–

za společnost Deutsche Wohnen SE: O. Geiss, K. Mertens, N. Venn a T. Wybitul, Rechtsanwälte,

–

za německou vládu: J. Möller a P.-L. Krüger, jako zmocněnci,

–

za estonskou vládu: M. Kriisa, jako zmocněnkyně,

–

za nizozemskou vládu: C. S. Schillemans, jako zmocněnkyně,

–

za norskou vládu: L.-M. Moen Jünge, M. Munthe-Kaas a T. Westhagen Edell, jako zmocněnkyně,

–

za Evropský parlament: G. C. Bartram a P. López-Carceller, jako zmocněnkyně,

–

za Radu Evropské unie: J. Bauerschmidt a M. K. Pleśniak, jako zmocněnci,

–

za Evropskou komisi: A. Bouchagiar, F. Erlbacher, H. Kranenborg a G. Meessen, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 83 odst. 4 až 6 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „nařízení GDPR“).

2

Tato žádost byla předložena v rámci sporu mezi společností Deutsche Wohnen SE (dále jen „společnost DW“) a Staatsanwaltschaft Berlin (Státní zastupitelství v Berlíně, Německo) ohledně správní pokuty, která byla uložena společnosti DW na základě článku 83 nařízení GDPR za porušení čl. 5 odst. 1 písm. a), c) a e), článku 6 a čl. 25 odst. 1 tohoto nařízení.

3

V bodech 9, 10, 11, 13, 74, 129 a 150 odůvodnění nařízení GDPR je uvedeno:

[…]

[…]

[…]

[…]

4

Článek 4 tohoto nařízení zní:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]

[…]“

5

Článek 58 uvedeného nařízení, nadepsaný „Pravomoci“, v odstavcích 2 a 4 stanoví:

„2.   Každý dozorový úřad má všechny tyto nápravné pravomoci:

[…]

[…]

[…]

[…]

4.   Výkon pravomocí svěřených tímto článkem dozorovému úřadu podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie a členského státu v souladu s Listinou [základních práv Evropské unie].“

6

Článek 83 tohoto nařízení, nadepsaný „Obecné podmínky pro ukládání správních pokut“, zní takto:

„1.   Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující.

2.   Správní pokuty se ukládají podle okolností každého jednotlivého případu kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j). Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:

3.   Pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.

4.   Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 10000000 [eur], nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:

[…]

5.   Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 20000000 [eur], nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:

6.   Za nesplnění příkazu dozorového úřadu podle čl. 58 odst. 2 lze v souladu s odstavcem 2 tohoto článku uložit správní pokuty až do výše 20000000 [eur], nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, podle toho, co je vyšší.

7.   Aniž jsou dotčeny nápravné pravomoci dozorových úřadů podle čl. 58 odst. 2, může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě.

8.   Na výkon pravomocí dozorovým úřadem podle tohoto článku se vztahují vhodné procesní záruky v souladu s právem Unie a členského státu, včetně účinné soudní ochrany a spravedlivého procesu.

[…]“

7

V ustanovení § 41 odst. 1 první věty Bundesdatenschutzgesetz (spolkový zákon o ochraně údajů) ze dne 30. června 2017 (BGBl. 2017 I, s. 2097) je uvedeno, že nestanoví-li tento zákon jinak, vztahují se na protiprávní jednání uvedená v čl. 83 odst. 4 až 6 nařízení GDPR ustanovení Gesetz über Ordnungswidrigkeiten (zákon o správních deliktech) ze dne 24. května 1968 (BGBl. 1968 I, s. 481), ve znění sdělení ze dne 19. února 1987 (BGBl. 1987 I, s. 602) a zákona ze dne 19. června 2020 (BGBl. 2020 I, s. 1350, dále jen „OWiG“).

8

Ustanovení § 30 OWiG, nadepsaného „Pokuty ukládané právnickým osobám a sdružením osob“, zní:

„(1)   Pokud se osoba jednající

dopustila trestného činu nebo správního deliktu, v důsledku čehož došlo k porušení povinností právnické osoby nebo sdružení osob nebo se tato právnická osoba či toto sdružení osob obohatily nebo se má za to, že se obohatily, může být této právnické osobě nebo tomuto sdružení osob uložena pokuta.

[…]

(4)   Není-li pro trestný čin nebo správní delikt zahájeno trestní řízení nebo řízení o správním deliktu nebo je-li toto řízení zastaveno nebo se upustí od uložení trestu, může být pokuta uložena samostatně. Zákon může stanovit možnost uložit pokutu samostatně i v jiných případech. Samostatné uložení pokuty právnické osobě nebo sdružení osob je nicméně vyloučeno, nelze-li za trestný čin nebo správní delikt uložit sankci z právních důvodů […]“

9

V ustanovení § 130 OWiG je uvedeno:

„(1)   Každý, kdo jakožto vlastník závodu či podniku úmyslně či z nedbalosti nepřijme opatření v oblasti dohledu, jež jsou nezbytná k tomu, aby se v daném závodu nebo podniku zabránilo neplnění povinností, které má vlastník a jejichž porušení je sankcionováno uložením trestu nebo pokuty, se v případě, že k takovému nesplnění povinností dojde, ačkoliv by se takovému důsledku mohlo zabránit nebo mu v podstatné míře zamezit prováděním náležitého dohledu, dopouští správního deliktu. K nezbytným opatřením v oblasti dohledu patří i jmenování, pečlivý výběr a kontrola osob vykonávajících dohled.

[…]

„(3)   Lze-li za nesplnění povinnosti uložit trest, může být daný správní delikt potrestán pokutou až do výše jednoho milionu eur. Použije se § 30 odst. 2 věta třetí. Lze-li za nesplnění povinnosti uložit pokutu, maximální výše pokuty uložené za porušení povinnosti dohledu se stanoví podle maximální výše pokuty, která hrozí za toto nesplnění povinnosti. […]“

10

DW je realitní společnost, která byla založena v právní formě evropské společnosti, je kótovaná na burze a sídlí v Berlíně (Německo). Prostřednictvím podílů v různých společnostech má nepřímo v majetku přibližně 163000 bytových jednotek a 3000 komerčních prostor.

11

Tyto jednotky a prostory se nacházejí ve vlastnictví dceřiných společností společnosti DW, tzv. „vlastnických společností“, které uskutečňují běžnou provozní činnost, zatímco společnost DW se soustředí na celkové řízení skupiny, kterou tvoří mimo jiné i s těmito společnostmi. Vlastnické společnosti komerční prostory a bytové jednotky pronajímají a jejich správu pak zajišťují další společnosti v rámci uvedené skupiny, tzv. „servisní společnosti“.

12

Společnost DW a společnosti v rámci skupiny, kterou prvně uvedená společnost řídí, zpracovávají v souvislosti se svojí podnikatelskou činností osobní údaje nájemců komerčních prostor a bytových jednotek, jako například doklady totožnosti, daňové údaje, údaje o sociálním a zdravotním pojištěním těchto nájemců, jakož i informace o předchozích nájemních smlouvách.

13

Dne 23. června 2017 Berliner Beauftragte für den Datenschutz (dozorový úřad v Berlíně, Německo, dále jen „dozorový úřad“) v rámci kontroly na místě upozornil společnost DW na to, že společnosti v rámci její skupiny uchovávají dokumenty obsahující osobní údaje nájemců v elektronickém archivačním systému, u něhož nelze ověřit, zda je toto uchovávání nezbytné, a zajistit, aby údaje, které již nejsou potřebné, byly vymazány.

14

Dozorový úřad společnost DW požádal, aby tyto dokumenty ze svého elektronického archivačního systému vymazala nejpozději do konce roku 2017. Společnost DW v odpovědi na tuto žádost uvedla, že výmaz není z technických a právních důvodů možný.

15

V návaznosti na korespondenci mezi společností DW a dozorovým úřadem ohledně možnosti výmazu dotčených dokumentů společnost DW tento úřad informovala, že má v úmyslu vytvořit nový systém pro uchovávání dat, který nahradí systém obsahující uvedené dokumenty.

16

Dne 5. března 2019 provedl dozorový úřad v ústředí skupiny řízené společností DW kontrolu. Společnost DW při kontrole tomuto úřadu sdělila, že sporný elektronický archivační systém už byl vyřazen z provozu a neprodleně bude provedena migrace údajů do nového systému pro uchovávání dat.

17

Rozhodnutím ze dne 30. října 2019 uložil dozorový úřad společnosti DW správní pokutu ve výši 14385000 eur za úmyslné porušení čl. 5 odst. 1 písm. a), c) a e) a čl. 25 odst. 1 nařízení GDPR (dále jen „dotčené rozhodnutí“). Dozorový úřad tímto rozhodnutím uložil společnosti DW ještě 15 dalších pokut ve výši od 3000 do 17000 eur za porušení čl. 6 odst. 1 nařízení GDPR.

18

Dozorový úřad v dotčeném rozhodnutí konkrétně konstatoval, že společnost DW v období od 25. května 2018 do 5. března 2019 úmyslně nepřijala opatření umožňující pravidelný výmaz osobních údajů nájemců, které už nebyly zapotřebí nebo byly nepatřičně uchovávány z jiného důvodu. Rovněž uvedl, že společnost DW i nadále uchovávala osobní údaje nejméně 15 blíže identifikovaných nájemců, ačkoliv to nebylo nutné.

19

Společnost DW podala proti tomuto rozhodnutí žalobu k Landgericht Berlin (Zemský soud v Berlíně, Německo). Uvedený soud věc odložil, jelikož měl za to, že je dotčené rozhodnutí stiženo natolik závažnými vadami, že nemůže být podkladem pro uložení pokuty.

20

Zmíněný soud zejména uvedl, že ukládání pokuty právnické osobě je vyčerpávajícím způsobem upraveno v § 30 OWiG, který se podle § 41 odst. 1 spolkového zákona o ochraně údajů vztahuje na porušení uvedená v čl. 83 odst. 4 až 6 nařízení GDPR. Podle § 30 OWiG však lze spáchání správního deliktu konstatovat pouze vůči fyzické osobě, a nikoli vůči osobě právnické. Kromě toho podotkl, že právnické osobě lze přičíst pouze jednání členů jejích orgánů nebo jejích zástupců. I když odstavec 4 zmíněného § 30 za určitých podmínek umožňuje zahájení samostatného řízení o správním deliktu vůči právnické osobě, nic to nemění na tom, že i v tomto případě se vyžaduje, aby bylo možné spáchání správního deliktu konstatovat ve vztahu k členům orgánů nebo zástupcům dotyčné právnické osoby.

21

Staatsanwaltschaft Berlin (Státní zastupitelství v Berlíně) podalo proti tomuto rozhodnutí odvolání u Kammergericht Berlin (Vrchní zemský soud v Berlíně, Německo), který je předkládajícím soudem.

22

Předkládající soud si zaprvé klade otázku, zda musí být podle článku 83 nařízení GDPR možné uložit správní pokutu právnické osobě, aniž bylo porušení tohoto nařízení předtím přičteno identifikované fyzické osobě. Předkládající soud se v této souvislosti zamýšlí mimo jiné nad relevancí pojmu „podnik“ ve smyslu článků 101 a 102 SFEU.

23

V tomto ohledu uvedený soud vysvětluje, že podle vnitrostátní judikatury je režim omezené odpovědnosti právnických osob zakotvený ve vnitrostátním právu v rozporu s režimem přímé odpovědnosti podniků podle článku 83 nařízení GDPR. Zejména ze znění článku 83 nařízení GDPR, který má v souladu se zásadou přednosti unijního práva přednost před vnitrostátním režimem, podle této judikatury vyplývá, že podnikům správní pokuty uložit lze. Na rozdíl od toho, co vyžaduje relevantní vnitrostátní právo, tudíž není nutné, aby bylo uložení takových pokut vázáno na protiprávní jednání orgánů nebo vedoucích pracovníků právnických osob.

24

Podle předkládajícího soudu se totiž v této judikatuře, stejně jako ve většině vnitrostátní odborné literatury, přikládá zvláštní význam pojmu „podnik“ ve smyslu článků 101 a 102 SFEU, a tedy tezi, že se odpovědnost přičítá hospodářské jednotce, ve které došlo k nežádoucímu – například protisoutěžnímu – jednání. Podle tohoto „funkčního“ pojetí jsou podniku přičitatelné veškeré úkony všech zaměstnanců oprávněných jednat jménem podniku, a to i v souvislosti se správním postihem.

25

Kdyby Soudní dvůr dospěl k závěru, že správní pokutu musí být možné uložit právnické osobě přímo, předkládající soud si zadruhé klade otázku, jaká kritéria je třeba použít při určování odpovědnosti právnické osoby jakožto podniku za porušení nařízení GDPR. Zejména se táže, zda lze právnické osobě uložit správní pokutu podle článku 83 tohoto nařízení, aniž je prokázáno, že k porušení uvedeného nařízení, které jí bylo přičteno, došlo zaviněně.

26

Za těchto podmínek se Kammergericht Berlin (Vrchní zemský soud v Berlíně) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

27

Po jednání, které se konalo dne 17. ledna 2023, navrhla společnost DW podáním došlým soudní kanceláři Soudního dvora dne 23. března 2023, aby bylo v souladu s článkem 83 jednacího řádu Soudního dvora nařízeno znovuotevření ústní části řízení.

28

Na podporu tohoto návrhu společnost DW v podstatě uvedla, že v odpovědích předkládajícího soudu na žádost o vysvětlení, která byla tomuto soudu zaslána na základě článku 101 jednacího řádu, byly Soudnímu dvoru poskytnuty nesprávné informace o použitelných ustanoveních vnitrostátního práva. Na jednání konaném dne 17. ledna 2023 přitom nebylo možné tuto otázku zevrubně prodiskutovat, jelikož se zúčastněné strany s těmito odpověďmi seznámily teprve tři pracovní dny před tímto jednáním. V takové době se na jednání nelze důkladně připravit.

29

Je pravda, že podle článku 83 jednacího řádu může Soudní dvůr kdykoli po vyslechnutí generálního advokáta nařídit znovuotevření ústní části řízení, zejména má-li za to, že věc není dostatečně objasněna, nebo předložil-li některý z účastníků řízení po ukončení této části řízení novou skutečnost, která může mít rozhodující vliv na rozhodnutí Soudního dvora, anebo má-li být věc rozhodnuta na základě argumentu, který nebyl mezi zúčastněnými projednán.

30

V projednávaném případě má však Soudní dvůr k dispozici všechny informace nezbytné k rozhodnutí a projednávaná věc nemá být rozhodnuta na základě argumentů, které nebyly mezi zúčastněnými projednány. Návrh na znovuotevření ústní části řízení kromě toho nepoukazuje na žádnou novou skutečnost, jež by mohla mít rozhodující vliv na rozhodnutí, které má Soudní dvůr v této věci vydat.

31

Za těchto podmínek má Soudní dvůr po vyslechnutí generálního advokáta za to, že není důvodné nařídit znovuotevření ústní části řízení.

32

Podstatou první otázky předkládajícího soudu je, zda musí být čl. 58 odst. 2 a čl. 83 odst. 1 až 6 nařízení GDPR vykládány v tom smyslu, že brání vnitrostátní právní úpravě, podle které lze uložit správní pokutu právnické osobě jakožto správci za porušení uvedené v odstavcích 4 až 6 tohoto článku 83 pouze tehdy, pokud bylo toto porušení předtím přičteno identifikované fyzické osobě.

33

Předně je třeba podotknout, že německá vláda v písemném vyjádření vyslovila pochybnosti ohledně tohoto výkladu vnitrostátního práva, jak jej provedl předkládající soud, jelikož § 130 OWiG umožňuje uložit pokutu právnické osobě i nad rámec případů uvedených v § 30 OWiG. V těchto dvou ustanoveních je kromě toho umožněno uložit v rámci řízení zahájeného proti podniku tzv. „anonymní“ pokutu bez nutnosti identifikovat fyzickou osobu, která se dopustila předmětného porušení.

34

V odpovědi na žádost o vysvětlení, která byla zaslána předkládajícímu soudu a která je zmíněna v bodě 28 tohoto rozsudku, tento soud uvedl, že § 130 OWiG nemá na první položenou otázku vliv.

35

Toto ustanovení se totiž podle předkládajícího soudu vztahuje na vlastníka závodu nebo podniku, který zaviněně porušil povinnost dohledu. Prokázání takového porušení povinností vlastníka podniku je ovšem mimořádně složité a často nemožné a otázka, zda lze skupinu podniků kvalifikovat jako „podnik“ nebo „vlastníka podniků“ ve smyslu uvedeného ustanovení, je na vnitrostátní úrovni předmětem diskuzí vyvolávajících kontroverzi. Podle předkládajícího soudu je první předběžná otázka v každém případě relevantní i v tomto kontextu.

36

Je třeba připomenout, že Soudní dvůr musí při výkladu ustanovení vnitrostátního právního řádu v zásadě vycházet z posouzení vyplývajícího z předkládacího rozhodnutí. Podle ustálené judikatury totiž Soudní dvůr nemá pravomoc vykládat vnitrostátní právo členského státu (rozsudek ze dne 26. ledna 2021, Hessischer Rundfunk,C‑422/19 a C‑423/19, EU:C:2021:63, bod 31 a citovaná judikatura).

37

Na první předběžnou otázku je tudíž třeba odpovědět na základě předpokladu, že podle použitelného vnitrostátního práva lze uložit správní pokutu právnické osobě jakožto správci za porušení uvedené v čl. 83 odst. 4 až 6 nařízení GDPR pouze za podmínek stanovených v § 30 OWiG, jak jsou popsány předkládajícím soudem.

38

Za účelem zodpovězení této první otázky je třeba nejprve uvést, že zásady, zákazy a povinnosti stanovené v nařízení GDPR jsou určeny zejména „správcům“, jejichž odpovědnost se vztahuje – jak je zdůrazněno v bodě 74 odůvodnění nařízení GDPR – na jakékoli zpracování osobních údajů prováděné správci nebo pro ně, a kteří proto musí nejen zavést vhodná a účinná opatření, ale rovněž být schopni doložit, že jejich činnosti zpracování jsou v souladu s nařízením GDPR, včetně účinnosti opatření přijatých k zajištění takového souladu. Právě na základě této odpovědnosti se v případě porušení uvedených v čl. 83 odst. 4 až 6 tohoto nařízení ukládá správci podle tohoto článku 83 správní pokuta.

39

Článek 4 bod 7 nařízení GDPR definuje pojem „správce“ široce jako fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

40

V souladu s cílem nařízení GDPR je cílem této široké definice obsažené v čl. 4 bodu 7 tohoto nařízení – v níž jsou výslovně uvedeny i právnické osoby – zajistit účinnou ochranu základních práv a svobod fyzických osob a zejména vysokou úroveň ochrany práva každého na ochranu osobních údajů, které se ho týkají (v tomto smyslu viz rozsudky ze dne 29. července 2019, Fashion ID, C‑40/17, EU:C:2019:629, bod 66, a ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 73 a citovaná judikatura).

41

Soudní dvůr již kromě toho rozhodl, že za správce lze považovat každou fyzickou nebo právnickou osobu, která pro své vlastní účely ovlivňuje zpracování osobních údajů, a proto se podílí na určování účelů a prostředků tohoto zpracování (v tomto smyslu viz rozsudek ze dne 10. července 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 68).

42

Ze znění a účelu čl. 4 bodu 7 nařízení GDPR tedy vyplývá, že unijní normotvůrce neprovedl pro účely určování odpovědnosti podle tohoto nařízení rozlišení mezi fyzickými a právnickými osobami; tato odpovědnost je podmíněna pouze tím, že tyto osoby samy nebo společně s jinými určují účely a prostředky zpracování osobních údajů.

43

Aniž je dotčeno ustanovení čl. 83 odst. 7 nařízení GDPR týkající se orgánů veřejné moci a veřejných subjektů, tudíž platí, že každá osoba splňující tuto podmínku – bez ohledu na to, zda se jedná o fyzickou osobu, právnickou osobu, orgán veřejné moci, agenturu nebo jiný subjekt – odpovídá mimo jiné za jakékoli porušení uvedené v čl. 83 odst. 4 až 6, kterého se dopustila sama nebo které bylo spácháno jejím jménem.

44

V případě právnických osob to znamená – jak v podstatě uvedl generální advokát v bodech 57 až 59 svého stanoviska – že tyto osoby jsou odpovědné nejen za porušení, kterých se dopustili jejich zástupci, řídící pracovníci nebo manažeři, ale i jakékoliv jiné osoby, které jednají v rámci obchodní činnosti těchto právnických osob jejich jménem. Pokud lze právnické osoby považovat za správce, musí být možné jim v případě takových porušení přímo uložit správní pokuty podle článku 83 nařízení GDPR.

45

Dále je třeba uvést, že čl. 58 odst. 2 nařízení GDPR přesně vymezuje nápravné pravomoci dozorových úřadů – neodkazuje přitom na právo členských států, ani neponechává těmto státům prostor pro uvážení. Tyto pravomoci, mezi něž podle odstavce 2 písm. i) tohoto článku 58 patří i pravomoc uložit správní pokutu, se přitom týkají správce a takovým správcem může být – jak vyplývá z bodu 39 tohoto rozsudku – fyzická i právnická osoba. Hmotněprávní podmínky, které musí dozorový úřad dodržovat při ukládání takové pokuty, jsou pak uvedeny v odstavcích 1 až 6 tohoto článku 83 – i tyto podmínky jsou vymezeny přesně a neponechávají členským státům prostor pro uvážení.

46

Ze znění čl. 4 bodu 7, článku 83 a čl. 58 odst. 2 písm. i) nařízení GDPR v jejich vzájemném spojení tak vyplývá, že správní pokuta za porušení uvedené v čl. 83 odst. 4 až 6 může být uložena i právnickým osobám, pokud mají postavení správce. Z žádného ustanovení nařízení GDPR naproti tomu nelze dovodit, že by podmínkou uložení správní pokuty právnické osobě jakožto správci bylo dřívější konstatování, že se tohoto porušení dopustila identifikovaná fyzická osoba.

47

Je pravda, že z čl. 58 odst. 4 a čl. 83 odst. 8 nařízení GDPR, vykládaných ve světle bodu 129 jeho odůvodnění, vyplývá, že se na výkon pravomocí dozorovým úřadem podle těchto článků vztahují vhodné procesní záruky v souladu s právem Unie a členského státu, včetně účinné soudní ochrany a spravedlivého procesu.

48

Skutečnost, že uvedené nařízení tak členským státům umožňuje stanovit požadavky týkající se postupu, který mají dozorové úřady uplatnit při ukládání správní pokuty, však v žádném případě neznamená, že kromě takových požadavků procesní povahy by tyto státy mohly stanovit i hmotněprávní podmínky doplňující ty, jež jsou stanoveny v tomto čl. 83 odst. 1 až 6. Skutečnost, že unijní normotvůrce výslovně stanovil tuto možnost, ale nikoli možnost stanovit takové doplňující hmotněprávní podmínky, mimoto potvrzuje, že v tomto ohledu neponechal členským státům prostor pro uvážení. Tyto hmotněprávní podmínky jsou tedy upraveny výlučně unijním právem.

49

Výše uvedený doslovný výklad čl. 58 odst. 2 a čl. 83 odst. 1 až 6 nařízení GDPR je potvrzen i účelem tohoto nařízení.

50

Zejména z bodu 10 odůvodnění nařízení GDPR vyplývá, že cílem jeho ustanovení je mimo jiné zajistit soudržnou a vysokou úroveň ochrany fyzických osob v souvislosti se zpracováním osobních údajů v Unii a za tímto účelem v celé Unii zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod těchto osob v souvislosti se zpracováním takových údajů. Body 11 a 129 odůvodnění nařízení GDPR kromě toho zdůrazňují, že je nutné zajistit, aby v zájmu jednotného uplatňování tohoto nařízení měly dozorové úřady rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů a aby mohly ukládat rovnocenné sankce za porušení uvedeného nařízení.

51

Kdyby přitom bylo členským státům umožněno, aby jakožto nezbytnou podmínku pro uložení správní pokuty správci, který je právnickou osobou, podle článku 83 nařízení GDPR, jednostranně požadovaly, aby dotčené porušení předtím bylo nebo mohlo být přičteno identifikované fyzické osobě, bylo by to v rozporu s tímto účelem nařízení GDPR. Takový doplňující požadavek by mimoto v konečném důsledku mohl v rozporu s čl. 83 odst. 1 nařízení GDPR oslabit účinnost a odrazující účinek správních pokut uložených právnickým osobám jako správcům.

52

V tomto ohledu je třeba připomenout, že čl. 288 druhý pododstavec SFEU stanoví, že unijní nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech, což vylučuje, není-li stanoveno jinak, aby členské státy přijímaly vnitrostátní právní předpisy ovlivňující rozsah působnosti takového nařízení. Členské státy jsou kromě toho na základě povinností vyplývajících ze Smlouvy o FEU povinny nebránit přímé použitelnosti, jíž se vyznačují nařízení. Zejména nesmějí přijmout akt, který by jednotlivcům zastíral skutečnost, že určité právní pravidlo má povahu unijního práva, a z toho plynoucí účinky (rozsudek ze dne 15. listopadu 2012, Al-Aqsa v. Rada a Nizozemsko v. Al-Aqsa, C‑539/10 P a C‑550/10 P, EU:C:2012:711, body 86 a 87, jakož i citovaná judikatura).

53

S ohledem na nejasnosti, nad nimiž se předkládající soud zamýšlí, je třeba nakonec uvést, že na otázku, zda a za jakých podmínek může být správci, který je právnickou osobou, uložena podle článku 83 nařízení GDPR správní pokuta, nemá pojem „podnik“ ve smyslu článků 101 a 102 SFEU žádný vliv, jelikož tato otázka je vyčerpávajícím způsobem upravena v čl. 58 odst. 2 a čl. 83 odst. 1 až 6 tohoto nařízení.

54

Tento pojem je totiž relevantní pouze při určování výše správní pokuty ukládané správci na základě čl. 83 odst. 4 až 6 nařízení GDPR.

55

Jak uvedl generální advokát v bodě 45 svého stanoviska, odkaz na pojem „podnik“ ve smyslu článků 101 a 102 SFEU, který je obsažen v bodě 150 odůvodnění tohoto nařízení, je třeba chápat právě v tomto specifickém kontextu výpočtu správních pokut ukládaných za porušení uvedená v čl. 83 odst. 4 až 6 nařízení GDPR.

56

V tomto ohledu je třeba zdůraznit, že pro účely uplatnění pravidel hospodářské soutěže podle článků 101 a 102 SFEU zahrnuje tento pojem jakoukoliv entitu, která vykonává hospodářskou činnost, nezávisle na právním postavení této entity a způsobu jejího financování. Označuje tak hospodářskou jednotku, i když je z právního hlediska tato hospodářská jednotka složena z několika fyzických nebo právnických osob. Tato hospodářská jednotka je tvořena jednotnou organizací osobních, hmotných a nehmotných prvků, která dlouhodobě sleduje určitý hospodářský cíl (rozsudek ze dne 6. října 2021, Sumal, C‑882/19, EU:C:2021:800, bod 41 a citovaná judikatura).

57

Z článku 83 odst. 4 až 6 nařízení GDPR, který se týká výpočtu správních pokut za porušení vyjmenovaná v těchto odstavcích, v této souvislosti vyplývá, že je-li entita, jíž je správní pokuta uložena, podnikem nebo součástí podniku ve smyslu článků 101 a 102 SFEU, maximální výše správní pokuty se vypočítá na základě procentního podílu celkového celosvětového ročního obratu dotyčného podniku za předchozí finanční rok.

58

Jak uvedl generální advokát v bodě 47 svého stanoviska, všechny tři podmínky uvedené v čl. 83 odst. 1 nařízení GDPR, a sice že pokuta musí být účinná, přiměřená a odrazující, může v konečném důsledku splnit pouze správní pokuta, jejíž výše je stanovena v závislosti na skutečné hospodářské či materiální schopnosti entity, jíž je určena, a která je dozorovým úřadem uložena – pokud jde o její výši – na základě pojmu „hospodářská jednotka“ ve smyslu judikatury citované v bodě 56 tohoto rozsudku.

59

Pokud se tedy dozorový úřad na základě pravomocí, které má podle čl. 58 odst. 2 nařízení GDPR, rozhodne uložit správci, který je podnikem nebo součástí podniku ve smyslu článků 101 a 102 SFEU, správní pokutu podle článku 83 uvedeného nařízení, je na základě posledně zmíněného ustanovení vykládaného ve světle bodu 150 odůvodnění tohoto nařízení povinen vycházet při výpočtu správních pokut za porušení uvedená v odstavcích 4 až 6 tohoto článku 83 z pojmu „podnik“ ve smyslu těchto článků 101 a 102 SFEU.

60

S ohledem na výše uvedené důvody je třeba na první otázku odpovědět tak, že čl. 58 odst. 2 písm. i) a čl. 83 odst. 1 až 6 nařízení GDPR musí být vykládány v tom smyslu, že brání vnitrostátní právní úpravě, podle které lze uložit správní pokutu právnické osobě jakožto správci za porušení uvedené v odstavcích 4 až 6 tohoto článku 83 pouze tehdy, pokud bylo toto porušení předtím přičteno identifikované fyzické osobě.

61

Podstatou druhé otázky předkládajícího soudu, která je položena pro případ, že by bylo na první otázku odpovězeno kladně, je, zda musí být článek 83 nařízení GDPR vykládán v tom smyslu, že správní pokutu lze na základě tohoto ustanovení uložit pouze tehdy, je-li prokázáno, že se správce, který je zároveň právnickou osobou a podnikem, dopustil porušení uvedeného v odstavcích 4 až 6 tohoto článku úmyslně nebo z nedbalosti.

62

V tomto ohledu je třeba připomenout, že podle čl. 83 odst. 1 nařízení GDPR musí být správní pokuty účinné, přiměřené a odrazující. Článek 83 nařízení GDPR naproti tomu výslovně neuvádí, že za porušení uvedená v odstavcích 4 až 6 tohoto článku lze uložit takovou pokutu pouze tehdy, pokud k nim došlo úmyslně nebo přinejmenším z nedbalosti.

63

Estonská, německá a norská vláda a Rada Evropské unie z toho zejména dovozují, že unijní normotvůrce zamýšlel ponechat členským státům určitý prostor pro uvážení při provádění článku 83 nařízení GDPR, a umožnit jim tak stanovit, že správní pokuty lze uložit na základě tohoto ustanovení, aniž je případně prokázáno, že k porušení nařízení GDPR sankcionovaného touto pokutou došlo úmyslně nebo z nedbalosti.

64

Takový výklad článku 83 nařízení GDPR nelze přijmout.

65

Jak bylo v tomto ohledu konstatováno v bodech 45 a 48 tohoto rozsudku, hmotněprávní podmínky, které musí dodržovat dozorový úřad při ukládání správní pokuty správci, jsou upraveny výlučně unijním právem – jsou přitom v čl. 83 odst. 1 až 6 nařízení GDPR vymezeny přesně a neponechávají členským státům prostor pro uvážení (viz rovněž rozsudek ze dne 5. prosince 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:XXX, body 64 až 70).

66

Pokud jde o uvedené podmínky, je třeba poznamenat, že čl. 83 odst. 2 nařízení GDPR uvádí okolnosti, které má dozorový úřad zohlednit při ukládání správní pokuty správci. Mezi těmito okolnostmi figuruje pod písm. b) tohoto ustanovení skutečnost, „zda k porušení došlo úmyslně nebo z nedbalosti“. Naproti tomu žádná z okolností uvedených v daném ustanovení neodkazuje na možnost založit odpovědnost správce při neexistenci zavinění z jeho strany.

67

Článek 83 odst. 2 nařízení GDPR je mimoto třeba vykládat ve spojení s odstavcem 3 tohoto článku, jehož cílem je stanovit důsledky případů kumulace porušení tohoto nařízení a který stanoví, že „pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení“.

68

Ze znění čl. 83 odst. 2 nařízení GDPR tak vyplývá, že správní pokuta může být správci na základě tohoto článku uložena pouze za porušení ustanovení tohoto nařízení, kterých se dopustil zaviněně, tedy za porušení, kterých se dopustil úmyslně nebo z nedbalosti.

69

Obecná systematika a účel nařízení GDPR tento výklad potvrzují.

70

Zaprvé unijní normotvůrce stanovil systém sankcí, který dozorovým úřadům umožňuje ukládat sankce, jež jsou podle okolností každého případu nejvhodnější.

71

Článek 58 nařízení GDPR totiž v odst. 2 písm. i) stanoví, že tyto úřady mohou ukládat správní pokuty podle článku 83 tohoto nařízení „vedle či namísto“ jiných nápravných opatření uvedených v tomto čl. 58 odst. 2, jako jsou upozornění, napomenutí nebo příkazy. Stejně tak bod 148 odůvodnění uvedeného nařízení mimo jiné uvádí, že jedná-li se o méně závažný případ porušení nebo pokud by pokuta, která bude pravděpodobně uložena, představovala pro fyzickou osobu nepřiměřenou zátěž, mohou dozorové úřady upustit od uložení správní pokuty a namísto ní uložit napomenutí.

72

Zadruhé, jak bylo uvedeno v bodě 50 tohoto rozsudku, cílem ustanovení nařízení GDPR je mimo jiné zajistit soudržnou a vysokou úroveň ochrany fyzických osob v souvislosti se zpracováním osobních údajů v Unii a za tímto účelem v celé Unii zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod těchto osob v souvislosti se zpracováním takových údajů. Kromě toho je nutné, aby v zájmu jednotného uplatňování tohoto nařízení měly dozorové úřady rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů, a mohly tak ukládat rovnocenné sankce za porušení uvedeného nařízení.

73

Existence systému sankcí, který umožňuje uložit správní pokutu podle článku 83 nařízení GDPR, je-li to odůvodněno konkrétními okolnostmi každého případu, podněcuje správce a zpracovatele k dodržování tohoto nařízení. Správní pokuty svým odrazujícím účinkem přispívají k posílení ochrany fyzických osob v souvislosti se zpracováním osobních údajů, a jsou tedy klíčovým prvkem pro zajištění dodržování práv těchto osob v souladu s účelem tohoto nařízení, kterým je zajistit vysokou úroveň ochrany takových osob v souvislosti se zpracováním osobních údajů.

74

Unijní normotvůrce nicméně pro účely zajištění takové vysoké úrovně ochrany nepovažoval za nutné stanovit uložení správních pokut při neexistenci zavinění. S ohledem na skutečnost, že nařízení GDPR usiluje o rovnocennou a zároveň jednotnou úroveň ochrany a musí být za tímto účelem uplatňováno soudržně v celé Unii, by bylo v rozporu s tímto účelem, kdyby členské státy mohly stanovit taková pravidla pro ukládání pokut podle článku 83 tohoto nařízení. Taková svoboda volby by mimoto mohla narušit hospodářskou soutěž mezi hospodářskými subjekty v rámci Unie, což by bylo v rozporu s cíli vyjádřenými unijním normotvůrcem zejména v bodech 9 a 13 odůvodnění uvedeného nařízení.

75

Je proto třeba konstatovat, že článek 83 nařízení GDPR neumožňuje uložit správní pokutu za porušení uvedené v jeho odstavcích 4 až 6, aniž je prokázáno, že se správce tohoto porušení dopustil úmyslně nebo z nedbalosti, a že tudíž zaviněné porušení představuje podmínku pro uložení takové pokuty.

76

Pokud jde o otázku, zda k porušení došlo úmyslně nebo z nedbalosti, a zda je tedy možné za něj uložit správní pokutu podle článku 83 nařízení GDPR, je třeba v tomto ohledu dále upřesnit, že správce může být sankcionován za jednání spadající do působnosti nařízení GDPR, pokud tento správce nemohl nevědět o protiprávní povaze svého jednání bez ohledu na to, zda věděl, či nevěděl o tom, že porušuje ustanovení nařízení GDPR (obdobně viz rozsudky ze dne 18. června 2013, Schenker & Co. a další, C‑681/11, EU:C:2013:404, bod 37 a citovaná judikatura; ze dne 25. března 2021, Lundbeck v. Komise, C‑591/16 P, EU:C:2021:243, bod 156, a ze dne 25. března 2021, Arrow Group a Arrow Generics v. Komise, C‑601/16 P, EU:C:2021:244, bod 97).

77

Je-li správcem právnická osoba, je třeba dále upřesnit, že předpokladem pro použití článku 83 nařízení GDPR není jednání nebo pouhá informovanost řídícího orgánu této právnické osoby (obdobně viz rozsudky ze dne 7. června 1983, Musique Diffusion française a další v. Komise, 100/80 až 103/80, EU:C:1983:158, bod 97, a ze dne 16. února 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen v. Komise, C‑94/15 P, EU:C:2017:124, bod 28 a citovaná judikatura).

78

S ohledem na výše uvedené úvahy je třeba na druhou otázku odpovědět tak, že článek 83 nařízení GDPR musí být vykládán v tom smyslu, že správní pokutu lze na základě tohoto ustanovení uložit pouze tehdy, je-li prokázáno, že se správce, který je zároveň právnickou osobou a podnikem, dopustil porušení uvedeného v odstavcích 4 až 6 tohoto článku úmyslně nebo z nedbalosti.

79

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (velký senát) rozhodl takto: