepisów mających wpływ na zakres takiego rozporządzenia. Ponadto państwa członkowskie są zobowiązane na mocy zobowiązań wynikających z traktatu FUE do tego, by nie utrudniać bezpośredniego stosowania rozporządzeń. W szczególności nie mogą one przyjmować aktów, które ukrywałyby przed podmiotami prawa unijny charakter normy prawnej oraz płynące z niej skutki (wyrok z dnia 15 listopada 2012 r., Al-Aqsa/Rada i Niderlandy/Al-Aqsa, C‑539/10 P i C‑550/10 P, EU:C:2012:711, pkt 86, 87 i przytoczone tam orzecznictwo).
53 Wreszcie, biorąc pod uwagę wątpliwości sądu odsyłającego, należy zauważyć, że pojęcie „przedsiębiorstwa” w rozumieniu art. 101 i 102 TFUE nie ma wpływu na kwestię, czy i na jakich warunkach administracyjna kara pieniężna może zostać nałożona na podstawie art. 83 RODO na administratora będącego osobą prawną, ponieważ kwestia ta jest w sposób wyczerpujący uregulowana w art. 58 ust. 2 i art. 83 ust. 1–6 tego rozporządzenia.
54 Pojęcie to ma bowiem znaczenie wyłącznie dla ustalenia kwoty administracyjnej kary pieniężnej nałożonej na administratora na podstawie art. 83 ust. 4–6 RODO.
55 Jak zauważył rzecznik generalny w pkt 45 opinii, to właśnie w tym szczególnym kontekście obliczania administracyjnych kar pieniężnych nakładanych za naruszenia, o których mowa w art. 83 ust. 4–6 RODO, należy rozumieć zawarte w motywie 150 tego rozporządzenia odesłanie do pojęcia „przedsiębiorstwa” w rozumieniu art. 101 i 102 TFUE.
56 W tym względzie należy podkreślić, że do celów stosowania reguł konkurencji, o których mowa w art. 101 i 102 TFUE, pojęcie to obejmuje każdy podmiot prowadzący działalność gospodarczą, niezależnie od jego formy prawnej i sposobu finansowania. Oznacza ono jednostkę gospodarczą, nawet jeśli z prawnego punktu widzenia jednostka ta składa się z kilku osób fizycznych lub prawnych. Taka jednostka gospodarcza polega na jednolitej organizacji elementów osobowych, materialnych i niematerialnych, realizującej w sposób trwały określony cel gospodarczy (wyrok z dnia 6 października 2021 r., Sumal, C‑882/19, EU:C:2021:800, pkt 41 i przytoczone tam orzecznictwo).
57 Z art. 83 ust. 4–6 RODO, który dotyczy obliczania administracyjnych kar pieniężnych za naruszenia wymienione w tych ustępach, wynika zatem, że w przypadku gdy adresat administracyjnej kary pieniężnej jest przedsiębiorstwem lub jego częścią w rozumieniu art. 101 i 102 TFUE, maksymalną kwotę administracyjnej kary pieniężnej oblicza się na podstawie odsetka całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
58 Ostatecznie, jak zauważył rzecznik generalny w pkt 47 opinii, jedynie administracyjna kara pieniężna, której kwota jest określana w zależności od rzeczywistych lub materialnych możliwości ekonomicznych jej adresata, a zatem nałożona przez organ nadzorczy w oparciu o pojęcie jednostki gospodarczej w rozumieniu orzecznictwa przytoczonego w pkt 56 niniejszego wyroku, może spełniać trzy przesłanki określone w art. 83 ust. 1 RODO, a mianowicie być zarazem skuteczna, proporcjonalna i odstraszająca.
59 W związku z tym, gdy organ nadzorczy postanawia w ramach uprawnień przysługujących mu na podstawie art. 58 ust. 2 RODO nałożyć na administratora, który jest przedsiębiorstwem lub jego częścią w rozumieniu art. 101 i 102 TFUE, administracyjną karę pieniężną na podstawie art. 83 tego rozporządzenia, organ ten przy obliczaniu administracyjnych kar pieniężnych za naruszenia, o których mowa w ust. 4–6 tego art. 83, jest zobowiązany – zgodnie z tym ostatnim przepisem, interpretowanym w świetle motywu 150 tego rozporządzenia – oprzeć się na pojęciu „przedsiębiorstwa” w rozumieniu art. 101 i 102 TFUE.
60 W świetle powyższych rozważań na pytanie pierwsze należy odpowiedzieć, że art. 58 ust. 2 lit. i) oraz art. 83 ust. 1–6 RODO należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu, na mocy którego administracyjna kara pieniężna może zostać nałożona na osobę prawną działającą w charakterze administratora za naruszenie, o którym mowa w art. 83 ust. 4–6 tego rozporządzenia, tylko wtedy, gdy naruszenie to zostało uprzednio przypisane zidentyfikowanej osobie fizycznej.
W przedmiocie pytania drugiego
61 Poprzez pytanie drugie, które zostało zadane na wypadek udzielenia odpowiedzi twierdzącej na pytanie pierwsze, sąd odsyłający dąży w istocie do ustalenia, czy art. 83 RODO należy interpretować w ten sposób, że administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator, będący jednocześnie osobą prawną i przedsiębiorstwem, dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4–6 tego artykułu.
62 W tym względzie należy przypomnieć, że z art. 83 ust. 1 RODO wynika, iż administracyjne kary pieniężne muszą być skuteczne, proporcjonalne i odstraszające. Natomiast art. 83 RODO nie stanowi wyraźnie, że naruszenia, o których mowa w ust. 4–6 tego artykułu, mogą zostać ukarane taką karą pieniężną tylko wtedy, gdy zostały popełnione umyślnie lub przynajmniej nieumyślnie.
63 Rządy niemiecki, estoński i norweski oraz Rada Unii Europejskiej wywodzą z tego w szczególności, że prawodawca Unii zamierzał pozostawić państwom członkowskim pewien zakres uznania przy wdrażaniu art. 83 RODO, pozwalający im przewidzieć nałożenie administracyjnych kar pieniężnych na podstawie tego przepisu w stosownych przypadkach bez ustalania, że naruszenie RODO ukarane tą karą zostało popełnione umyślnie lub nieumyślnie.
64 Takiej wykładni art. 83 RODO nie można przyjąć.
65 W tym względzie, jak stwierdzono w pkt 45 i 48 niniejszego wyroku, materialne przesłanki, których organ nadzorczy musi przestrzegać przy nakładaniu administracyjnej kary pieniężnej na administratora, są regulowane wyłącznie prawem Unii, przy czym przesłanki te są określone w sposób precyzyjny i bez pozostawienia państwom członkowskim zakresu uznania w art. 83 ust. 1–6 RODO (zob. wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:XXX, pkt 64–70).
66 W odniesieniu do tych przesłanek należy zauważyć, że art. 83 ust. 2 RODO wymienia elementy, w świetle których organ nadzorczy nakłada na administratora administracyjną karę pieniężną. Wśród tych elementów w lit. b) tego przepisu znajduje się „umyślny lub nieumyślny charakter naruszenia”. Natomiast żaden z elementów wymienionych we wspomnianym przepisie nie wskazuje na jakąkolwiek możliwość pociągnięcia do odpowiedzialności administratora w braku jego zawinionego zachowania.
67 Ponadto art. 83 ust. 2 RODO należy odczytywać w związku z ust. 3 tego artykułu, którego celem jest uregulowanie konsekwencji kumulacji naruszeń tego rozporządzenia, a zgodnie z którym „[j]eżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie”.
68 Z brzmienia art. 83 ust. 2 RODO wynika zatem, że jedynie naruszenia przepisów tego rozporządzenia popełnione w sposób zawiniony przez administratora, czyli naruszenia popełnione umyślnie lub nieumyślnie, mogą prowadzić do nałożenia na niego administracyjnej kary pieniężnej na podstawie tego artykułu.
69 Ogólna systematyka i cel RODO potwierdzają takie rozumienie.
70 Po pierwsze, prawodawca Unii przewidział system kar pozwalający organom nadzorczym na nałożenie najbardziej odpowiednich kar, w zależności od okoliczności danego przypadku.
71 Artykuł 58 RODO przewiduje bowiem w ust. 2 lit. i), że organy te mogą nakładać administracyjne kary pieniężne na podstawie art. 83 tego rozporządzenia „oprócz lub zamiast” innych środków naprawczych wymienionych w art. 58 ust. 2, takich jak wydawanie ostrzeżeń, udzielanie upomnień czy nakazy. Podobnie motyw 148 wspomnianego rozporządzenia stanowi w szczególności, że w przypadku niewielkiego naruszenia lub jeżeli grożąca administracyjna kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, organy nadzorcze mogą odstąpić od nałożenia administracyjnej kary pieniężnej, a zamiast tego mogą udzielić upomnienia.
72 Po drugie, jak wskazano w pkt 50 niniejszego wyroku, celem przepisów RODO jest w szczególności zapewnienie spójnego i wysokiego poziomu ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Unii i zapewnienie w tym celu spójnego i jednolitego w całej Unii stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. Ponadto, aby zapewnić spójne stosowanie tego rozporządzenia, organy nadzorcze powinny dysponować równoważnymi uprawnieniami w zakresie nadzoru i kontroli przepisów dotyczących ochrony danych osobowych, tak aby móc nakładać równoważne kary za naruszenia tego rozporządzenia.
73 Istnienie systemu kar umożliwiającego nałożenie, jeżeli jest to uzasadnione szczególnymi okolicznościami danej sprawy, administracyjnej kary pieniężnej na podstawie art. 83 RODO, stanowi zachętę dla administratorów i podmiotów przetwarzających do przestrzegania tego rozporządzenia. Ze względu na swój skutek odstraszający administracyjne kary pieniężne przyczyniają się do wzmocnienia ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, a zatem stanowią kluczowy element dla zagwarantowania poszanowania praw tych osób zgodnie z celem tego rozporządzenia, jakim jest zapewnienie wysokiego poziomu ochrony takich osób w zakresie przetwarzania danych osobowych.
74 Jednakże prawodawca Unii nie uznał za konieczne, aby w celu zapewnienia takiego wysokiego poziomu ochrony przewidzieć nakładanie administracyjnych kar pieniężnych w przypadku braku winy. Biorąc pod uwagę fakt, że RODO ma na celu równoważny i jednolity poziom ochrony oraz że w tym celu należy je stosować w sposób spójny w całej Unii, umożliwienie państwom członkowskim ustanowienia takiego systemu nakładania kary pieniężnej na podstawie art. 83 tego rozporządzenia byłoby sprzeczne z tym celem. Taka swoboda wyboru mogłaby ponadto zakłócić konkurencję między podmiotami gospodarczymi w Unii, co byłoby sprzeczne z celami wyrażonymi przez prawodawcę Unii, w szczególności w motywach 9 i 13 wspomnianego rozporządzenia.
75 W konsekwencji należy stwierdzić, że art. 83 RODO nie pozwala na nałożenie administracyjnej kary pieniężnej za naruszenie, o którym mowa w jego ust. 4–6, bez wykazania, że naruszenie to zostało popełnione umyślnie lub nieumyślnie przez administratora i że w związku z tym zawinione naruszenie stanowi przesłankę nałożenia takiej kary pieniężnej.
76 W tym względzie należy jeszcze wyjaśnić w odniesieniu do kwestii, czy naruszenie zostało popełnione umyślnie lub nieumyślnie i z tego względu może podlegać administracyjnej karze pieniężnej na podstawie art. 83 RODO, czy administrator może zostać ukarany za zachowanie wchodzące w zakres stosowania RODO, jeżeli administrator ten nie mógł nie wiedzieć, że jego zachowanie stanowi naruszenie, niezależnie od tego, czy miał świadomość naruszania przepisów RODO, czy też nie (zob. analogicznie wyroki: z dnia 18 czerwca 2013 r., Schenker & Co. i in., C‑681/11, EU:C:2013:404, pkt 37 i przytoczone tam orzecznictwo; z dnia 25 marca 2021 r., Lundbeck/Komisja, C‑591/16 P, EU:C:2021:243, pkt 156; z dnia 25 marca 2021 r., Arrow Group i Arrow Generics/Komisja, C‑601/16 P, EU:C:2021:244, pkt 97).
77 W przypadku gdy administrator jest osobą prawną, należy jeszcze wyjaśnić, że stosowanie art. 83 RODO nie wymaga działania ani nawet wiedzy organu zarządzającego tej osoby prawnej (zob. analogicznie wyroki: z dnia 7 czerwca 1983 r., Musique Diffusion française i in./Komisja, od 100/80 do 103/80, EU:C:1983:158, pkt 97; z dnia 16 lutego 2017 r., Tudapetrol Mineralölerzeugnisse Nils Hansen/Komisja, C‑94/15 P, EU:C:2017:124, pkt 28 i przytoczone tam orzecznictwo).
78 W świetle powyższych rozważań na pytanie drugie należy odpowiedzieć, iż art. 83 RODO należy interpretować w ten sposób, że administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator, będący jednocześnie osobą prawną i przedsiębiorstwem, dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4–6 tego artykułu.
W przedmiocie kosztów
79 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:
1) Artykuł 58 ust. 2 lit. i) oraz art. 83 ust. 1–6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)
należy interpretować w ten sposób, że:
stoją one na przeszkodzie uregulowaniu krajowemu, na mocy którego administracyjna kara pieniężna może zostać nałożona na osobę prawną działającą w charakterze administratora za naruszenie, o którym mowa w art. 83 ust. 4–6 tego rozporządzenia, tylko wtedy, gdy naruszenie to zostało uprzednio przypisane zidentyfikowanej osobie fizycznej.
2) Artykuł 83 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator, będący jednocześnie osobą prawną i przedsiębiorstwem, dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4–6 tego artykułu.
Podpisy