Amenzile GDPR și responsabilitatea operatorilor - două decizii importante ale CJUE

Situația operatorilor asociați

În cauza C‑683/21, CJUE a stabilit că o entitate care însărcinează o altă companie să dezvolte o aplicație mobilă care prelucrează date cu caracter personal poate fi considerată „operator” dacă a contribuit la stabilirea scopurilor și mijloacelor de prelucrare a datelor, chiar dacă aceasta nu a prelucrat efectiv datele, nu și-a dat consimțământul explicit pentru anumite operațiuni de prelucrare sau nu a achiziționat aplicația respectivă. Excepție face situația în care entitatea s-a opus explicit punerii la dispoziție a aplicației și prelucrării datelor rezultate din aceasta.

De asemenea, CJUE a precizat că nu este necesar să existe un acord formal între entități pentru a fi considerate „operatori asociați”. Responsabilitatea comună privind prelucrarea datelor poate să rezulte din decizii convergente ale entităților care se completează reciproc, chiar dacă nu există un „acord” clar cu privire la scopurile și mijloacele de prelucrare a datelor. În plus, Curtea a subliniat că utilizarea datelor cu caracter personal în scopul testării informatice a unei aplicații mobile constituie o „prelucrare” în sensul GDPR, cu excepția cazului în care aceste date au fost anonimizate sau sunt pur fictive și nu se referă la o persoană fizică existentă.

Din contră, o persoană juridică răspunde atât pentru încălcările săvârșite de reprezentanții, directorii sau administratorii săi, cât și pentru cele săvârșite de orice altă persoană care acționează în cadrul activității sale comerciale și pe seama sa. Și, mai spune Curtea, aplicarea unei amenzi operatorului nu poate fi supusă constatării prealabile că această încălcare a fost comisă de o persoană fizică identificată.

În ceea ce privește impunerea de amenzi administrative pentru nerespectarea GDPR, CJUE a stabilit că acestea pot fi aplicate numai dacă se demonstrează că operatorul a săvârșit o încălcare a GDPR în mod intenționat sau din neglijență. Răspunderea operatorului nu poate fi extinsă la comportamentul unei persoane împuternicite de operator dacă aceasta a acționat în scopuri proprii sau într-un mod incompatibil cu instrucțiunile operatorului. Despre încălcările culpabile aflăm însă și din cea de-a doua cauză analizată de CJUE.

Încălcările culpabile - nu există intenție sau neglijență, nu poate exista sancțiune

Și în cauza C‑807/21, CJUE a analizat condițiile în care autoritățile de supraveghere din statele UE pot impune amenzi administrative companiilor în contextul GDPR. La fel ca în cauza din Lituania, prezentată mai sus, CJUE a spus și în cauza ce viza o societate germană că amenzile GDPR trebuie să se bazeze pe încălcări comise în mod intenționat sau din neglijență de către operatori, care pot fi fie persoane fizice, fie juridice.

Curtea a reamintit că sancțiunile pentru încălcarea GDPR trebuie să fie „eficace, proporționale și disuasive”, iar aplicarea lor trebuie să fie similară în toate statele membre. Acest lucru înseamnă că sancțiunile trebuie să fie adaptate la gravitatea și durata încălcării, precum și la impactul acesteia asupra persoanelor afectate, respectiv ale căror date personale au fost nelegal prelucrate.

Un punct important al hotărârii se referă la necesitatea dovedirii vinovăției. Operatorii – indiferent că sunt persoane fizice sau juridice – trebuie să fi comis încălcarea fie în mod intenționat, fie din neglijență. Pur și simplu, o încălcare care nu poate fi atribuită unei acțiuni sau omisiuni culpabile nu poate fundamenta impunerea unei amenzi. Aceasta este situația atunci când operatorul nu putea să nu cunoască natura ilicită a comportamentului său, indiferent dacă era sau nu conștient de încălcare. 

CJUE subliniază că niciunul dintre elementele enumerate în cuprinsul art. 83 (2) din GDPR nu menționează vreo posibilitate de a trage la răspundere operatorul în lipsa unui comportament culpabil din partea sa.

În fine, atunci când destinatarul este sau face parte dintr-o întreprindere, autoritatea de supraveghere trebuie să se întemeieze pe noțiunea de „întreprindere” din dreptul concurenței. Astfel, cuantumul maxim al amenzii trebuie calculat pe baza unui procent din cifra de afaceri anuală totală din exercițiul financiar precedent al întreprinderii în cauză, privită în ansamblul său.