Nałożenie administracyjnej kary pieniężnej na osobę prawną działającą w charakterze administratora danych (art. 83 RODO)

Art. 58 ust. 2 lit. i) oraz art. 83 ust. 1–6 RODO należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu, na mocy którego administracyjna kara pieniężna może zostać nałożona na osobę prawną działającą w charakterze administratora za naruszenie, o którym mowa w art. 83 ust. 4–6 tego rozporządzenia, tylko wtedy, gdy naruszenie to zostało uprzednio przypisane zidentyfikowanej osobie fizycznej.

Art. 83 RODO należy interpretować w ten sposób, że administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator, będący jednocześnie osobą prawną i przedsiębiorstwem, dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4–6 tego artykułu.

Osobę fizyczną lub prawną, która wpływa dla własnych interesów na przetwarzanie danych osobowych i uczestniczy z tego powodu w określeniu celów i sposobów tego przetwarzania, można uznać za administratora danych (zob. w tym zakresie wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C-25/17).  Z brzmienia i celu art. 4 pkt 7 RODO wynika zatem, że prawodawca Unii nie dokonał w celu ustalenia odpowiedzialności na podstawie tego rozporządzenia rozróżnienia między osobami fizycznymi a osobami prawnymi, jako że odpowiedzialność ta uzależniona została wyłącznie od warunku przewidującego, że osoby te, samodzielnie lub wspólnie z innymi osobami, określają cele i sposoby przetwarzania danych osobowych.

W związku z tym, z zastrzeżeniem tego, co zostało przewidziane w art. 83 ust. 7 RODO dotyczącym organów i podmiotów publicznych, każda osoba spełniająca ten warunek – niezależnie od tego, czy jest to osoba fizyczna, osoba prawna, organ publiczny, jednostka lub inny podmiot – jest w szczególności odpowiedzialna za każde naruszenie, o którym mowa w art. 83 ust. 4–6, popełnione przez nią lub w jej imieniu.

Co się tyczy osób prawnych, oznacza to, po pierwsze, jak zauważył w istocie rzecznik generalny w pkt 57–59 opinii, że są one odpowiedzialne nie tylko za naruszenia popełnione przez ich przedstawicieli, dyrektorów lub osoby zarządzające, lecz również przez każdą inną osobę działającą w ramach działalności gospodarczej tych osób prawnych i na ich rzecz. Po drugie, w przypadku takich naruszeń powinna istnieć możliwość nakładania administracyjnych kar pieniężnych przewidzianych w art. 83 RODO bezpośrednio na osoby prawne, jeżeli można je uznać za administratorów.

Z art. 4 pkt 7 w związku z art. 83 i art. 58 ust. 2 lit. i) RODO wynika, że administracyjna kara pieniężna za naruszenie, o którym mowa w tym art. 83 ust. 4–6, może zostać również nałożona na osoby prawne, jeżeli mają one status administratorów. Natomiast żaden przepis RODO nie pozwala uznać, że nałożenie administracyjnej kary pieniężnej na osobę prawną działającą w charakterze administratora jest uzależnione od uprzedniego stwierdzenia, że naruszenie to zostało popełnione przez zidentyfikowaną osobę fizyczną.

Zezwolenie państwom członkowskim na to, by w sposób jednostronny mogły wymagać w charakterze koniecznej przesłanki nałożenia administracyjnej kary pieniężnej na podstawie art. 83 RODO na administratora będącego osobą prawną, aby dane naruszenie zostało uprzednio przypisane lub mogło zostać przypisane zidentyfikowanej osobie fizycznej, byłoby sprzeczne z tym celem RODO. Ponadto taki dodatkowy wymóg mógłby ostatecznie osłabić skuteczność i odstraszający skutek administracyjnych kar pieniężnych nakładanych na osoby prawne jako administratorów, z naruszeniem art. 83 ust. 1 RODO.

Pojęcie „przedsiębiorstwa” w rozumieniu art. 101 i 102 TFUE nie ma wpływu na kwestię, czy i na jakich warunkach administracyjna kara pieniężna może zostać nałożona na podstawie art. 83 RODO na administratora będącego osobą prawną, ponieważ kwestia ta jest w sposób wyczerpujący uregulowana w art. 58 ust. 2 i art. 83 ust. 1–6 tego rozporządzenia. Z art. 83 ust. 4–6 RODO, który dotyczy obliczania administracyjnych kar pieniężnych za naruszenia wymienione w tych ustępach, wynika zatem, że w przypadku gdy adresat administracyjnej kary pieniężnej jest przedsiębiorstwem lub jego częścią w rozumieniu art. 101 i 102 TFUE, maksymalną kwotę administracyjnej kary pieniężnej oblicza się na podstawie odsetka całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W związku z tym, gdy organ nadzorczy postanawia w ramach uprawnień przysługujących mu na podstawie art. 58 ust. 2 RODO nałożyć na administratora, który jest przedsiębiorstwem lub jego częścią w rozumieniu art. 101 i 102 TFUE, administracyjną karę pieniężną na podstawie art. 83 tego rozporządzenia, organ ten przy obliczaniu administracyjnych kar pieniężnych za naruszenia, o których mowa w ust. 4–6 tego art. 83, jest zobowiązany – zgodnie z tym ostatnim przepisem, interpretowanym w świetle motywu 150 tego rozporządzenia – oprzeć się na pojęciu „przedsiębiorstwa” w rozumieniu art. 101 i 102 TFUE.

Wyrok TSUE z dnia 5 grudnia 2023 r., C-807/21

Standard: 84036 (pełna treść orzeczenia)