2023 m. gruodžio 5 d. Europos Sąjungos Teisingumo Teismas (toliau – ESTT, Teismas) priėmė itin reikšmingus sprendimus dėl administracinių baudų už BDAR pažeidimus skyrimo sąlygų. Lietuvos ir Vokietijos nacionaliniai teismai su prejudicinius klausimais kreipėsi, be kita ko, dėl baudų skyrimo ir jų apskaičiavimo, o pateikiami išaiškinimai yra aktualūs visiems duomenų valdytojams.
Bylų aplinkybės
Byloje Deutsche Wohnen SE prieš Staatsanwaltschaft Berlin Vokietijos teismas kreipėsi į ESTT su prašymu priimti prejudicinį sprendimą dėl baudų už BDAR pažeidimus skyrimo juridiniams asmenims atsižvelgiant į koliziją su nacionaline teise. Nekilnojamojo turto bendrovė Deutsche Wohnen SE (toliau – DW), turėdama įvairių bendrovių kapitalo dalių, netiesiogiai valdo apie 163 000 gyvenamųjų būstų ir 3 000 komercinių patalpų. Būtent dėl šių duomenų subjektų asmens duomenų tvarkymo pažeidimų DW buvo paskirta 14 385 000 Eur bauda, dėl kurios ir kilo nagrinėjamas ginčas.
Antrąją bylą Teisingumo Teismui dėl prejudicinio sprendimo priėmimo perdavė Lietuvos teismas. Dėl COVID-19 pandemijos Nacionaliniam Visuomenės Sveikatos Centrui (toliau – NVSC) buvo pavesta užduotis įsigyti informacinių technologijų sistemą, skirtą su viruso nešiotojais sąlytį turėjusių asmenų duomenims registruoti ir stebėti. Šiam tikslui pasiekti NVSC pasitelkė IT paslaugų teikėją. Dėl su mobilia programėle susijusių BDAR pažeidimų NVSC skirta 12 000 Eur bauda, o IT paslaugų teikėjui – 3 000 Eur bauda.
Svarbiausios įžvalgos:
1. BDAR pažeidimas nebūtinai turi būti padarytas ar žinomas juridinio asmens valdymo organui, kad už jį būtų skiriama bauda. Kaip nurodė Teismas, juridiniai asmenys yra atsakingi už visus asmenis, veikiančius vykdant jų veiklą, o ne tik už valdymo organus. Kitaip tariant, baudos skyrimas juridiniam asmeniui, kaip duomenų valdytojui, jokiu būdu nepriklauso nuo to, ar prieš tai buvo nustatyta, kad pažeidimą padarė konkretus fizinis asmuo.
2. BDAR baudoms skirti reikia nustatyti kaltę. ESTT itin aiškiai nurodė, kad prieš skiriant baudą reikia nustatyti, ar duomenų valdytojas pažeidimą padarė tyčia, ar dėl aplaidumo. Tokiam elgesiui, tyčiniam ar aplaidžiam, priskiriami ir tie atvejai, kai duomenų valdytojas žino arba jau turėjo žinoti, kad savo veiksmais vykdo pažeidimą. Be to, Teismas pažymėjo, kad duomenų valdytojas yra atsakingas ne tik už savo paties atliekamą asmens duomenų tvarkymą, bet ir už asmens duomenų tvarkymą atliekamą jo vardu. Tiesa, duomenų valdytojas nėra atsakingas už duomenų tvarkytojo veiksmus, jei duomenų tvarkytojas tvarko duomenis savais tikslais arba nesilaikydamas su duomenų valdytoju sutartos sistemos.
3. Bendri duomenų valdytojai. Teismas taip pat išaiškino bendrų duomenų valdytojų sampratą. Visų pirma Teismas pabrėžė, kad pagrindiniai aspektai, į kuriuos reikia atsižvelgti tikrinant, ar yra bendras duomenų valdymas, yra duomenų tvarkymo tikslų ir priemonių nustatymas. Formalūs susitarimai nėra būtini, nes gali pakakti vieno ar kelių sutampančių sprendimų. Nepaisant to, bendri duomenų valdytojai turėtų nustatyti savo atsakomybę abipusiu susitarimu.
4. Kitos aplinkybės, susijusios su baudų pagal BDAR apskaičiavimu. Teismas taip pat nurodė, kad apskaičiuojant baudas subjektui, kuris yra įmonė arba jos dalis, reikia remtis konkurencijos teisės įmonės sąvoka. Taip pat pabrėžta, kad maksimalus administracinės baudos dydis turi būti apskaičiuojamas pagal atitinkamos įmonės ankstesnių finansinių metų bendros pasaulinės metinės apyvartos procentinę dalį.
Norėdami gauti daugiau informacijos ar konsultaciją, susijusią su duomenų apsauga, kviečiame konsultuotis su ECOVIS ProventusLaw duomenų apsaugos ekspertais.
Nuorodos į sprendimus: C‑807/21 ir C‑683/21
Parengė ECOVIS ProventusLaw jaunesnioji teisininkė Julija Ginotytė