ROZSUDOK SÚDNEHO DVORA (veľká komora)
z 5. decembra 2023 (*)
„Návrh na začatie prejudiciálneho konania – Ochrana osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 4 bod 7 – Pojem ‚prevádzkovateľ‘ – Článok 58 ods. 2 – Právomoci dozorných orgánov uložiť nápravné opatrenia – Článok 83 – Ukladanie správnych pokút právnickej osobe – Podmienky – Rozhodovací priestor členských štátov – Požiadavka úmyselného alebo nedbanlivostného charakteru porušenia“
Vo veci C‑807/21,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Kammergericht Berlin (Vyšší krajinský súd Berlín, Nemecko) zo 6. decembra 2021 a doručený Súdnemu dvoru 21. decembra 2021, ktorý súvisí s konaním:
Deutsche Wohnen SE
proti
Staatsanwaltschaft Berlin,
SÚDNY DVOR (veľká komora),
v zložení: predseda K. Lenaerts, podpredseda L. Bay Larsen, predsedovia komôr A. Arabadžiev (spravodajca), C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi, O. Spineanu–Matei, sudcovia M. Ilešič, J.–C. Bonichot, L. S. Rossi, A. Kumin, N. Jääskinen (spravodajca), N. Wahl a M. Gavalec,
generálny advokát: M. Campos Sánchez‑Bordona,
tajomník: D. Dittert, vedúci oddelenia,
so zreteľom na písomnú časť konania a po pojednávaní zo 17. januára 2023,
so zreteľom na pripomienky, ktoré predložili:
– Deutsche Wohnen SE, v zastúpení: O. Geiss, K. Mertens, N. Venn a T. Wybitul, Rechtsanwälte,
– nemecká vláda, v zastúpení: J. Möller a P.‑L. Krüger, splnomocnení zástupcovia,
– estónska vláda, v zastúpení: M. Kriisa, splnomocnená zástupkyňa,
– holandská vláda, v zastúpení: C. S. Schillemans, splnomocnená zástupkyňa,
– nórska vláda, v zastúpení: L.‑M. Moen Jünge, M. Munthe‑Kaas a T. Westhagen Edell, splnomocnené zástupkyne,
– Európsky parlament, v zastúpení: G. C. Bartram a P. López‑Carceller, splnomocnené zástupkyne,
– Rada Európskej únie, v zastúpení: J. Bauerschmidt a M. K. Pleśniak, splnomocnení zástupcovia,
– Európska komisia, v zastúpení: A. Bouchagiar, F. Erlbacher, H. Kranenborg a G. Meessen, splnomocnení zástupcovia,
po vypočutí návrhov generálneho advokáta na pojednávaní 27. apríla 2023,
vyhlásil tento
Rozsudok
1 Návrh na začatie prejudiciálneho konania sa týka výkladu článku 83 ods. 4 až 6 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“).
2 Tento návrh bol podaný v rámci sporu medzi spoločnosťou Deutsche Wohnen SE (ďalej len „DW“) a Staatsanwaltschaft Berlin (Prokuratúra Berlín, Nemecko) vo veci správnej pokuty, ktorá bola uložená spoločnosti DW na základe článku 83 GDPR z dôvodu porušenia článku 5 ods. 1 písm. a), c) a e), článku 6, ako aj článku 25 ods. 1 tohto nariadenia.
Právny rámec
Právo Únie
3 Odôvodnenia 9, 10, 11, 13, 74, 129 a 150 GDPR stanovujú:
„(9) … Rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov, najmä práva na ochranu osobných údajov, môžu brániť voľnému toku osobných údajov v [Európskej ú]nii. Uvedené rozdiely preto môžu predstavovať prekážku pri vykonávaní hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť orgánom v plnení úloh, ktoré majú vykonávať na základe práva Únie. …
(10) S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie. Pokiaľ ide o spracúvanie osobných údajov na účely dodržania zákonnej povinnosti, plnenia úloh realizovaných vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, členské štáty by mali mať možnosť zachovať alebo zaviesť vnútroštátne predpisy, ktorými by sa spresnilo uplatňovanie pravidiel stanovených v tomto nariadení. … Týmto nariadením sa tiež členským štátom dáva priestor na spresnenie [ich] pravidiel vrátane pravidiel spracúvania osobitných kategórií osobných údajov. V danom rozsahu toto nariadenie nevylučuje právo členského štátu, ktorým sa vymedzujú okolnosti špecifických spracovateľských situácií vrátane presnejšieho stanovenia podmienok, za ktorých je spracúvanie osobných údajov v súlade so zákonom.
(11) Účinná ochrana osobných údajov v rámci celej Únie si vyžaduje posilnenie a spresnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú a o ich spracúvaní rozhodujú, ako aj zodpovedajúcich právomocí na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov a zodpovedajúcich sankcií za porušenia pravidiel v členských štátoch.
…
(13) S cieľom zaručiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktorým sa poskytne právna istota a transparentnosť pre hospodárske subjekty vrátane mikropodnikov a malých a stredných podnikov, a ktorým sa fyzickým osobám vo všetkých členských štátoch poskytne rovnaká úroveň právne vymožiteľných práv, ktorým sa prevádzkovateľom a sprostredkovateľom uložia povinnosti a zodpovednosti, ktorým sa zabezpečí konzistentné monitorovanie spracúvania osobných údajov a ktorým sa stanovia rovnocenné sankcie vo všetkých členských štátoch, ako aj účinná spolupráca dozorných orgánov rozličných členských štátov. …
…
(74) Mali by sa stanoviť povinnosti a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto nariadením vrátane účinnosti opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva a slobody fyzických osôb.
…
(129) S cieľom zabezpečiť konzistentné monitorovanie a presadzovanie tohto nariadenia v celej Únii by dozorné orgány mali mať vo všetkých členských štátoch rovnaké úlohy a účinné právomoci vrátane právomocí v oblasti vyšetrovania, nápravných opatrení a sankcií… Predovšetkým by každé opatrenie malo byť vhodné, potrebné a primerané vzhľadom na zabezpečenie súladu s týmto nariadením, berúc do úvahy okolnosti každého konkrétneho prípadu, malo by rešpektovať právo každej osoby na vypočutie pred prijatím akéhokoľvek individuálneho opatrenia, ktoré by pre ňu mohlo mať nepriaznivé dôsledky, a nemalo by dotknutým osobám spôsobovať zbytočné náklady a neprimerané ťažkosti. Vyšetrovacie právomoci týkajúce sa prístupu do priestorov, by sa mali uplatňovať v súlade s osobitnými požiadavkami stanovenými v procesnom práve členského štátu, ako je napríklad požiadavka získania predchádzajúceho súdneho povolenia. Každé právne záväzné opatrenie dozorného orgánu by malo byť v písomnej podobe, malo by byť jasné a jednoznačné, mal by sa v ňom uvádzať dozorný orgán, ktorý ho vydal, dátum jeho vydania, podpis vedúceho alebo ním povereného člena dozorného orgánu, odôvodnenie opatrenia a poučenie o práve na účinný prostriedok nápravy. To by nemalo vylučovať ďalšie požiadavky podľa procesného práva členského štátu. …
…
(150) S cieľom posilniť a harmonizovať správne sankcie za porušovanie tohto nariadenia by každý dozorný orgán mal mať právomoc ukladať správne pokuty. V tomto nariadení by sa mali uviesť porušenia a horná hranica príslušných správnych pokút a kritériá ich stanovenia, ktoré by mal určiť príslušný dozorný orgán v každom jednotlivom prípade, pričom zohľadní všetky relevantné okolnosti konkrétnej situácie s náležitým zreteľom najmä na povahu, závažnosť a trvanie porušenia a jeho následkov, ako aj opatrenia, ktoré sa prijali na zabezpečenie súladu s povinnosťami podľa tohto nariadenia a na predchádzanie následkom porušenia alebo ich zmiernenie. Keď sa správne pokuty ukladajú podniku, podnik by sa mal na tieto účely považovať za podnik v súlade s článkami 101 a 102 [ZFEÚ]. …“
4 Článok 4 tohto nariadenia stanovuje:
„Na účely tohto nariadenia:
…
7. ‚prevádzkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;
8. ‚sprostredkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;
…
18. ‚podnik‘ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;
…“
5 Článok 58 uvedeného nariadenia s názvom „Právomoci“ v odsekoch 2 a 4 stanovuje:
„2. Každý dozorný orgán má všetky tieto nápravné právomoci:
a) upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia tohto nariadenia;
b) napomenúť prevádzkovateľ[a] alebo sprostredkovateľ[a], ak spracovateľské operácie porušili ustanovenia tohto nariadenia;
…
d) nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami tohto nariadenia;
…
f) nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania;
…
i) uložiť v závislosti od okolností každého jednotlivého prípadu správnu pokutu podľa článku 83, a to popri opatreniach uvedených v tomto odseku alebo namiesto nich;
…
4. Výkon právomocí udelených dozornému orgánu podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy a riadneho procesu, stanoveným v práve Únie a v práve členského štátu v súlade s [Chartou základných práv Európskej únie].“
6 Článok 83 toho istého nariadenia s názvom „Všeobecné podmienky ukladania správnych pokút“ znie:
„1. Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce.
2. Správne pokuty sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach uvedených v článku 58 ods. 2 písm. a) až h) a j) alebo namiesto nich. Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:
a) povaha, závažnosť a trvanie porušenia, pričom sa zohľadní povaha, rozsah alebo účel dotknutého spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli;
b) úmyselný alebo nedbanlivostný charakter porušenia;
c) akékoľvek kroky, ktoré prevádzkovateľ alebo sprostredkovateľ podnikol s cieľom zmierniť škodu, ktorú dotknuté osoby utrpeli;
d) miera zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijali podľa článkov 25 a 32;
e) akékoľvek relevantné predchádzajúce porušenia zo strany prevádzkovateľa alebo sprostredkovateľa;
f) miera spolupráce s dozorným orgánom pri náprave porušenia a zmiernení možných nepriaznivých dôsledkov porušenia;
g) kategórie osobných údajov, ktorých sa porušenie týka;
h) spôsob, akým sa dozorný orgán o porušení dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie oznámili, a ak áno, v akom rozsahu;
i) ak boli predtým voči dotknutému prevádzkovateľovi alebo sprostredkovateľovi v rovnakej veci prijaté opatrenia uvedené v článku 58 ods. 2, splnenie uvedených opatrení;
j) dodržiavanie schválených kódexov správania podľa článku 40 alebo schválených mechanizmov certifikácie podľa článku 42 a
k) akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu, ako napríklad akékoľvek získané finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením.
3. Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie.
4. Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 10 000 000 [eur], alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:
a) povinnosti prevádzkovateľa a sprostredkovateľa podľa článkov 8, 11, 25 až 39 a 42 a 43;
…
5. Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 20 000 000 [eur], alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:
a) základné zásady spracúvania vrátane podmienok súhlasu podľa článkov 5, 6, 7 a 9;
b) práva dotknutých osôb podľa článkov 12 až 22;
…
d) akékoľvek povinnosti podľa práva členského štátu prijatého podľa kapitoly IX;
e) nesplnenie príkazu alebo nedodržanie dočasného alebo definitívneho obmedzenia spracúvania alebo pozastavenia tokov údajov nariadeného dozorným orgánom podľa článku 58 ods. 2, alebo v rozpore s článkom 58 ods. 1 neposkytnutie prístupu.
6. Za nesplnenie príkazu dozorného orgánu podľa článku 58 ods. 2 sa podľa odseku 2 tohto článku uložia správne pokuty až do výšky 20 000 000 [eur], alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
7. Bez toho, aby boli dotknuté nápravné právomoci dozorných orgánov podľa článku 58 ods. 2, každý členský štát môže stanoviť pravidlá, či a v akom rozsahu sa môžu správne pokuty uložiť orgánom verejnej moci a verejnoprávnym subjektom zriadeným v danom členskom štáte.
8. Výkon právomocí dozorného orgánu podľa tohto článku podlieha primeraným procesným zárukám v súlade s právom Únie a právom členského štátu vrátane účinného súdneho prostriedku nápravy a riadneho procesu.
…“
Nemecké právo
7 V ustanovení § 41 ods. 1 prvej vete Bundesdatenschutzgesetz (spolkový zákon o ochrane údajov) z 30. júna 2017 (BGBl. 2017 I, s. 2097) sa uvádza, že pokiaľ nie je v tomto zákone stanovené inak, na porušenia uvedené v článku 83 ods. 4 až 6 GDPR sa uplatňujú ustanovenia Gesetz über Ordnungswidrigkeiten (zákon o správnych deliktoch) z 24. mája 1968 (BGBl. 1968 I, s. 481) v znení oznámenia z 19. februára 1987 (BGBl. 1987 I, s. 602) a zákona z 19. júna 2020 (BGBl. 2020 I, s. 1350, ďalej len „OWiG“).
8 Ustanovenie § 30 OWiG s názvom „Pokuty uložené právnickým osobám a združeniam osôb“ stanovuje:
„1. Ak sa osoba konajúca
(1) ako orgán oprávnený zastupovať právnickú osobu alebo ako člen takéhoto orgánu;
(2) ako štatutárny orgán združenia, ktoré nemá právnu spôsobilosť, alebo ako člen takéhoto štatutárneho orgánu;
(3) ako spoločník oprávnený zastupovať osobnú spoločnosť, ktorá má právnu spôsobilosť;
(4) ako generálny zástupca alebo v rámci riadiacej funkcie ako prokurista alebo oprávnený zástupca právnickej osoby alebo združenia osôb uvedených v bode 2 alebo 3, alebo
(5) ako iná osoba zodpovedná za riadenie prevádzkarne alebo podniku právnickej osoby alebo združenia osôb uvedených v bode 2 alebo 3 vrátane dohľadu nad riadením činnosti alebo akéhokoľvek iného výkonu kontrolnej právomoci v riadiacej funkcii;
dopustila trestného činu alebo správneho deliktu, v dôsledku čoho boli porušené povinnosti právnickej osoby alebo združenia osôb, alebo ak sa táto právnická osoba alebo toto združenie osôb obohatili alebo sa považujú za obohatené, možno tejto právnickej osobe alebo tomuto združeniu osôb uložiť pokutu.
…
4. Ak trestný čin alebo správny delikt nemá za následok začatie trestného konania alebo konania o správnom delikte, alebo ak je toto konanie zastavené alebo sa upustí od uloženia trestu, pokuta sa môže uložiť samostatne. Zákon môže tiež stanoviť, že pokutu možno uložiť samostatne aj v iných prípadoch. Samostatné uloženie pokuty právnickej osobe alebo združeniu osôb je však vylúčené, ak trestný čin alebo správny delikt nemožno sankcionovať z právnych dôvodov…“
9 Ustanovenie § 130 OWiG stanovuje:
„1. Každý, kto ako vlastník prevádzkarne alebo podniku úmyselne alebo z nedbanlivosti neprijme opatrenia v oblasti dohľadu, ktoré sú potrebné na to, aby sa v rámci prevádzkarne alebo podniku zabránilo nesplneniu povinností, ktoré má vlastník a ktorých porušenie je sankcionované uložením trestu alebo pokuty, sa v prípade, že dôjde k takémuto nesplneniu povinností, hoci by sa takémuto dôsledku mohlo zabrániť alebo mu v podstatnej miere zamedziť vykonaním náležitého dohľadu, dopustí správneho deliktu. Medzi potrebné opatrenia v oblasti dohľadu patrí aj vymenovanie, starostlivý výber a kontrola osôb vykonávajúcich dohľad.
…
3. Ak je za nesplnenie povinnosti možné uložiť trest, za správny delikt možno uložiť pokutu až do výšky 1 milióna eur. Uplatní sa § 30 ods. 2 tretia veta. Ak je za nesplnenie povinnosti možné uložiť pokutu, maximálna výška pokuty uloženej za porušenie povinnosti dohľadu sa určí na základe maximálnej výšky pokuty, ktorá hrozí za toto nesplnenie povinnosti. …“
Spor vo veci samej a prejudiciálne otázky
10 DW je realitná spoločnosť založená ako európska spoločnosť, ktorá je kótovaná na burze a ktorej sídlo sa nachádza v Berlíne (Nemecko). Prostredníctvom podielov v rôznych spoločnostiach vlastní nepriamo približne 163 000 bytových jednotiek a 3 000 komerčných priestorov.
11 Tieto bytové jednotky a komerčné priestory sú vo vlastníctve dcérskych spoločností spoločnosti DW, tzv. „holdingových spoločností“, ktoré vykonávajú bežnú prevádzkovú činnosť, zatiaľ čo DW sa sústreďuje na celkové riadenie skupiny, ktorú tvorí okrem iného aj s týmito dcérskymi spoločnosťami. Holdingové spoločnosti prenajímajú komerčné priestory a bytové jednotky, ktoré spravujú iné spoločnosti v rámci uvedenej skupiny, takzvané „servisné spoločnosti“.
12 DW a spoločnosti v rámci skupiny, ktorú prvá uvedená spoločnosť riadi, spracúvajú v súvislosti so svojou podnikateľskou činnosťou osobné údaje nájomcov komerčných priestorov a bytových jednotiek, ako napríklad doklady totožnosti, daňové údaje, údaje o sociálnom a zdravotnom poistení týchto nájomcov, ako aj údaje o predchádzajúcich nájomných zmluvách.
13 Dňa 23. júna 2017 Berliner Beauftragte für den Datenschutz (dozorný orgán Berlín, Nemecko; ďalej len „dozorný orgán“) v rámci kontroly na mieste upozornil DW na to, že spoločnosti patriace do jej skupiny uchovávajú dokumenty obsahujúce osobné údaje nájomcov v elektronickom archivačnom systéme, v prípade ktorého nemožno overiť, či je toto uchovávanie potrebné a zabezpečiť, aby údaje, ktoré už nie sú potrebné, boli vymazané.
14 Dozorný orgán požiadal DW, aby tieto dokumenty vymazala zo svojho elektronického archivačného systému najneskôr do konca roka 2017. V odpovedi na túto žiadosť DW uviedla, že vymazanie nie je možné z technických a právnych dôvodov.
15 Po výmene korešpondencie medzi DW a dozorným orgánom o možnosti vymazania predmetných dokumentov DW informovala dozorný orgán o svojom zámere vytvoriť nový systém uchovávania, ktorý nahradí systém obsahujúci uvedené dokumenty.
16 Dňa 5. marca 2019 dozorný orgán vykonal kontrolu v centrále skupiny, ktorú riadi DW. Počas tejto kontroly DW tomuto orgánu oznámila, že sporný elektronický archivačný systém už bol vyradený z prevádzky a bezodkladne bude vykonaná migrácia údajov do nového systému uchovávania.
17 Rozhodnutím z 30. októbra 2019 dozorný orgán uložil spoločnosti DW správnu pokutu vo výške 14 385 000 eur za úmyselné porušenie článku 5 ods. 1 písm. a), c) a e), ako aj článku 25 ods. 1 GDPR (ďalej len „predmetné rozhodnutie“). Dozorný orgán týmto rozhodnutím uložil spoločnosti DW ešte 15 ďalších pokút vo výške od 3 000 do 17 000 eur za porušenia článku 6 ods. 1 GDPR.
18 V predmetnom rozhodnutí dozorný orgán konkrétne konštatoval, že DW v období od 25. mája 2018 do 5. marca 2019 úmyselne neprijala opatrenia umožňujúce pravidelné vymazávanie osobných údajov týkajúcich sa nájomcov, ktoré už neboli potrebné alebo ktoré boli nenáležite uchovávané z iných dôvodov. Uviedol tiež, že DW aj naďalej uchovávala osobné údaje najmenej 15 bližšie identifikovaných nájomcov bez toho, aby to bolo potrebné.
19 DW podala proti tomuto rozhodnutiu žalobu na Verwaltungsgericht Berlin (Krajinský súd Berlín, Nemecko). Tento súd vec odložil s odôvodnením, že predmetné rozhodnutie je postihnuté tak závažnými nedostatkami, že nemôže slúžiť ako základ pre uloženie pokuty.
20 Uvedený súd najmä uviedol, že ukladanie pokuty právnickej osobe je vyčerpávajúci spôsobom upravené v § 30 OWiG, ktorý sa podľa § 41 ods. 1 spolkového zákona o ochrane údajov uplatňuje na porušenia uvedené v článku 83 ods. 4 až 6 GDPR. Podľa § 30 OWiG však možno spáchanie správneho deliktu konštatovať len voči fyzickej osobe, a nie voči právnickej osobe. Navyše právnickej osobe možno pripísať len konanie členov jej orgánov alebo jej zástupcov. Hoci odsek 4 uvedeného § 30 za určitých podmienok umožňuje začatie samostatného konania o správnom delikte voči právnickej osobe, nič to nemení na tom, že aj v tomto prípade sa vyžaduje, aby sa spáchanie správneho deliktu mohlo konštatovať voči členom orgánov alebo zástupcom dotknutej právnickej osoby.
21 Staatsanwaltschaft Berlin (Prokuratúra Berlín) podala proti tomuto rozhodnutiu odvolanie na Kammergericht Berlin (Vyšší krajinský súd Berlín, Nemecko), ktorý podal návrh na začatie prejudiciálneho konania.
22 Vnútroštátny súd sa v prvom rade pýta, či musí byť podľa článku 83 GDPR možné uložiť správnu pokutu právnickej osobe bez toho, aby bolo porušenie tohto nariadenia predtým pripísané identifikovanej fyzickej osobe. V tomto kontexte sa tento súd pýta najmä na relevantnosť pojmu „podnik“ v zmysle článkov 101 a 102 ZFEÚ.
23 V tejto súvislosti uvedený súd vysvetľuje, že podľa vnútroštátnej judikatúry je režim obmedzenej zodpovednosti právnických osôb zakotvený vo vnútroštátnom práve v rozpore s režimom priamej zodpovednosti podnikov podľa článku 83 GDPR. Najmä zo znenia článku 83 GDPR, ktorý má v súlade so zásadou prednosti práva Únie prednosť pred vnútroštátnym režimom, podľa tejto judikatúry vyplýva, že podnikom možno uložiť správne pokuty. Na rozdiel od toho, čo vyžaduje uplatniteľné vnútroštátne právo, teda nie je potrebné, aby bolo uloženie takýchto pokút spojené s protiprávnym konaním orgánov alebo riadiacich pracovníkov právnických osôb.
24 Podľa uvedeného súdu sa totiž v tejto judikatúre, rovnako ako vo väčšine vnútroštátnej odbornej literatúry, priznáva osobitný význam pojmu „podnik“ v zmysle článkov 101 a 102 ZFEÚ, a teda myšlienke, podľa ktorej sa zodpovednosť pripisuje hospodárskemu subjektu, v rámci ktorého došlo k nežiaducemu, napríklad protisúťažnému, správaniu. Podľa tohto „funkčného“ chápania sú všetky úkony všetkých zamestnancov oprávnených konať v mene podniku pripísateľné podniku, a to aj v súvislosti so správnym postihom.
25 V druhom rade za predpokladu, že by Súdny dvor dospel k záveru, že správnu pokutu musí byť možné uložiť priamo právnickej osobe, vnútroštátny súd sa pýta na kritériá, ktoré sa majú uplatniť pri určovaní zodpovednosti právnickej osoby ako podniku za porušenie GDPR. Chce najmä vedieť, či je možné uložiť právnickej osobe správnu pokutu podľa článku 83 tohto nariadenia bez toho, aby sa preukázalo, že k porušeniu uvedeného nariadenia, ktoré sa tejto právnickej osobe pripisuje, došlo zavinene.
26 Za týchto podmienok Kammergericht Berlin (Vyšší krajinský súd Berlín) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. Má sa článok 83 ods. 4 až 6 GDPR vykladať v tom zmysle, že do vnútroštátneho práva začleňuje funkčný pojem podniku a zásadu entity z funkčného hľadiska (‚Funktionsträgerprinzip‘), ktoré sa viažu k článkom 101 a 102 [ZFEÚ] s tým následkom, že pri rozšírení zásady entity z právneho hľadiska [‚Rechtsträgerprinzip‘], ktorá je základom § 30 [OWiG], je možné viesť konanie o správnom delikte priamo proti podniku a na uloženie pokuty sa nevyžaduje konštatovanie existencie správneho deliktu spáchaného identifikovanou fyzickou osobou, ktorý prípadne spĺňa všetky znaky skutkovej podstaty deliktu?
2. V prípade kladnej odpovede na prvú otázku: má sa článok 83 ods. 4 až 6 GDPR vykladať v tom zmysle, že je nutné, aby podnik prostredníctvom zamestnanca zavinene spáchal protiprávne konanie [pozri článok 23 nariadenia Rady (ES) č. 1/2003 zo 16. decembra 2002 o vykonávaní pravidiel hospodárskej súťaže stanovených v článkoch 81 a 82 Zmluvy (Ú. v. ES L 1, 2003, s. 1; Mim. vyd. 08/002, s. 205)], alebo na uloženie pokuty podniku v zásade stačí už aj objektívne porušenie povinností, ktoré mu možno pripísať (‚objektívna zodpovednosť‘)?“
O návrhu na opätovné začatie ústnej časti konania
27 Po pojednávaní, ktoré sa konalo 17. januára 2023, DW prostredníctvom podania doručeného do kancelárie Súdneho dvora 23. marca 2023 navrhla, aby sa nariadilo opätovné začatie ústnej časti konania podľa článku 83 Rokovacieho poriadku Súdneho dvora.
28 Na podporu svojho návrhu DW v podstate tvrdí, že v odpovediach poskytnutých vnútroštátnym súdom na žiadosť o vysvetlenie, ktorá mu bola zaslaná na základe článku 101 rokovacieho poriadku, boli Súdnemu dvoru poskytnuté nesprávne informácie o uplatniteľných ustanoveniach vnútroštátneho práva. Na pojednávaní, ktoré sa konalo 17. januára 2023, však nebolo možné túto otázku komplexne prediskutovať, pretože účastníci konania sa oboznámili s týmito odpoveďami len tri pracovné dni pred týmto pojednávaním. Takáto lehota totiž neumožňovala dôkladnú prípravu na pojednávanie.
29 Je pravda, že podľa článku 83 Rokovacieho poriadku Súdny dvor môže kedykoľvek po vypočutí generálneho advokáta rozhodnúť o opätovnom začatí ústnej časti konania, najmä ak usúdi, že nemá dostatok informácií, alebo ak účastník konania uviedol po skončení tejto časti konania novú skutočnosť, ktorá môže mať rozhodujúci vplyv na rozhodnutie Súdneho dvora, alebo ak sa má vo veci rozhodnúť na základe tvrdenia, ku ktorému sa dotknuté osoby nevyjadrili.
30 V prejednávanej veci však má Súdny dvor k dispozícii všetky informácie potrebné na rozhodnutie a o prejednávanej veci sa nemá rozhodnúť na základe tvrdení, ku ktorým sa dotknuté osoby nevyjadrili. Návrh na opätovné začatie ústnej časti konania okrem toho nepoukazuje na nijakú novú skutočnosť, ktorá by mohla mať rozhodujúci vplyv na rozhodnutie, ktoré má Súdny dvor prijať v prejednávanej veci.
31 Za týchto podmienok Súdny dvor po vypočutí generálneho advokáta zastáva názor, že nie je potrebné nariadiť opätovné začatie ústnej časti konania.
O prejudiciálnych otázkach
O prvej otázke
32 Vo svojej prvej otázke sa vnútroštátny súd v podstate pýta, či sa článok 58 ods. 2 a článok 83 ods. 1 až 6 GDPR majú vykladať v tom zmysle, že bránia vnútroštátnej právnej úprave, podľa ktorej možno právnickej osobe ako prevádzkovateľovi uložiť správnu pokutu za porušenie uvedené v odsekoch 4 až 6 tohto článku 83 len v prípade, že toto porušenie bolo predtým pripísané identifikovanej fyzickej osobe.
33 Na úvod treba uviesť, že nemecká vláda vo svojich písomných pripomienkach vyjadrila pochybnosti o tomto výklade vnútroštátneho práva vnútroštátnym súdom z dôvodu, že § 130 OWiG umožňuje uložiť právnickej osobe pokutu aj mimo prípadov uvedených v § 30 OWiG. Tieto dve ustanovenia okrem toho umožňujú uložiť v rámci konania začatého proti podniku tzv. „anonymnú“ pokutu bez toho, aby bolo potrebné identifikovať fyzickú osobu, ktorá sa dopustila predmetného porušenia.
34 V odpovedi na žiadosť o vysvetlenie, ktorá bola zaslaná vnútroštátnemu súdu a ktorá je uvedená v bode 28 tohto rozsudku, tento súd uviedol, že § 130 OWiG nemá vplyv na prvú položenú otázku.
35 Toto ustanovenie sa totiž podľa vnútroštátneho súdu vzťahuje na vlastníka prevádzkarne alebo podniku, ktorý zavinene porušil povinnosť dohľadu. Preukázanie takéhoto porušenia povinností vlastníka podniku, je však mimoriadne zložité a často nemožné a otázka, či možno skupinu podnikov kvalifikovať ako „podnik“ alebo „vlastníka podnikov“ v zmysle tohto ustanovenia, je na vnútroštátnej úrovni predmetom diskusií vyvolávajúcich kontroverziu. V každom prípade je prvá prejudiciálna otázka relevantná aj v tomto kontexte.
36 Je dôležité pripomenúť, že pokiaľ ide o výklad ustanovení vnútroštátneho právneho poriadku, Súdny dvor je v zásade povinný vychádzať z posúdenia vyplývajúceho z návrhu na začatie prejudiciálneho konania. Podľa ustálenej judikatúry totiž Súdny dvor nemá právomoc vykladať vnútroštátne právo členského štátu (rozsudok z 26. januára 2021, Hessischer Rundfunk, C‑422/19 a C‑423/19, EU:C:2021:63, bod 31 a citovaná judikatúra).
37 Na prvú prejudiciálnu otázku treba preto odpovedať na základe predpokladu, že podľa uplatniteľného vnútroštátneho práva možno právnickej osobe ako prevádzkovateľovi uložiť správnu pokutu za porušenie uvedené v článku 83 ods. 4 až 6 GDPR len za podmienok stanovených v § 30 OWiG, ako ich uviedol vnútroštátny súd.
38 Aby sa mohlo odpovedať na túto prvú otázku, treba najprv uviesť, že zásady, zákazy a povinnosti stanovené v GDPR sú určené najmä „prevádzkovateľom“, ktorých zodpovednosť sa vzťahuje – ako sa zdôrazňuje v odôvodnení 74 GDPR – na každé spracúvanie osobných údajov, ktoré vykonávajú prevádzkovatelia alebo ktoré sa uskutočňuje v ich mene a ktorí sú z tohto dôvodu povinní nielen zaviesť vhodné a účinné opatrenia, ale aj preukázať, že ich činnosti spracovania sú v súlade s GDPR, vrátane účinnosti opatrení prijatých na zabezpečenie takéhoto súladu. Práve na základe tejto zodpovednosti sa v prípade porušení uvedených v článku 83 ods. 4 až 6 tohto nariadenia ukladá prevádzkovateľovi podľa tohto článku 83 správna pokuta.
39 Článok 4 bod 7 GDPR definuje pojem „prevádzkovateľ“ široko ako fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný subjekt, ktorý sám alebo v spojení s inými určí účely a prostriedky spracovania osobných údajov.
40 V súlade s cieľom GDPR cieľ tejto širokej definície obsiahnutej v článku 4 bodu 7 GDPR – ktorý výslovne zahŕňa aj právnické osoby – spočíva v zabezpečení účinnej ochrany základných práv a slobôd fyzických osôb, ako aj najmä vysokej úrovne ochrany práva každej osoby na ochranu osobných údajov, ktoré sa jej týkajú (pozri v tomto zmysle rozsudky z 29. júla 2019, Fashion ID, C‑40/17, EU:C:2019:629, bod 66, a z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 73, ako aj citovanú judikatúru).
41 Súdny dvor už okrem toho rozhodol, že každú fyzickú alebo právnickú osobu, ktorá má vplyv na spracovanie osobných údajov na vlastné účely a z tohto dôvodu sa podieľa na určení účelov a prostriedkov tohto spracovania, možno považovať za prevádzkovateľa (pozri v tomto zmysle rozsudok z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 68).
42 Zo znenia a účelu článku 4 bodu 7 GDPR tak vyplýva, že na účely určenia zodpovednosti podľa tohto nariadenia normotvorca Únie nerozlišoval medzi fyzickými a právnickými osobami, pričom táto zodpovednosť je podmienená len tým, že tieto osoby samy alebo v spojení s inými osobami určia účely a prostriedky spracúvania osobných údajov.
43 Bez toho, aby bolo dotknuté ustanovenie článku 83 ods. 7 GDPR týkajúce sa orgánov verejnej moci a verejnoprávnych subjektov, je teda každá osoba, ktorá spĺňa túto podmienku – bez ohľadu na to, či ide o fyzickú osobu, právnickú osobu, orgán verejnej moci, agentúru alebo iný subjekt – zodpovedná okrem iného za akékoľvek porušenie uvedené v tomto článku 83 ods. 4 až 6, ktorého sa dopustila táto osoba alebo ktoré bolo spáchané v jej mene.
44 Pokiaľ ide o právnické osoby, na jednej strane to znamená, ako v podstate uviedol generálny advokát v bodoch 57 až 59 svojich návrhov, že tieto osoby sú zodpovedné nielen za porušenia, ktorých sa dopustili ich zástupcovia, riadiaci pracovníci alebo manažéri, ale aj akákoľvek iná osoba konajúca v rámci obchodnej činnosti týchto právnických osôb a na ich účet. Na druhej strane, pokiaľ možno právnické osoby kvalifikovať ako prevádzkovateľov, musí byť možné im v prípade takýchto porušení priamo uložiť správne pokuty podľa článku 83 GDPR.
45 Ďalej treba uviesť, že článok 58 ods. 2 GDPR presne vymedzuje nápravné právomoci, ktoré majú dozorné orgány, bez toho, aby odkazoval na právo členských štátov alebo ponechal týmto štátom priestor na voľnú úvahu. Na jednej strane sa však tieto právomoci, medzi ktoré patrí podľa odseku 2 písm. i) tohto článku 58 právomoc uložiť správnu pokutu, týkajú prevádzkovateľa a na druhej strane takýmto prevádzkovateľom môže byť, ako vyplýva z bodu 39 tohto rozsudku, tak fyzická, ako aj právnická osoba. Hmotnoprávne podmienky, ktoré musí dozorný orgán dodržiavať pri ukladaní takejto pokuty, sú presne vymedzené v odsekoch 1 až 6 tohto článku 83 bez toho, aby členským štátom ponechávali priestor na voľnú úvahu.
46 Zo znenia článku 4 bodu 7 v spojení s článkom 83 a článkom 58 ods. 2 písm. i) GDPR tak vyplýva, že správnu pokutu za porušenie uvedené v tomto článku 83 ods. 4 až 6 možno uložiť aj právnickým osobám, pokiaľ majú postavenie prevádzkovateľov. Naproti tomu žiadne ustanovenie GDPR neumožňuje vyvodiť záver, že uloženie správnej pokuty právnickej osobe ako prevádzkovateľovi je podmienené predchádzajúcim konštatovaním, že tohto porušenia sa dopustila identifikovaná fyzická osoba.
47 Z článku 58 ods. 4 a článku 83 ods. 8 GDPR v spojení s odôvodnením 129 tohto nariadenia síce vyplýva, že výkon právomocí dozorného orgánu vyplývajúcich z týchto článkov podlieha primeraným procesným zárukám v súlade s právom Únie a právom členských štátov vrátane účinného súdneho prostriedku nápravy a riadneho procesu.
48 Skutočnosť, že uvedené nariadenie tak dáva členským štátom možnosť stanoviť požiadavky týkajúce sa postupu, ktorý majú dozorné orgány uplatniť pri ukladaní správnej pokuty, však vôbec neznamená, že by boli oprávnené stanoviť nad rámec takýchto procesných požiadaviek aj ďalšie hmotnoprávne podmienky okrem tých, ktoré sú stanovené v článku 83 ods. 1 až 6. Navyše skutočnosť, že normotvorca Únie výslovne stanovil túto možnosť, ale nie možnosť stanoviť takéto ďalšie hmotnoprávne podmienky, potvrdzuje, že členským štátom v tejto súvislosti neponechal priestor na voľnú úvahu. Uvedené hmotnoprávne podmienky sú teda upravené výlučne právom Únie.
49 Vyššie uvedený doslovný výklad článku 58 ods. 2 a článku 83 ods. 1 až 6 GDPR je podporený účelom tohto nariadenia.
50 Najmä z odôvodnenia 10 GDPR vyplýva, že cieľom jeho ustanovení je okrem iného zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb pri spracúvaní osobných údajov v rámci Únie a na tento účel zabezpečiť konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd týchto osôb pri spracúvaní takýchto údajov v celej Únii. V odôvodneniach 11 a 129 GDPR sa okrem toho zdôrazňuje, že v záujme zabezpečenia konzistentného uplatňovania tohto nariadenia je potrebné zabezpečiť, aby dozorné orgány mali zodpovedajúce právomoci na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov a aby v prípade porušenia uvedeného nariadenia mohli ukladať zodpovedajúce sankcie.
51 Ak by sa však členským štátom umožnilo, aby ako nevyhnutnú podmienku na uloženie správnej pokuty prevádzkovateľovi, ktorý je právnickou osobou, podľa článku 83 GDPR, jednostranne požadovali, aby sa predmetné porušenie predtým pripísalo alebo mohlo pripísať identifikovanej fyzickej osobe, bolo by to v rozpore s týmto účelom GDPR. Okrem toho by takáto dodatočná požiadavka v konečnom dôsledku mohla v rozpore s článkom 83 ods. 1 GDPR oslabiť účinnosť a odradzujúci účinok správnych pokút uložených právnickým osobám ako prevádzkovateľom.
52 V tejto súvislosti treba pripomenúť, že článok 288 druhý odsek ZFEÚ stanovuje, že nariadenie Únie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch, čo vylučuje, ak nie je stanovené inak, aby členské štáty prijali vnútroštátne predpisy, ktoré ovplyvňujú pôsobnosť takéhoto nariadenia. Okrem toho sú členské štáty na základe povinností, ktoré vyplývajú zo Zmluvy o FEÚ, povinné nebrániť priamej uplatniteľnosti, ktorou sa vyznačujú nariadenia. Osobitne členské štáty nemôžu prijať akt, ktorý by osobám podliehajúcim súdnej právomoci utajil skutočnosť, že určité právne pravidlo má povahu práva Únie, a z toho vyplývajúce účinky (rozsudok z 15. novembra 2012, Al‑Aqsa/Rada a Holandsko/Al‑Aqsa, C‑539/10 P a C‑550/10 P, EU:C:2012:711, body 86 a 87, ako aj citovaná judikatúra).
53 Napokon vzhľadom na otázky vnútroštátneho súdu treba uviesť, že pojem „podnik“ v zmysle článkov 101 a 102 ZFEÚ nemá nijaký vplyv na otázku, či a za akých podmienok možno prevádzkovateľovi, ktorý je právnickou osobou, uložiť správnu pokutu podľa článku 83 GDPR, keďže túto otázku vyčerpávajúcim spôsobom upravuje článok 58 ods. 2 a článok 83 ods. 1 až 6 tohto nariadenia.
54 Tento pojem je totiž relevantný len na účely stanovenia výšky správnej pokuty ukladanej prevádzkovateľovi podľa článku 83 ods. 4 až 6 GDPR.
55 Ako uviedol generálny advokát v bode 45 svojich návrhov, odkaz na pojem „podnik“ v zmysle článkov 101 a 102 ZFEÚ, ktorý obsiahnutý v odôvodnení 150 tohto nariadenia, treba chápať práve v tomto osobitnom kontexte výpočtu správnych pokút ukladaných za porušenia uvedené v článku 83 ods. 4 až 6 GDPR.
56 V tejto súvislosti treba zdôrazniť, že na účely uplatnenia pravidiel hospodárskej súťaže uvedených v článkoch 101 a 102 ZFEÚ sa tento pojem vzťahuje na každý subjekt vykonávajúci hospodársku činnosť bez ohľadu na jeho právne postavenie a spôsob financovania. Označuje tak hospodársku jednotku, aj keď je táto hospodárska jednotka z právneho hľadiska zložená z viacerých fyzických alebo právnických osôb. Táto hospodárska jednotka pozostáva z jednotnej organizácie osobných, hmotných a nehmotných prvkov, ktoré dlhodobo sledujú konkrétny hospodársky cieľ (rozsudok zo 6. októbra 2021, Sumal, C‑882/19, EU:C:2021:800, bod 41 a citovaná judikatúra).
57 Z článku 83 ods. 4 až 6 GDPR, ktorý sa týka výpočtu správnych pokút za porušenia uvedené v týchto odsekoch, tak vyplýva, že v prípade, ak je adresátom správnej pokuty podnik alebo je tento adresát súčasťou podniku v zmysle článkov 101 a 102 ZFEÚ, maximálna výška správnej pokuty sa vypočíta na základe percentuálneho podielu celkového celosvetového ročného obratu dotknutého podniku za predchádzajúci účtovný rok.
58 V konečnom dôsledku, ako uviedol generálny advokát v bode 47 svojich návrhov, len správna pokuta, ktorej výška je určená na základe skutočnej hospodárskej alebo materiálnej schopnosti jej adresáta, a teda uložená dozorným orgánom na základe, pokiaľ ide o jej výšku, pojmu „hospodárska jednotka“ v zmysle judikatúry citovanej v bode 56 tohto rozsudku, môže spĺňať tri podmienky uvedené v článku 83 ods. 1 GDPR, a to byť zároveň účinná, primeraná a odrádzajúca.
59 Ak sa teda dozorný orgán na základe právomocí, ktoré má podľa článku 58 ods. 2 GDPR, rozhodne uložiť prevádzkovateľovi, ktorý je podnikom alebo súčasťou podniku v zmysle článkov 101 a 102 ZFEÚ, správnu pokutu podľa článku 83 uvedeného nariadenia, je tento orgán povinný podľa tohto posledného uvedeného ustanovenia v spojení s odôvodnením 150 toho istého nariadenia vychádzať pri výpočte správnych pokút za porušenia uvedené v odsekoch 4 až 6 tohto článku 83 z pojmu „podnik“ v zmysle týchto článkov 101 a 102 ZFEÚ.
60 Vzhľadom na predchádzajúce úvahy treba na prvú otázku odpovedať tak, že článok 58 ods. 2 písm. i) a článok 83 ods. 1 až 6 GDPR sa majú vykladať v tom zmysle, že bránia vnútroštátnej právnej úprave, podľa ktorej možno právnickej osobe ako prevádzkovateľovi uložiť správnu pokutu za porušenie uvedené v odsekoch 4 až 6 tohto článku 83 len v prípade, že toto porušenie bolo predtým pripísané identifikovanej fyzickej osobe.
O druhej otázke
61 Vo svojej druhej otázke, ktorá je položená pre prípad kladnej odpovede na prvú otázku, sa vnútroštátny súd v podstate pýta, či sa má článok 83 GDPR vykladať v tom zmysle, že správnu pokutu možno podľa tohto ustanovenia uložiť len vtedy, ak sa preukáže, že prevádzkovateľ, ktorý je právnickou osobou a zároveň podnikom, sa úmyselne alebo z nedbanlivosti dopustil porušenia uvedeného v odsekoch 4 až 6 tohto článku.
62 V tejto súvislosti treba pripomenúť, že z článku 83 ods. 1 GDPR vyplýva, že správne pokuty musia byť účinné, primerané a odradzujúce. Naproti tomu článok 83 GDPR výslovne nespresňuje, že porušenia uvedené v odsekoch 4 až 6 tohto článku možno sankcionovať takouto pokutou len vtedy, ak k nim došlo úmyselne alebo prinajmenšom z nedbanlivosti.
63 Nemecká, estónska a nórska vláda, ako aj Rada Európskej únie z toho najmä vyvodzujú, že normotvorca Únie mal v úmysle ponechať členským štátom určitý priestor na voľnú úvahu pri vykonávaní článku 83 GDPR, a umožniť im tak stanoviť, že správne pokuty možno uložiť podľa tohto ustanovenia bez toho, aby sa prípadne preukázalo, že porušenie GDPR sankcionované touto pokutou bolo spáchané úmyselne alebo z nedbanlivosti.
64 Takýto výklad článku 83 GDPR nemožno prijať.
65 Ako bolo v tejto súvislosti konštatované v bodoch 45 a 48 tohto rozsudku, hmotnoprávne podmienky, ktoré musí dozorný orgán dodržiavať pri ukladaní správnej pokuty prevádzkovateľovi, sú upravené výlučne právom Únie, pričom tieto podmienky sú presne a bez toho, aby členským štátom ponechávali priestor na voľnú úvahu, vymedzené v článku 83 ods. 1 až 6 GDPR (pozri tiež rozsudok z 5. decembra 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:XXX, body 64 až 70).
66 Pokiaľ ide o uvedené podmienky, treba poukázať na to, že v článku 83 ods. 2 GDPR sa uvádzajú okolnosti, ktoré má dozorný orgán zohľadniť pri ukladaní správnej pokuty prevádzkovateľovi. Medzi tieto okolnosti patrí podľa písmena b) tohto ustanovenia „úmyselný alebo nedbanlivostný charakter porušenia“. Naproti tomu nijaká z okolností uvedených v danom ustanovení neodkazuje na možnosť založiť zodpovednosť prevádzkovateľa v prípade, že nedošlo z jeho strany k zavinenému konaniu.
67 Článok 83 ods. 2 GDPR treba okrem toho vykladať v spojení s odsekom 3 tohto článku, ktorého cieľom je stanoviť dôsledky v prípadoch kumulácie porušení tohto nariadenia a podľa ktorého „ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie“.
68 Zo znenia článku 83 ods. 2 GDPR tak vyplýva, že správna pokuta môže byť prevádzkovateľovi podľa tohto článku uložená len za porušenia ustanovení tohto nariadenia, ktorých sa prevádzkovateľ dopustil zavinene, teda za porušenia, ktorých sa dopustil úmyselne alebo z nedbanlivosti.
69 Všeobecná štruktúra a účel GDPR podporujú tento výklad.
70 Na jednej strane normotvorca Únie stanovil systém sankcií umožňujúci dozorným orgánom ukladať sankcie, ktoré sú podľa okolností každého prípadu najvhodnejšie.
71 Článok 58 GDPR totiž v odseku 2 písm. i) stanovuje, že tieto orgány môžu uložiť správne pokuty podľa článku 83 tohto nariadenia „popri… alebo namiesto“ iných nápravných opatrení uvedených v tomto článku 58 ods. 2, ako sú upozornenia, napomenutia alebo príkazy. Rovnako odôvodnenie 148 uvedeného nariadenia okrem iného uvádza, že v prípade menej závažného porušenia alebo v prípade, že správna pokuta, ktorá môže byť uložená, predstavuje pre fyzickú osobu neprimeranú záťaž, dozorné orgány môžu upustiť od uloženia správnej pokuty a namiesto nej uložiť napomenutie.
72 Na druhej strane, ako bolo uvedené v bode 50 tohto rozsudku, cieľom ustanovení GDPR je najmä zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb pri spracúvaní osobných údajov v rámci Únie a na tento účel zabezpečiť konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd týchto osôb pri spracúvaní takýchto údajov v celej Únii. Okrem toho, aby sa zabezpečilo konzistentné uplatňovanie tohto nariadenia, musia mať dozorné orgány zodpovedajúce právomoci na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov, aby mohli v prípade porušení uvedeného nariadenia uložiť zodpovedajúce sankcie.
73 Existencia systému sankcií, ktorý umožňuje uložiť správnu pokutu podľa článku 83 GDPR, ak to odôvodňujú osobitné okolnosti každého jednotlivého prípadu, podnecuje prevádzkovateľov a sprostredkovateľov k dodržiavaniu tohto nariadenia. Správne pokuty svojím odrádzajúcim účinkom prispievajú k posilneniu ochrany fyzických osôb pri spracúvaní osobných údajov, a sú teda kľúčovým prvkom na zabezpečenie dodržiavania práv týchto osôb v súlade s účelom tohto nariadenia, ktorým je zabezpečiť vysokú úroveň ochrany takýchto osôb pri spracúvaní osobných údajov.
74 Normotvorca Únie však v záujme zabezpečenia takejto vysokej úrovne ochrany nepovažoval za potrebné stanoviť ukladanie správnych pokút v prípade neexistencie zavinenia. Vzhľadom na skutočnosť, že GDPR má za cieľ dosiahnuť rovnocennú a zároveň jednotnú úroveň ochrany a že na tento účel sa musí uplatňovať konzistentne v celej Únii, bolo by v rozpore s týmto cieľom, ak by členské štáty mohli stanoviť takéto pravidlá pre ukladanie pokút podľa článku 83 tohto nariadenia. Takáto sloboda voľby by okrem toho mohla narušiť hospodársku súťaž medzi hospodárskymi subjektmi v rámci Únie, čo by bolo v rozpore s cieľmi vyjadrenými normotvorcom Únie najmä v odôvodneniach 9 a 13 uvedeného nariadenia.
75 Treba preto konštatovať, že článok 83 GDPR neumožňuje uložiť správnu pokutu za porušenie uvedené v jeho odsekoch 4 až 6 bez toho, aby sa preukázalo, že prevádzkovateľ sa tohto porušenia dopustil úmyselne alebo z nedbanlivosti, a že teda zavinené porušenie predstavuje podmienku na uloženie takejto pokuty.
76 Pokiaľ ide o otázku, či bolo porušenie spáchané úmyselne alebo z nedbanlivosti, a teda môže byť sankcionované správnou pokutou podľa článku 83 GDPR, treba v tejto súvislosti ešte spresniť, že prevádzkovateľ môže byť sankcionovaný za správanie, ktoré patrí do pôsobnosti GDPR, ak tento prevádzkovateľ nemohol nevedieť o protiprávnej povahe svojho správania bez ohľadu na to, či vedel alebo nevedel o tom, že porušuje ustanovenia GDPR (pozri analogicky rozsudky z 18. júna 2013, Schenker & Co. a i., C‑681/11, EU:C:2013:404, bod 37, ako aj citovanú judikatúru; z 25. marca 2021, Lundbeck/Komisia, C‑591/16 P, EU:C:2021:243, bod 156, a z 25. marca 2021, Arrow Group a Arrow Generics/Komisia, C‑601/16 P, EU:C:2021:244, bod 97).
77 Ak je prevádzkovateľom právnická osoba, treba ešte upresniť, že predpokladom na uplatnenie článku 83 GDPR nie je konanie ani samotná informovanosť riadiaceho orgánu tejto právnickej osoby (pozri analogicky rozsudky zo 7. júna 1983, Musique Diffusion française a i./Komisia, 100/80 až 103/80, EU:C:1983:158, bod 97, ako aj zo 16. februára 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Komisia, C‑94/15 P, EU:C:2017:124, bod 28 a citovanú judikatúru).
78 Vzhľadom na predchádzajúce úvahy treba na druhú otázku odpovedať tak, že článok 83 GDPR sa má vykladať v tom zmysle, že správnu pokutu možno uložiť podľa tohto ustanovenia len vtedy, ak sa preukáže, že prevádzkovateľ, ktorý je právnickou osobou a zároveň podnikom, sa úmyselne alebo z nedbanlivosti dopustil porušenia uvedeného v odsekoch 4 až 6 tohto článku.
O trovách
79 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.
Z týchto dôvodov Súdny dvor (veľká komora) rozhodol takto:
1. Článok 58 ods. 2 písm. i) a článok 83 ods. 1 až 6 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
sa majú vykladať v tom zmysle, že:
bránia vnútroštátnej právnej úprave, podľa ktorej možno právnickej osobe ako prevádzkovateľovi uložiť správnu pokutu za porušenie uvedené v odsekoch 4 až 6 tohto článku 83 len v prípade, že toto porušenie bolo predtým pripísané identifikovanej fyzickej osobe.
2. Článok 83 nariadenia 2016/679
sa má vykladať v tom zmysle, že:
správnu pokutu možno uložiť podľa tohto ustanovenia len vtedy, ak sa preukáže, že prevádzkovateľ, ktorý je právnickou osobou a zároveň podnikom, sa úmyselne alebo z nedbanlivosti dopustil porušenia uvedeného v odsekoch 4 až 6 tohto článku.
Podpisy