MANUELA CAMPOSA SÁNCHEZA-BORDONY
przedstawiona w dniu 27 kwietnia 2023 r. ( 1 )
Sprawa C‑807/21
Deutsche Wohnen SE
przeciwko
Staatsanwaltschaft Berlin
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Kammergericht Berlin (wyższy sąd krajowy w Berlinie, Niemcy)]
Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Naruszenia – Przypisanie przedsiębiorstwu naruszenia popełnionego przez pracowników – Możliwa odpowiedzialność niezależna od winy – Transpozycja pojęć rozwiniętych na gruncie prawa ochrony konkurencji
1. |
Niniejsze odesłanie prejudycjalne daje Trybunałowi okazję do orzeczenia w przedmiocie warunków, w których możliwe jest nałożenie administracyjnych kar pieniężnych na osobę prawną za naruszenia określone w rozporządzeniu (UE) 2016/679 ( 2 ). |
2. |
W szczególności należy ustalić:
|
I. Ramy prawne
A. Prawo Unii. RODO
3. |
Motyw 74 stanowi: „Należy nałożyć na administratora obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych”. |
4. |
Motyw 150 brzmi: „W celu wzmocnienia i zharmonizowania sankcji administracyjnych za naruszenie niniejszego rozporządzenia każdy organ nadzorczy powinien być uprawniony do nakładania administracyjnych kar pieniężnych. W niniejszym rozporządzeniu należy wymienić rodzaje naruszeń oraz wskazać górną granicę i kryteria ustalania związanych z nimi administracyjnych kar pieniężnych, które właściwy organ nadzorczy powinien określać indywidualnie dla każdego przypadku z uwzględnieniem wszystkich stosownych okoliczności danej sytuacji, z należytym uwzględnieniem w szczególności charakteru, wagi, czasu trwania naruszenia i jego konsekwencji, a także środków podjętych w celu zastosowania się do obowiązków wynikających z niniejszego rozporządzenia oraz w celu zapobieżenia konsekwencjom naruszenia lub w celu zminimalizowania tych konsekwencji. Jeżeli administracyjna kara pieniężna jest nakładana na przedsiębiorstwo, to »przedsiębiorstwo« należy do tych celów rozumieć zgodnie z art. 101 i 102 TFUE. […] Aby wspierać spójne stosowanie administracyjnych kar pieniężnych, można także użyć mechanizmu spójności. […]”. |
5. |
Artykuł 4 („Definicje”) stanowi: „Na użytek niniejszego rozporządzenia: […]
[…]
[…]”. |
6. |
Zgodnie z art. 58 („Uprawnienia”) ust. 2: „Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:
[…]
[…]”. |
7. |
Artykuł 83 („Ogólne warunki nakładania administracyjnych kar pieniężnych”) ma następujące brzmienie: „1. Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. 2. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
3. Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie. 4. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10000000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa […]. 5. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20000000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa: […] 6. Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega na mocy ust. 2 niniejszego artykułu administracyjnej karze pieniężnej w wysokości do 20000000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. […] 8. Wykonywanie przez organ nadzorczy uprawnień powierzonych mu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom proceduralnym zgodnie z prawem Unii i prawem państwa członkowskiego, obejmującym prawo do skutecznego sądowego środka ochrony prawnej i rzetelnego procesu. […]”. |
B. Prawo krajowe. Ordnungswidrigkeitengesetz (ustawa o wykroczeniach administracyjnych) ( 3 )
8. |
Zgodnie z § 9 ust. 1, gdy osoba działa jako: a) organ (lub członek tego organu) uprawniony do reprezentowania osoby prawnej, b) wspólnik uprawniony do reprezentowania spółki osobowej posiadającej zdolność prawną lub c) przedstawiciel ustawowy osoby trzeciej, będą miały do niej zastosowanie wszelkie przepisy, na podstawie których zadania, związki lub szczególne okoliczności osobiste uzasadniają ewentualną sankcję w sytuacji, gdy okoliczności te nie występują w przypadku tej osoby, lecz w przypadku osoby reprezentowanej. |
9. |
Na mocy § 9 ust. 2 powyższe ma zastosowanie również w przypadku właściciela zakładu (przedsiębiorstwa), który w całości lub w części powierzył innej osobie zarządzanie nim lub pełnienie na własną odpowiedzialność funkcji należnych właścicielowi. |
10. |
Paragraf 30 ust. 1 umożliwia nałożenie kary grzywny administracyjnej na osobę prawną w sytuacji, gdy osoba fizyczna, która ją reprezentuje, kieruje nią lub jest odpowiedzialna za zarządzanie nią, popełniła przestępstwo lub nie wypełniła obowiązków ciążących na tej osobie prawnej. |
11. |
Zgodnie z § 30 ust. 4 samoistne nałożenie kary pieniężnej na osobę prawną wymaga, aby przeciwko członkowi organu lub przedstawicielowi osoby prawnej nie zostało wszczęte żadne postępowanie, lub, jeżeli takie postępowanie zostało wszczęte, aby zostało ono zawieszone lub umorzone. |
12. |
Zgodnie z § 130 ust. 1 kto, będąc właścicielem gospodarstwa rolnego lub przedsiębiorstwa, umyślnie lub w wyniku zaniedbania nie podejmuje niezbędnych środków nadzoru w celu zapobieżenia niewywiązania się w gospodarstwie rolnym lub w przedsiębiorstwie z nałożonych na właściciela tego gospodarstwa lub przedsiębiorstwa obowiązków, a których naruszenie jest zagrożone karą lub grzywną, popełnia wykroczenie administracyjne, jeżeli temu naruszeniu można było zapobiec lub utrudnić jego popełnienie za pomocą odpowiednich środków nadzoru, wśród których znajdują się wyznaczenie, staranny dobór i kontrola odpowiedzialnych za kontrole. |
II. Okoliczności faktyczne, postępowanie główne i pytania prejudycjalne
13. |
Deutsche Wohnen SE (zwana dalej „Deutsche Wohnen”) jest notowaną na giełdzie spółką działającą na rynku nieruchomości z siedzibą w Berlinie (Niemcy). Poprzez swoje udziały w innych podmiotach pośrednio posiada ona około 163000 lokali mieszkalnych i 3000 lokali użytkowych. |
14. |
Właścicielami tych lokali są spółki zależne powiązane z Deutsche Wohnen („spółki holdingowe”), które prowadzą działalność operacyjną, podczas gdy Deutsche Wohnen zajmuje się zarządzaniem grupą na szczeblu centralnym. Spółki holdingowe wynajmują lokale mieszkalne i użytkowe, które są zarządzane przez inne spółki z koncernu, tak zwane spółki serwisowe. |
15. |
W ramach swojej działalności gospodarczej Deutsche Wohnen i spółki należące do koncernu przetwarzają dane osobowe najemców lokali. Dane te obejmują w szczególności dane dotyczące tożsamości, dane podatkowe, dane dotyczące ubezpieczenia społecznego i zdrowotnego, a także informacje na temat poprzednich umów najmu. |
16. |
W dniu 23 czerwca 2017 r., w ramach kontroli na miejscu, Berliner Beauftragte für den Datenschutz (berliński pełnomocnik ds. ochrony danych, zwany dalej „organem”) zwrócił uwagę Deutsche Wohnen na fakt, że spółki należące do jej koncernu zapisywały dane osobowe najemców w elektronicznym systemie archiwizacji, w przypadku którego nie można było prześledzić, czy przechowywanie było konieczne ani czy zapewniono usuwanie danych, które nie były już niezbędne. |
17. |
Organ ochrony danych zwrócił się do Deutsche Wohnen o usunięcie określonych dokumentów z elektronicznego systemu archiwizacji do końca 2017 r. |
18. |
Deutsche Wohnen odmówiła, wskazując, że usunięcie danych nie jest możliwe z przyczyn technicznych i prawnych. Zastrzeżenie to było przedmiotem spotkania Deutsche Wohnen z organem ochrony danych, w trakcie którego organ ten wskazał, że istnieją rozwiązania techniczne umożliwiające usunięcie danych. Dyskusje trwały, a Deutsche Wohnen ogłosiła, że rozważa wdrożenie nowego systemu, który miałby zastąpić ten odrzucony przez organ ochrony danych. |
19. |
W dniu 5 marca 2020 r. organ ochrony danych przeprowadził kontrolę w centrali koncernu tego przedsiębiorstwa, podczas której pobrano łącznie 16 losowych próbek z zasobu danych. Jednocześnie Deutsche Wohnen poinformowała organ, że zakwestionowany system archiwizacji został już wycofany z użytku i że migracja danych do nowego systemu nastąpi niebawem. |
20. |
W dniu 30 października 2020 r. organ ochrony danych ukarał Deutsche Wohnen za to, że:
|
21. |
Nałożone grzywny wyniosły 14385000 EUR za umyślne naruszenie art. 25 ust. 1 i art. 5 ust. 1 lit. a), c) i e) RODO i kwoty od 3000 do 17000 EUR za piętnaście naruszeń art. 6 ust. 1 RODO. |
22. |
Deutsche Wohnen odwołała się od tych kar do Landgericht Berlin (sądu krajowego w Berlinie, Niemcy), który to sąd uwzględnił odwołanie. |
23. |
Staatsanwaltschaft Berlin (prokuratura w Berlinie, Niemcy) zaskarżyła orzeczenie sądu pierwszej instancji do Kammergericht Berlin (wyższego sądu krajowego w Berlinie, Niemcy), który kieruje do Trybunału następujące pytania prejudycjalne:
|
III. Postępowanie przed Trybunałem
24. |
Wniosek o wydanie orzeczenia w trybie prejudycjalnym wpłynął do sekretariatu Trybunału w dniu 23 grudnia 2021 r. |
25. |
Uwagi na piśmie przedstawiły Deutsche Wohnen, rządy niemiecki, estoński i norweski, a także Komisja Europejska. |
26. |
W dniu 9 listopada 2022 r. Trybunał na mocy art. 101 § 1 regulaminu postępowania przed Trybunałem zwrócił się do sądu odsyłającego o wyjaśnienie:
|
27. |
Odnośne wyjaśnienia wpłynęły do sekretariatu Trybunału w dniu 11 stycznia 2023 r. |
28. |
W rozprawie, która odbyła się w dniu 17 stycznia 2023 r., uczestniczyły, poza podmiotami, które złożyły uwagi na piśmie, rząd niderlandzki, Parlament Europejski i Rada Unii Europejskiej. |
IV. Analiza
A. Pierwsze pytanie prejudycjalne
1. Uwagi wstępne
29. |
Pierwsze pytanie przedstawione przez sąd odsyłający w skrócie dotyczy tego, czy zgodnie z prawem Unii można nałożyć karę na osobę prawną za naruszenie RODO bez konieczności uprzedniego przypisania tego naruszenia osobie fizycznej. |
30. |
Sąd odsyłający wprowadził jednak do swojego pytania różne złożone okoliczności:
|
31. |
Sąd odsyłający stwierdza, że ustawodawstwo krajowe zezwala na nałożenie grzywny na przedsiębiorstwo tylko wtedy, gdy można mu przypisać określone wykroczenia administracyjne (wyłącznie) członków jego personelu kierowniczego wyznaczonych na przedstawicieli ( 5 ). |
32. |
Deutsche Wohnen i rząd niemiecki nie zgadzają się z takim twierdzeniem. Ich zdaniem art. 30 OWiG należy interpretować łącznie z art. 9 i 130 OWiG, z którymi tworzy spójny system sankcji. Zgodnie z tym systemem możliwe jest nałożenie kary administracyjnej na przedsiębiorstwo bez konieczności wszczynania postępowania przeciwko osobie fizycznej, która działała w jego imieniu ( 6 ). |
33. |
Sąd odsyłający, poproszony przez Trybunał o wypowiedzenie się na temat ewentualnego zastosowania art. 130 OWiG, odpowiedział, że nie ma on znaczenia dla pierwszego pytania prejudycjalnego. W celu uzasadnienia swojego stanowiska sąd ów podnosi, że:
|
34. |
Z wyjaśnień tych wynika, że pierwsze z pytań prejudycjalnych sądu odsyłającego dotyczy takiego rozumienia prawa krajowego, które wbrew opinii rządu niemieckiego obejmuje system osób prawnych, którego cechy czyniłyby go ostatecznie niezgodnym z prawem Unii. |
35. |
Trybunał musi przestrzegać krajowych ram prawnych w kształcie określonym przez sąd odsyłający ( 7 ), który jest uprawnionym interpretatorem swojego prawa krajowego. Kwestie dotyczące wykładni prawa Unii przedłożone przez sąd krajowy muszą zostać rozstrzygnięte w kontekście ram faktycznych i normatywnych określonych na jego odpowiedzialność, których prawidłowość nie podlega weryfikacji przez Trybunał ( 8 ). |
36. |
Na podstawie tych przesłanek przeanalizuję zatem pierwsze pytanie prejudycjalne. |
2. Osoby prawne będące adresatami kar w RODO
37. |
W świetle prawa Unii nic nie stoi na przeszkodzie, by uznać Deutsche Wohnen za sprawcę naruszenia i podmiot obłożony sankcją. Możliwość taka istnieje, w ujęciu abstrakcyjnym, w RODO i, konkretnie, została wykorzystana w niniejszej sprawie:
|
38. |
Jeśli chodzi o ujęcie abstrakcyjne, nie są potrzebne nadmierne rozważania w celu potwierdzenia, że osoba prawna może zostać bezpośrednio ukarana za naruszenie RODO. Wywnioskować to można bez trudności interpretacyjnych z lektury art. 4, 58 i 83 RODO:
|
39. |
Z ogółu tych przepisów naturalnie wynika, że RODO przewiduje, że bezpośrednim adresatem administracyjnych kar pieniężnych związanych z jego naruszeniem może być osoba prawna ( 12 ). Tę naturalność przyjęły właściwe w tej dziedzinie organy krajowe, które nie wahały się wymierzać grzywien, czasami wysokich, osobom prawnym naruszającym RODO ( 13 ). |
40. |
W odniesieniu do ujęcia konkretnego powtarzam, że organ ochrony danych zwrócił się do Deutsche Wohnen jako do administratora danych, nakazując jej usunięcie z archiwum określonych danych osobowych najemców, któremu to żądaniu przez określony czas przedsiębiorstwo to się nie podporządkowało, aż do zmiany swoich systemów przechowywania. |
3. Konieczność uprzedniego przypisania naruszenia osobie fizycznej?
41. |
Zdaniem sądu odsyłającego prawo krajowe wymaga, aby w celu bezpośredniego ukarania przedsiębiorstwa za naruszenie RODO najpierw została ustalona odpowiedzialność osoby fizycznej. Wynikałoby to z art. 30 OWiG: nałożenie grzywny na przedsiębiorstwo jest możliwe tylko wtedy, gdy określone naruszenia można przypisać członkom jego personelu kierowniczego wyznaczonym na przedstawicieli, przy tym przedstawiciel musi bezprawnie i w sposób zawiniony naruszyć normę, której naruszenie zagrożone jest sankcją grzywny ( 14 ). |
42. |
Wobec sprzeciwu rządu niemieckiego, który powołuje się na art. 130 OWiG w celu zakwestionowania wykładni sądu odsyłającego, sąd ten wypowiada się w sposób, który już wskazałem, opisując jego odpowiedź skierowaną do Trybunału ( 15 ). Reasumując, utrzymuje on, że ochrona praw przewidziana przez ten przepis jest bardzo ograniczona w porównaniu z systemem odpowiedzialności wynikającym z art. 101 i 102 TFUE. |
43. |
Przedstawiona przez sąd odsyłający zasada uprzedniej odpowiedzialności osoby fizycznej nie miałaby jednak zastosowania, gdyby art. 83 ust. 4–6 RODO przyjął za własne, włączając je do prawa krajowego, „funkcjonalne pojęcie przedsiębiorstwa” charakterystyczne dla art. 101 i 102 TFUE. |
a) Wpływ pojęcia użytego w art. 101 i 102 TFUE
44. |
Celem art. 83 ust. 4–6 RODO jest obliczenie wysokości sankcji odpowiadających wskazanym w nim naruszeniom RODO. W szczególności te trzy ustępy przewidują możliwość nałożenia sankcji na „przedsiębiorstwo”. |
45. |
W tym kontekście należy rozumieć odniesienie motywu 150 RODO do pojęcia przedsiębiorstwa w rozumieniu art. 101 i 102 TFUE. Przypomnę, że dla Trybunału „prawo konkurencji Unii dotyczy działalności przedsiębiorstw, a pojęcie przedsiębiorstwa obejmuje każdy podmiot wykonujący działalność gospodarczą, niezależnie od jego statusu prawnego i sposobu jego finansowania” ( 16 ). |
46. |
W zakresie, w jakim maksymalna wysokość sankcji za naruszenie RODO dla przedsiębiorstw administrujących danymi lub je przetwarzających jest ustalana jako procent „całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego”, punktem odniesienia do ustalenia tej kwoty nie może być formalna osobowość prawna spółki, lecz „jednostka gospodarcza” w znaczeniu wskazanym powyżej. |
47. |
Jest tak dlatego, że zgodnie z art. 83 ust. 1 RODO administracyjne kary pieniężne przewidziane w jego ust. 4–6 mają być „skuteczne, proporcjonalne i odstraszające”. Trzy cechy, które można przypisać jedynie grzywnie określanej w stosunku do rzeczywistej lub materialnej zdolności ekonomicznej adresata. Stąd też w celu obliczenia grzywny konieczne jest posługiwanie się pojęciem materialnym lub ekonomicznym „przedsiębiorstwa”, a nie pojęciem ściśle formalnym. |
48. |
Definicja realna lub materialna „przedsiębiorstwa”, charakterystyczna dla prawa konkurencji ( 17 ), jest przyjmowana zatem przez prawodawcę Unii w celu określenia wysokości grzywny za naruszenie RODO. Ale pragnę powtórzyć, że RODO przywołuje tę koncepcję tylko do tych celów. |
49. |
W niniejszej sprawie pojęcie przedsiębiorstwa, o którym mowa w art. 101 i 102 TFUE, mogłoby zatem mieć znaczenie dla obliczenia wysokości grzywny nakładanej na Deutsche Wohnen. To, czy tej ostatniej przypisze się, czy nie, status podmiotu podlegającego ukaraniu (rectius, sprawcy naruszenia), jest czymś, co nie zależy ściśle od zastosowania tych dwóch artykułów TFUE. |
50. |
Powyższe nie oznacza, że przez analogię ogólne zasady systemu sankcji prawa konkurencji (który posiada obszerną wykładnię dokonaną przez Trybunał) mają zastosowanie, mutatis mutandis, w dziedzinie odpowiedzialności osób prawnych za ich wykroczenia w zakresie ochrony danych osobowych ( 18 ). |
b) Bezpośrednie przypisanie naruszeń osobie prawnej
51. |
Czy przepis krajowy, który uzależnia nałożenie kar administracyjnych na osoby prawne od uprzedniego przeprowadzenia postępowania przeciwko osobie fizycznej, jest zgodny z RODO? |
52. |
Charakter RODO pociąga za sobą, poza jego zasięgiem ogólnym, to, że wiąże ono w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich, zgodnie z art. 288 TFUE. Cechy te zostałyby osłabione, gdyby państwa członkowskie mogły odstąpić od ostatecznej konfiguracji wymogów nałożonych w RODO przez prawodawcę Unii. |
53. |
Prawdą jest, że właśnie ze względu na szczególny charakter i cechy jego przedmiotu niektóre przepisy RODO pozostawiają państwom członkowskim pewien margines swobody w utrzymaniu lub przyjmowaniu przepisów krajowych w celu większego uszczegółowienia niektórych z nich. Ma to miejsce na przykład:
|
54. |
Tego marginesu swobody państwa, który był omawiany na rozprawie, moim zdaniem nie można rozszerzyć aż do ograniczenia możliwości przypisania naruszenia osobie prawnej jako takiej, co według sądu odsyłającego wynikałoby z art. 30 OWiG. |
55. |
Takie ukształtowanie systemu odpowiedzialności osób prawnych pozwalałoby na pozostawienie poza zakresem systemu sankcji RODO naruszeń, które zgodnie z tym rozporządzeniem należy przypisać osobie prawnej, jeśli tylko uzyska ona status administratora lub podmiotu przetwarzającego. Stałoby się tak, gdyby w tych naruszeniach nie brały udziału osoby fizyczne, które reprezentują osobę prawną, kierują nią lub zarządzają. |
56. |
Pragnę powtórzyć, że w zakresie, w jakim osoba prawna może być administratorem danych i, w tym charakterze, sprawcą zarzucanych jej naruszeń RODO, zastosowanie art. 30 OWiG mogłoby oznaczać nieuzasadnione osłabienie lub zmniejszenie zakresu sankcjonowania, co jest niezgodne z przepisem ogólnym samego RODO. |
57. |
Osoba prawna, którą można uznać za administratora lub podmiot przetwarzający dane osobowe, musi ponieść konsekwencje w postaci sankcji za naruszenia RODO popełnione nie tylko przez jej przedstawicieli, dyrektorów czy osoby zarządzające, lecz także przez osoby fizyczne (pracowników w szerokim znaczeniu), które działają w ramach działalności gospodarczej osoby prawnej i pod nadzorem tych pierwszych. |
58. |
W istocie te osoby fizyczne kształtują i wyznaczają wolę osoby prawnej, urzeczywistniając ją poprzez konkretne i poszczególne działania. Poszczególne działania, które jako konkretny przejaw tej woli można ostatecznie przypisać samej osobie prawnej. |
59. |
Krótko mówiąc, są to osoby fizyczne, które same nie będąc przedstawicielami osoby prawnej, w swoim działaniu podlegają tym, którzy reprezentując osobę prawną, dopuścili się braku nadzoru lub kontroli nad tymi pierwszymi. Ostatecznie możliwość przypisania naruszeń prowadzi do samej osoby prawnej w zakresie, w jakim naruszenie pracownika działającego z upoważnienia jego organów zarządzających stanowi wadę systemu kontroli i nadzoru, za który te organy zarządzające są bezpośrednio odpowiedzialne. |
60. |
Powyższe odpowiada wykładni prawa krajowego dokonanej przez sąd odsyłający. Rząd niemiecki utrzymuje jednak, że łączne stosowanie art. 9, 30 i 130 OWiG tworzy system, w którym możliwe jest ukaranie osoby prawnej za przypisywane jej naruszenia popełnione przez osoby fizyczne niepełniące funkcji zarządczych lub przedstawicielskich, bez konieczności ich identyfikacji ( 21 ). |
61. |
Jak już wskazałem, do sądu odsyłającego należy dokonanie wykładni przepisów jego prawa krajowego. To, czy zgodnie z przywołanymi przez rząd niemiecki ( 22 ) orzecznictwem i doktryną przepisy te dopuszczają wykładnię prawa krajowego zgodną z wymogami prawa Unii, powinny rozstrzygnąć sądy krajowe. |
62. |
W przypadku, gdyby taka wykładnia była contra legem i ze względu na specyfikę krajowego systemu sankcji niemożliwe było pełne zastosowanie przepisów RODO w tej materii, sąd odsyłający musiałby wykluczyć zastosowanie przepisu krajowego niezgodnego z prawem unijnym w celu zagwarantowania pierwszeństwa RODO. |
B. Drugie pytanie prejudycjalne
63. |
Sąd odsyłający zmierza do ustalenia, czy zgodnie z art. 83 ust. 4–6 RODO „przedsiębiorstwo musi ponosić winę za naruszenie dokonane przez pracownika […], czy też samo obiektywne naruszenie obowiązków, które można przypisać przedsiębiorstwu, wystarcza co do zasady do ukarania tego przedsiębiorstwa grzywną (»strict liability«)” ( 23 ). |
64. |
Tak sformułowane pytanie ma charakter hipotetyczny, co czyni je niedopuszczalnym z dwóch powodów. |
65. |
Po pierwsze, zgodnie z postanowieniem odsyłającym Deutsche Wohnen została ukarana grzywną za działanie zawinione (umyślne), a nie za zwykłe „obiektywne naruszenie” RODO. Z wyżej opisanego przebiegu wydarzeń wynika, że spółka ta nie zastosowała się świadomie i umyślnie do wezwania organu ochrony danych osobowych i trwała przy zakwestionowanym przetwarzaniu danych. Dla tej oceny nie ma znaczenia fakt, że podczas modyfikowania swoich systemów przetwarzania danych zgłosiła szereg trudności technicznych i prawnych. |
66. |
Po drugie, sąd odsyłający, wezwany przez Trybunał do wyjaśnienia swojego pytania, stwierdził, że sąd pierwszej instancji nie jest związany ustaleniami zawartymi w decyzji o wymierzeniu grzywny i że w przyszłości sąd ten mógłby orzekać w sprawie przyczyn odwołania od kary. Gdyby doszedł do przekonania, że naruszenie miało miejsce, konieczne będzie ustalenie, jakiego rodzaju wykroczenie miało miejsce, co będzie zależało od odpowiedzi na to drugie pytanie prejudycjalne. |
67. |
W oparciu o to wyjaśnienie drugie pytanie prejudycjalne ponownie ujawnia swój hipotetyczny charakter: orzeczenie w sprawie oceny zachowania nie jest niezbędne do rozstrzygnięcia sporu przed sądem odsyłającym, lecz raczej po zwróceniu sprawy do ponownego rozpoznania przez sąd pierwszej instancji, aby mógł orzec w przyszłości. |
68. |
W każdym razie i na wypadek, gdyby Trybunał zdecydował się rozstrzygnąć co do istoty sprawy, uważam, że odpowiedź na to pytanie nie zależy od wykładni art. 83 ust. 4–6 RODO, którego celem jest obliczenie administracyjnych kar pieniężnych. |
69. |
Sąd odsyłający rozróżnia: a) naruszenie popełnione przez pracownika osoby prawnej oraz b) wystąpienie umyślności lub nieumyślności ze strony osoby prawnej w tym naruszeniu. |
70. |
Moim zdaniem „naruszenie dokonane przez pracownika” jest w istocie i na podstawie tego, co zostało powiedziane w odniesieniu do pytania pierwszego, naruszeniem popełnionym przez osobę prawną, z której upoważnienia pracownik działał. |
71. |
Prawidłowo sformułowane pytanie dotyczy zatem możliwości ukarania osoby prawnej za obiektywne niewypełnienie (bez winy) obowiązków ciążących na niej jako na administratorze danych lub podmiocie przetwarzającym dane. |
72. |
Aby odpowiedzieć na to pytanie, przydatne może być odwołanie się do orzecznictwa Europejskiego Trybunału Praw Człowieka (ETPC) w odniesieniu do zasady ustawowej określoności czynów zabronionych i kar, którą gwarantuje art. 7 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (EKPC). |
73. |
Chociaż EKPC nie stanowi, ponieważ Unia do niej nie przystąpiła, instrumentu prawnego formalnie zintegrowanego z jej systemem prawnym, prawa podstawowe uznane w tej konwencji stanowią część prawa Unii jako zasady ogólne (art. 6 ust. 3 TUE). |
74. |
Zdaniem Trybunału „art. 52 ust. 3 karty, który stanowi, że zawarte w niej prawa, które odpowiadają prawom zagwarantowanym w EKPC, mają takie samo znaczenie i zakres jak prawa przyznane przez rzeczoną konwencję, ma na celu zapewnienie niezbędnej spójności między odpowiednimi prawami przewidzianymi w obu tych aktach bez naruszania autonomii prawa Unii i Trybunału” ( 24 ). |
75. |
Doktryna ETPC przy interpretacji art. 7 EKPC zawiera zatem nie do końca zbieżne niuanse:
|
76. |
W rzeczywistości przeniesienie dogmatycznych kategorii prawa karnego (nulla poena sine culpa) w celu ich zastosowania do administracyjnego prawa karnego nastręcza znacznych trudności interpretacyjnych. Pod pojęciem winy (pod postacią niedbalstwa) można ujmować przypadki zwykłego nieprzestrzegania przepisu prawnego, gdy jego sprawca miał obowiązek wiedzieć, jakiego zachowania się od niego wymaga. |
77. |
Z tej perspektywy różne postacie winy, w tym te o mniejszej wadze, jak również różne tytuły przypisania winy (np. wina w nadzorze lub wina w wyborze) mogą być orzekane w odniesieniu do zachowań, które z innej perspektywy niektóre sądy uznawałyby za przypadki odpowiedzialności na zasadzie ryzyka. Granice między jedną kategorią a drugą nie są zatem tak ostre w administracyjnym prawie karnym, jak wydaje się to wynikać z postanowienia odsyłającego. |
78. |
Wprawdzie, jeśli chodzi o prawo Unii, Trybunał dopuścił w niektórych przypadkach system, który uznaje za odpowiedzialność na zasadzie ryzyka. Stało się tak na przykład w wyroku z dnia 22 marca 2017 r., Euro-Team i Spirál-Gép, w następujący sposób:
|
79. |
Doktryna ta jednak utrwaliła się w obszarach innych niż ochrona danych, w związku z naruszeniem obowiązków o konotacjach w pierwszej kolejności formalnych: chodziło o nałożenie grzywny za korzystanie z odcinka autostrady bez uiszczenia wymaganej kwoty opłat za przejazd ( 29 ) lub naruszenie przepisów dotyczących używania wykresówek urządzenia rejestrującego w pojeździe ciężarowym ( 30 ). |
80. |
W przypadku obowiązków ustanowionych przez RODO – wśród których znajdują się te, które warunkują przetwarzanie danych (art. 5 RODO) i jego zgodność z prawem (art. 6 RODO) – ustalenie, czy były one przestrzegane, pociąga za sobą złożony proces oceny i postępowania, wykraczający poza zwykłe stwierdzenie formalnego naruszenia. |
81. |
W każdym razie uważam, że art. 83 RODO potwierdza wyłączenie systemu odpowiedzialności na zasadzie ryzyka (bez winy) w zakresie sankcjonowania, to znaczy wymaga umyślności lub nieumyślności w zachowaniu podlegającym ukaraniu. Moim zdaniem wynika to z różnych jego akapitów:
|
82. |
Stanowisko, które właśnie przedstawiłem, mogłoby być niewłaściwe, gdyby – jak bronią niektóre interweniujące rządy – brak wyraźnych przepisów w tej kwestii w RODO oznaczał, że państwa członkowskie mają możliwość wyboru subiektywnego systemu odpowiedzialności (umyślność lub nieumyślność) lub systemu, który obejmuje również odpowiedzialność na zasadzie ryzyka. |
83. |
Uznaję, że stanowisko tych rządów ma pewne poparcie argumentacyjne: w zakresie, w jakim art. 83 ust. 2 RODO odnosi się do umyślnego działania lub zaniedbania jako czynników przy ustalaniu kwoty grzywny, a nie jako nieuniknionych (niezbędnych) elementów samego zachowania stanowiącego naruszenie, przepis pozostawiałby państwom członkowskim otwartą możliwość skonfigurowania tych istotnych elementów naruszenia według własnego uznania. |
84. |
Jestem jednak zdania, podobnie jak Komisja, że prawidłowa interpretacja systemu sankcji ustanowionego przez RODO, którego zadanie w postaci bezpośredniego stosowania jest niezaprzeczalne, wymaga jednolitego i spójnego rozwiązania ( 33 ) dla wszystkich państw członkowskich, a nie tego, że każde z nich samo decyduje, czy sankcjonowane naruszenia powinny zostać rozszerzone, czy nie, na te, które nie mają charakteru umyślnego lub nieumyślnego. |
85. |
Stosowność rozwiązania jednolitego (oraz niewykonalność rozwiązania dzielącego) potwierdzają moim zdaniem motywy RODO, na które powołuje się sąd odsyłający w swoim wniosku o wydanie orzeczenia w trybie prejudycjalnym, w których ponownie podkreśla potrzebę karania naruszeń równorzędnymi sankcjami ( 34 ). Równorzędność nie miałaby miejsca, gdyby każde państwo członkowskie pozwoliło sobie na stypizowanie naruszeń o odmiennym charakterze, obejmując te, które polegają na zwykłych obiektywnych naruszeniach pozbawionych jakiegokolwiek elementu umyślnego lub nieumyślnego. |
V. Wnioski
86. |
W świetle ogółu powyższych rozważań proponuję Trybunałowi, by odpowiedział Kammergericht Berlin (wyższemu sądowi krajowemu w Berlinie, Niemcy) w sposób następujący: Artykuł 58 ust. 2 lit. i) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) w związku z art. 4 pkt 7 i art. 83 tego samego rozporządzenia należy interpretować w ten sposób, że: nałożenie administracyjnej kary pieniężnej na osobę prawną będącą administratorem danych osobowych nie jest uzależnione od uprzedniego stwierdzenia naruszenia popełnionego przez jedną lub kilka konkretnych osób fizycznych pracujących dla tej osoby prawnej. Administracyjne kary pieniężne, które mogą zostać nałożone zgodnie z rozporządzeniem 2016/679, wymagają wystąpienia umyślności lub nieumyślności zachowania stanowiącego sankcjonowane naruszenie. |
( 1 ) Język oryginału: hiszpański.
( 2 ) Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1) (zwane dalej „RODO”).
( 3 ) Ustawa z dnia 24 maja 1968 r. (BGBl. I 481; III 454-1) w brzmieniu z dnia 19 lutego 1987 r. (BGBl. I, s. 602), znowelizowana przez ustawę z dnia 19 czerwca 2020 r. (BGBl. I, s. 1328) (zwana dalej „OWiG”).
( 4 ) Rozporządzenie Rady z dnia 16 grudnia 2002 r. w sprawie wprowadzenia w życie reguł konkurencji ustanowionych w art. 81 i 82 traktatu (Dz.U. 2003, L 1, s. 1).
( 5 ) Uzasadnienie II pkt 1 postanowienia odsyłającego. Zobacz pkt 41 i nast. niniejszej opinii.
( 6 ) Punkt 45 uwag na piśmie Deutsche Wohnen oraz pkt 24 i 25 uwag na piśmie rządu niemieckiego.
( 7 ) W ramach postępowania, o którym mowa w art. 267 TFUE, opartego na wyraźnym rozdziale zadań sądów krajowych i Trybunału, ocena stanu faktycznego sprawy oraz wykładnia i zastosowanie prawa krajowego należą wyłącznie do sądu krajowego. Wyrok z dnia 26 kwietnia 2017 r., Farkas (C‑564/15, EU:C:2017:302, pkt 37).
( 8 ) Odmowa rozstrzygnięcia przez Trybunał w przedmiocie pytania prejudycjalnego jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia prawa Unii, o którą się zwrócono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem sporu w postępowaniu głównym, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego, które są niezbędne do udzielenia użytecznej odpowiedzi na przedstawione mu pytania [zob. w szczególności wyrok z dnia 27 września 2017 r., Puškár (C‑73/16, EU:C:2017:725, pkt 50)]. Żadna z tych okoliczności nie występuje w niniejszej sprawie.
( 9 ) Pomimo niechęci ze strony Deutsche Wohnen do przyznania się do tego statusu podczas rozprawy jest oczywiste, że jej profil pasuje do definicji „administratora danych” zawartej w art. 4 RODO. Jest tak bez względu na odpowiedzialność, którą w istocie ponosi za zarzucane jej naruszenia w charakterze „administratora”.
( 10 ) Inną kwestią jest to, że w celu ustalenia wysokości grzywny należy wziąć pod uwagę możliwą integrację Deutsche Wohnen i jej spółek zależnych w nadrzędną jednostkę gospodarczą. Wbrew pozorom w tym odesłaniu nie pojawiają się klasyczne problemy przypisania odpowiedzialności pomiędzy spółki macierzyste a spółki zależne lub grupy spółek.
( 11 ) Artykuł 4 pkt 7 RODO definiuje jako „administratora” w zakresie, w jakim jest to istotne w niniejszej sprawie, „osobę […] prawną […] któr[a] samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”; w pkt 8 określa „podmiot przetwarzający” jako „osobę […] prawną […], któr[a] przetwarza dane osobowe w imieniu administratora”.
( 12 ) Obejmuje to oczywiście również prawo do skutecznej ochrony prawnej przed sądem przeciwko dotyczącej jej prawnie wiążącej decyzji organu nadzorczego (art. 78 ust. 1 RODO), a zatem także przed ewentualną administracyjną karą pieniężną, która może zostać na nią nałożona.
( 13 ) Przykładowo irlandzki organ ochrony danych nałożył w dniu 31 grudnia 2022 r. kary w wysokości 210 mln euro na Facebooka i 180 mln euro na Instagram.
( 14 ) Uzasadnienie II pkt 1 postanowienia odsyłającego.
( 15 ) Zobacz pkt 32 niniejszej opinii.
( 16 ) Wyrok z dnia 27 kwietnia 2017 r., Akzo Nobel i in./Komisja (C‑516/15 P, EU:C:2017:314, pkt 47).
( 17 ) Zobacz w szczególności wyrok z dnia 10 kwietnia 2014 r., Areva i in./Komisja (C‑247/11 P i C‑253/11 P, EU:C:2014:257, pkt 123).
( 18 ) Jak już wskazałem, problemy dotyczące stosunków między spółkami dominującymi a spółkami zależnymi są do celów dotyczących sankcji wyłączone z niniejszego postępowania prejudycjalnego. W postanowieniu odsyłającym nie przedłożono również pytań dotyczących ciężaru dowodu w zakresie zarzucanych czynów.
( 19 ) Motyw 10 RODO.
( 20 ) Ibidem.
( 21 ) Punkt 25 uwag na piśmie rządu niemieckiego. Wobec tego poglądu sąd odsyłający utrzymuje, w sposób powyżej opisany, że nawet w połączeniu z art. 9 i 30 OWiG ochrona praw przewidziana w prawie krajowym byłaby bardzo ograniczona w porównaniu z systemem odpowiedzialności wynikającym z art. 101 i 102 TFUE.
( 22 ) Punkt 25 uwag na piśmie rządu niemieckiego, przypisy 16–18.
( 23 ) Wyrażenie strict liability zwykle w angielskim tłumaczeniu wyroków Trybunału odpowiada wyrażeniom responsabilidad objetiva (wersja hiszpańska); responsabilité objective (wersja francuska); responsabilità oggettiva (wersja włoska); responsabilidade objetiva (wersja portugalska); objektiven Verantwortlichkeit (wersja niemiecka) i objectieve aansprakelijkheid (wersja niderlandzka).
( 24 ) Zobacz w szczególności wyrok z dnia 2 lutego 2021 r., Consob (C‑481/19, EU:C:2021:84, pkt 36).
( 25 ) Wyrok ETPC z dnia 20 stycznia 2009 r., Sud Fondi i in. przeciwko Włochom (CE:ECHR:2009:0120JUD007590901, § 116).
( 26 ) CE:ECHR:1988:1007JUD001051983.
( 27 ) Wyrok ETPC z dnia 7 października 1988 r., Salabiaku przeciwko Francji, §§ 27, 28.
( 28 ) Wyrok z dnia 22 marca 2017 r., Euro-Team i Spirál-Gép (C‑497/15 i C‑498/15, EU:C:2017:229, pkt 53, 54), w którym powołano się na wyrok z dnia 9 lutego 2012 r., Urbán (C‑210/10, EU:C:2012:64, odpowiednio pkt 47, 48).
( 29 ) Wyrok z dnia 22 marca 2017 r., Euro-Team i Spirál-Gép (C‑497/15 i C‑498/15, EU:C:2017:229).
( 30 ) Wyrok z dnia 9 lutego 2012 r., Urbán (C‑210/10, EU:C:2012:64).
( 31 ) Zobacz jednak pkt 82 i 83 niniejszej opinii.
( 32 ) I tak na przykład lit. a) odnosi się do celu operacji przetwarzania. Litera c) do środków przyjętych w celu złagodzenia szkód. Litera d) do stopnia odpowiedzialności wynikającego z zastosowanych środków. Litera f) do zakresu współpracy z organem kontroli.
( 33 ) Motyw 150 RODO odnosi się do spójnego stosowania administracyjnych kar pieniężnych przez państwa członkowskie. Przeciwnie, te ostatnie mogą określić, „czy i w jakim zakresie administracyjnym karom pieniężnym powinny podlegać organy publiczne”. Powyższe nie wyklucza szczególnych przepisów dla Danii i Estonii, o których wspominano w motywie 151, i tez zawartych w motywie 152.
( 34 ) Motyw 10 RODO wzywa do „spójne[go] i jednolite[go] […] stosowani[a] przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych […]” (wyróżnienie moje). Motyw 11 stanowi, że za naruszenia powinny być wymierzane równorzędne kary, które to wyrażenie powtarza się w motywie 13.