This document is an excerpt from the EUR-Lex website
Document 62021CJ0807
Judgment of the Court (Grand Chamber) of 5 December 2023.#Deutsche Wohnen SE v Staatsanwaltschaft Berlin.#Request for a preliminary ruling from the Kammergericht Berlin.#Reference for a preliminary ruling – Protection of personal data – Regulation (EU) 2016/679 – Article 4(7) – Concept of ‘controller’ – Article 58(2) – Powers of supervisory authorities to apply corrective measures – Article 83 – Imposition of administrative fines on a legal person – Conditions – Discretion of the Member States – Requirement that the infringement be intentional or negligent.#Case C-807/21.
Hotărârea Curții (Marea Cameră) din 5 decembrie 2023.
Deutsche Wohnen SE împotriva Staatsanwaltschaft Berlin.
Cerere de decizie preliminară formulată de Kammergericht Berlin.
Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 4 punctul 7 – Noțiunea de «operator» – Articolul 58 alineatul (2) – Competențele autorităților de supraveghere de a impune măsuri corective – Articolul 83 – Impunerea de amenzi administrative unei persoane juridice – Condiții – Marja de manevră a statelor membre – Cerința ca încălcarea să fie comisă intenționat sau din neglijență.
Cauza C-807/21.
Hotărârea Curții (Marea Cameră) din 5 decembrie 2023.
Deutsche Wohnen SE împotriva Staatsanwaltschaft Berlin.
Cerere de decizie preliminară formulată de Kammergericht Berlin.
Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 4 punctul 7 – Noțiunea de «operator» – Articolul 58 alineatul (2) – Competențele autorităților de supraveghere de a impune măsuri corective – Articolul 83 – Impunerea de amenzi administrative unei persoane juridice – Condiții – Marja de manevră a statelor membre – Cerința ca încălcarea să fie comisă intenționat sau din neglijență.
Cauza C-807/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2023:950
*A9* Kammergericht Berlin, beschluss vom 06/12/2021 (3 Ws 250/21 ; 161 AR 84/21)
HOTĂRÂREA CURȚII (Marea Cameră)
5 decembrie 2023 ( *1 )
„Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 4 punctul 7 – Noțiunea de «operator» – Articolul 58 alineatul (2) – Competențele autorităților de supraveghere de a impune măsuri corective – Articolul 83 – Impunerea de amenzi administrative unei persoane juridice – Condiții – Marja de manevră a statelor membre – Cerința ca încălcarea să fie comisă intenționat sau din neglijență”
În cauza C‑807/21,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Kammergericht Berlin (Tribunalul Regional Superior din Berlin, Germania), prin decizia din 6 decembrie 2021, primită de Curte la 21 decembrie 2021, în procedura
Deutsche Wohnen SE
împotriva
Staatsanwaltschaft Berlin,
CURTEA (Marea Cameră),
compusă din domnul K. Lenaerts, președinte, domnul L. Bay Larsen, vicepreședinte, domnii A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz și Z. Csehi și doamna O. Spineanu‑Matei, președinți de cameră, domnii M. Ilešič și J.‑C. Bonichot, doamna L. S. Rossi și domnii A. Kumin, N. Jääskinen (raportor), N. Wahl și M. Gavalec, judecători,
avocat general: domnul M. Campos Sánchez‑Bordona,
grefier: domnul D. Dittert, șef de unitate,
având în vedere procedura scrisă și în urma ședinței din 17 ianuarie 2023,
luând în considerare observațiile prezentate:
– |
pentru Deutsche Wohnen SE, de O. Geiss, K. Mertens, N. Venn și T. Wybitul, Rechtsanwälte; |
– |
pentru guvernul german, de J. Möller și P.‑L. Krüger, în calitate de agenți; |
– |
pentru guvernul eston, de M. Kriisa, în calitate de agent; |
– |
pentru guvernul neerlandez, de C. S. Schillemans, în calitate de agent; |
– |
pentru guvernul norvegian, de L.‑M. Moen Jünge, M. Munthe‑Kaas și T. Westhagen Edell, în calitate de agenți; |
– |
pentru Parlamentul European, de G. C. Bartram și P. López‑Carceller, în calitate de agenți; |
– |
pentru Consiliul Uniunii Europene, de J. Bauerschmidt și K. Pleśniak, în calitate de agenți; |
– |
pentru Comisia Europeană, de A. Bouchagiar, F. Erlbacher, H. Kranenborg și G. Meessen, în calitate de agenți, |
după ascultarea concluziilor avocatului general în ședința din 27 aprilie 2023,
pronunță prezenta
Hotărâre
1 |
Cererea de decizie preliminară privește interpretarea articolului 83 alineatele (4)-(6) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”). |
2 |
Această cerere a fost formulată în cadrul unui litigiu între Deutsche Wohnen SE (denumită în continuare „DW”), pe de o parte, și Staatsanwaltschaft Berlin (Parchetul din Berlin, Germania), pe de altă parte, în legătură cu o amendă administrativă impusă DW, în temeiul articolului 83 din RGPD, pentru încălcarea articolului 5 alineatul (1) literele (a), (c) și (e), a articolului 6, precum și a articolului 25 alineatul (1) din acest regulament. |
Cadrul juridic
Dreptul Uniunii
3 |
Considerentele (9), (10), (11), (13), (74), (129) și (150) ale RGPD au următorul cuprins:
[…]
[…]
[…]
[…]
|
4 |
În temeiul articolului 4 din acest regulament: „În sensul prezentului regulament: […]
[…]
[…]” |
5 |
Articolul 58 din regulamentul menționat, intitulat „Competențe”, prevede la alineatele (2) și (4): „(2) Fiecare autoritate de supraveghere are toate următoarele competențe corective:
[…]
[…]
[…]
[…] (4) Exercitarea competențelor conferite autorității de supraveghere în temeiul prezentului articol face obiectul unor garanții adecvate, inclusiv căi de atac judiciare eficiente și procese echitabile, prevăzute în dreptul Uniunii și în dreptul intern în conformitate cu [Carta drepturilor fundamentale a Uniunii Europene].” |
6 |
Articolul 83 din același regulament, intitulat „Condiții generale pentru impunerea amenzilor administrative”, este redactat după cum urmează: „(1) Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încălcările prezentului regulament menționate la alineatele (4), (5) și (6) este, în fiecare caz, eficace, proporțională și disuasivă. (2) În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor menționate la articolul 58 alineatul (2) literele (a)-(h) și (j). Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:
(3) În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare. (4) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 10000000 [de euro] sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare:
[…] (5) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 20000000 [de euro] sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare:
(6) Pentru încălcarea unui ordin emis de autoritatea de supraveghere în conformitate cu articolul 58 alineatul (2) se aplică, în conformitate cu alineatul (2) din prezentul articol, amenzi administrative de până la 20000000 [de euro] sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare. (7) Fără a aduce atingere competențelor corective ale autorităților de supraveghere menționate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse amenzi administrative autorităților publice și organismelor publice stabilite în statul membru respectiv. (8) Exercitarea de către autoritatea de supraveghere a competențelor sale în temeiul prezentului articol are loc cu condiția existenței unor garanții procedurale adecvate în conformitate cu dreptul Uniunii și cu dreptul intern, inclusiv căi de atac judiciare eficiente și dreptul la un proces echitabil. […]” |
Dreptul german
7 |
Articolul 41 alineatul (1) prima teză din Bundesdatenschutzgesetz (Legea federală privind protecția datelor) din 30 iunie 2017 (BGBl. 2017 I, p. 2097) prevede că, în lipsa unei dispoziții contrare în această lege, dispozițiile din Gesetz über Ordnungswidrigkeiten (Legea privind încălcările administrative) din 24 mai 1968 (BGBl. 1968 I, p. 481), în versiunea comunicată la 19 februarie 1987 (BGBl. 1987 I, p. 602), astfel cum a fost adaptată prin Legea din 19 iunie 2020 (BGBl. 2020 I, p. 1350, denumită în continuare „OWiG”), sunt aplicabile încălcărilor menționate la articolul 83 alineatele (4)-(6) din RGPD. |
8 |
Articolul 30 din OWiG, intitulat „Amenzi aplicate persoanelor juridice și asociațiilor de persoane”, prevede: „(1) Atunci când o persoană care acționează
a săvârșit o infracțiune sau o contravenție, astfel încât obligațiile care revin persoanei juridice sau asociației de persoane au fost încălcate sau această persoană juridică ori această asociație de persoane s‑a îmbogățit sau se consideră că s‑a îmbogățit, se poate aplica o amendă acestei persoane juridice sau acestei asociații de persoane. […] (4) În cazul în care infracțiunea sau contravenția nu duce la inițierea unei proceduri penale sau a unei proceduri contravenționale administrative ori dacă această procedură este clasată sau se renunță la orice pedeapsă, amenda poate fi aplicată în mod independent. De asemenea, legea poate prevedea posibilitatea aplicării amenzii în mod independent în alte cazuri. Cu toate acestea, aplicarea unei amenzi în mod independent persoanei juridice sau asociației de persoane este exclusă atunci când infracțiunea sau contravenția nu poate fi sancționată dintr‑un motiv juridic […]” |
9 |
Articolul 130 din OWiG prevede: „(1) Orice persoană care, în calitate de proprietar al unei unități sau al unei întreprinderi, omite în mod intenționat sau din neglijență să ia măsurile de supraveghere necesare pentru a preveni, în cadrul unității sau al întreprinderii, nerespectarea obligațiilor care îi revin proprietarului și a cărei încălcare este pasibilă de o pedeapsă sau de o amendă, săvârșește o contravenție atunci când o astfel de încălcare este săvârșită în condițiile în care o supraveghere adecvată ar fi permis prevenirea sau împiedicarea în mod semnificativ a încălcării. Măsurile de supraveghere necesare includ și desemnarea, selectarea minuțioasă și controlul persoanelor responsabile cu supravegherea. […] (3) Atunci când nerespectarea unei obligații este pasibilă de o pedeapsă, contravenția poate fi sancționată cu o amendă de maximum un milion de euro. Se aplică articolul 30 alineatul (2) a treia teză. Atunci când neîndeplinirea obligației este pasibilă de amendă, cuantumul maxim al amenzii aplicate pentru neîndeplinirea obligației de supraveghere se stabilește în funcție de cuantumul maxim al amenzii aplicate pentru această neîndeplinire. […]” |
Litigiul principal și întrebările preliminare
10 |
DW este o societate imobiliară, constituită în forma juridică de societate europeană, cotată la bursă și al cărei sediu social este la Berlin (Germania). Ea deține indirect, prin intermediul unor participații la diferite societăți, aproximativ 163000 de unități rezidențiale și 3000 de unități comerciale. |
11 |
Proprietarii acestor unități sunt filiale ale DW denumite „societăți proprietare”, care gestionează activitățile operaționale, în timp ce DW se concentrează pe conducerea generală a grupului pe care îl constituie printre altele cu acestea. Societățile proprietare închiriază unitățile comerciale și rezidențiale, care sunt administrate de alte societăți ale grupului menționat, denumite „societăți de servicii”. |
12 |
În cadrul activităților lor comerciale, DW și societățile grupului pe care îl conduce prelucrează date cu caracter personal ale locatarilor unităților comerciale și rezidențiale, cum ar fi de exemplu dovezi de identitate, date fiscale, sociale și de asigurări de sănătate ale acestor locatari, precum și informații privind contractele de locațiune anterioare. |
13 |
La 23 iunie 2017, cu ocazia unei inspecții la fața locului, Berliner Beauftragte für den Datenschutz (Autoritatea de supraveghere din Berlin, denumită în continuare „autoritatea de supraveghere”) a atras atenția DW că societățile din grupul său păstrau documente care conțineau date cu caracter personal ale locatarilor într‑un sistem de arhivare electronică ce nu permitea să se verifice dacă păstrarea era necesară și să se garanteze că datele care nu mai erau necesare erau șterse. |
14 |
Autoritatea de supraveghere a solicitat DW să elimine aceste documente din sistemul său de arhivare electronică până cel mai târziu la sfârșitul anului 2017. Ca răspuns la această cerere, DW a arătat că eliminarea nu era posibilă din motive tehnice și juridice. |
15 |
În urma unor schimburi între DW și autoritatea de supraveghere cu privire la posibilitatea de a elimina documentele în cauză, DW a informat această autoritate cu privire la intenția sa de a institui un nou sistem de păstrare, menit să îl înlocuiască pe cel care conținea documentele menționate. |
16 |
La 5 martie 2019, autoritatea de supraveghere a efectuat un control la sediul central al grupului condus de DW. Cu ocazia acestui control, DW a informat autoritatea respectivă că sistemul de arhivare în discuție fusese deja desființat și că migrarea datelor către noul sistem de păstrare era iminentă. |
17 |
Prin decizia din 30 octombrie 2019, autoritatea de supraveghere a impus DW o amendă administrativă de 14385000 de euro, pentru încălcarea deliberată a articolului 5 alineatul (1) literele (a), (c) și (e), precum și a articolului 25 alineatul (1) din RGPD (denumită în continuare „decizia în cauză”). Prin această decizie, autoritatea menționată a impus de asemenea DW 15 alte amenzi în cuantum cuprins între 3000 și 17000 de euro pentru încălcarea articolului 6 alineatul (1) din RGPD. |
18 |
În decizia în cauză, autoritatea de supraveghere considera în special că DW omisese în mod deliberat, între 25 mai 2018 și 5 martie 2019, să ia măsurile necesare pentru a permite ștergerea cu regularitate a datelor cu caracter personal referitoare la locatari care nu mai erau necesare sau care fuseseră, pentru un alt motiv, păstrate în mod eronat. Ea a arătat de asemenea că DW a continuat să păstreze, fără ca un astfel de demers să fie necesar, datele cu caracter personal a cel puțin 15 locatari identificați într‑un mod mai precis. |
19 |
DW a formulat o acțiune împotriva acestei decizii la Landgericht Berlin (Tribunalul Regional din Berlin, Germania). Această instanță a clasat procedura, considerând că decizia în cauză era afectată de vicii atât de grave încât nu putea servi drept bază pentru impunerea unei amenzi. |
20 |
Instanța menționată a arătat printre altele că impunerea unei amenzi unei persoane juridice este reglementată în mod exhaustiv la articolul 30 din OWiG, care, potrivit articolului 41 alineatul (1) din Legea federală privind protecția datelor, s‑ar aplica încălcărilor prevăzute la articolul 83 alineatele (4)-(6) din RGPD. Or, potrivit acestui articol 30 din OWiG, o încălcare administrativă nu ar putea fi constatată decât împotriva unei persoane fizice, iar nu împotriva unei persoane juridice. În plus, numai actele membrilor organelor sau ale reprezentanților persoanei juridice ar putea fi imputate acesteia. Deși alineatul (4) al articolului 30 menționat ar permite, în anumite condiții, inițierea unei proceduri contravenționale administrative independente împotriva unei persoane juridice, nu ar fi mai puțin adevărat că, și în această ipoteză, ar fi necesar ca o încălcare administrativă să poată fi constatată față de membri ai organelor sau față de reprezentanții persoanei juridice în cauză. |
21 |
Staatsanwaltschaft Berlin (Parchetul din Berlin) a formulat o cale de atac împotriva acestei decizii la Kammergericht Berlin (Tribunalul Regional Superior din Berlin, Germania), care este instanța de trimitere. |
22 |
Instanța de trimitere solicită în primul rând să se stabilească dacă, în temeiul articolului 83 din RGPD, o amendă administrativă trebuie să poată fi impusă unei persoane juridice fără ca încălcarea acestui regulament să fie imputată în prealabil unei persoane fizice identificate. În acest context, instanța respectivă ridică în special problema pertinenței noțiunii de „întreprindere”, în sensul articolelor 101 și 102 TFUE. |
23 |
În această privință, instanța menționată arată că, potrivit unei jurisprudențe naționale, regimul de răspundere limitată a persoanelor juridice existent în dreptul național ar fi în contradicție cu regimul răspunderii directe a întreprinderilor prevăzut la articolul 83 din RGPD. Potrivit acestei jurisprudențe, ar reieși în special din modul de redactare a articolului 83 din RGPD, care, în conformitate cu principiul supremației dreptului Uniunii, prevalează asupra regimului național, că pot fi aplicate amenzi administrative întreprinderilor. Prin urmare, nu ar fi necesar ca aplicarea unor asemenea amenzi să fie legată de un act culpabil al organelor sau al conducerii persoanelor juridice, contrar celor impuse de dreptul național aplicabil. |
24 |
Astfel, potrivit instanței amintite, această jurisprudență, la fel ca majoritatea doctrinei naționale, ar acorda o importanță deosebită noțiunii de „întreprindere”, în sensul articolelor 101 și 102 TFUE, și, așadar, ideii potrivit căreia răspunderea este imputată entității economice în cadrul căreia a fost adoptat comportamentul nedorit, de exemplu anticoncurențial. Potrivit acestei concepții „funcționale”, toate actele tuturor angajaților abilitați să acționeze în numele unei întreprinderi ar fi imputabile întreprinderii, inclusiv în cadrul unor proceduri contravenționale administrative. |
25 |
În al doilea rând, în ipoteza în care Curtea ar trebui să considere că o amendă administrativă trebuie să poată fi impusă direct unei persoane juridice, instanța de trimitere ridică problema criteriilor care trebuie aplicate pentru a stabili răspunderea unei persoane juridice, în calitate de întreprindere, pentru o încălcare a RGPD. Ea solicită în special să se stabilească dacă o amendă administrativă poate fi aplicată unei persoane juridice în temeiul articolului 83 din acest regulament fără să se stabilească faptul că încălcarea regulamentului menționat imputată acesteia a fost comisă cu vinovăție. |
26 |
În aceste condiții, Kammergericht Berlin (Tribunalul Regional Superior din Berlin) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
|
Cu privire la cererea de redeschidere a procedurii orale
27 |
În urma ședinței de audiere a pledoariilor care a avut loc la 17 ianuarie 2023, DW a solicitat, prin înscrisul depus la grefa Curții la 23 martie 2023, să se dispună redeschiderea fazei orale a procedurii, în temeiul articolului 83 din Regulamentul de procedură al Curții. |
28 |
În sprijinul cererii sale, DW susține în esență că răspunsurile date de instanța de trimitere la cererea de lămuriri, adresată acesteia în temeiul articolului 101 din Regulamentul de procedură, furnizează Curții informații inexacte cu privire la dispozițiile aplicabile ale dreptului național. Or, o dezbatere exhaustivă cu privire la acest subiect în ședința din 17 ianuarie 2023 nu ar fi fost posibilă, ca urmare a faptului că părțile au luat cunoștință de aceste răspunsuri cu numai trei zile lucrătoare înaintea acestei ședințe. Astfel, un asemenea termen nu ar fi permis pregătirea ședinței în mod aprofundat. |
29 |
Desigur, conform articolului 83 din Regulamentul de procedură, Curtea poate oricând să dispună, după ascultarea avocatului general, redeschiderea fazei orale a procedurii, în special atunci când consideră că nu este suficient de lămurită sau atunci când o parte a invocat, după închiderea acestei faze, un fapt nou de natură să aibă o influență decisivă asupra deciziei Curții sau atunci când cauza trebuie soluționată pe baza unui argument care nu a fost pus în discuția persoanelor interesate. |
30 |
Cu toate acestea, în speță, Curtea dispune de toate elementele necesare pentru a se pronunța, iar prezenta cauză nu trebuie soluționată pe baza unor argumente care nu ar fi fost puse în discuția persoanelor interesate. În plus, cererea de redeschidere a fazei orale a procedurii nu evidențiază niciun fapt nou de natură să poată avea o influență decisivă asupra deciziei pe care Curtea este chemată să o pronunțe în această cauză. |
31 |
În aceste condiții, Curtea consideră, după ascultarea avocatului general, că nu este necesar să dispună redeschiderea fazei orale a procedurii. |
Cu privire la întrebările preliminare
Cu privire la prima întrebare
32 |
Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 58 alineatul (2) și articolul 83 alineatele (1)-(6) din RGPD trebuie interpretate în sensul că se opun unei reglementări naționale în temeiul căreia o amendă administrativă poate fi aplicată unei persoane juridice în calitatea sa de operator pentru o încălcare menționată la alineatele (4)-(6) ale acestui articol 83 numai în măsura în care această încălcare a fost imputată în prealabil unei persoane fizice identificate. |
33 |
Cu titlu introductiv, este necesar să se arate că, în observațiile sale scrise, guvernul german a exprimat îndoieli cu privire la această interpretare a dreptului național de către instanța de trimitere, pentru motivul că articolul 130 din OWiG permite aplicarea unei amenzi unei persoane juridice și în afara cazurilor prevăzute la articolul 30 din OWiG. Pe de altă parte, aceste două dispoziții ar permite aplicarea unei amenzi denumite „anonimă” în cadrul unei proceduri inițiate împotriva întreprinderii, fără a fi necesar să se identifice persoana fizică autoare a încălcării în discuție. |
34 |
Ca răspuns la o cerere de lămuriri adresată instanței de trimitere, menționată la punctul 28 din prezenta hotărâre, aceasta a arătat că articolul 130 din OWiG nu are incidență asupra primei întrebări adresate. |
35 |
Astfel, potrivit instanței respective, această dispoziție îl vizează pe proprietarul unei exploatații sau al unei întreprinderi, care trebuie să fi încălcat cu vinovăție o obligație de supraveghere. Dovada unei asemenea neîndepliniri a obligațiilor imputabilă proprietarului întreprinderii ar fi totuși extrem de complexă și adesea imposibil de prezentat, iar problema dacă un grup de întreprinderi poate fi calificat drept „întreprindere” sau drept „proprietar de întreprinderi”, în sensul dispoziției menționate, ar fi controversată la nivel național. În orice caz, prima întrebare preliminară ar fi relevantă și în acest context. |
36 |
Trebuie amintit că, în ceea ce privește interpretarea dispozițiilor din ordinea juridică națională, Curtea este în principiu obligată să se întemeieze pe calificările care rezultă din decizia de trimitere. Astfel, potrivit unei jurisprudențe constante, Curtea nu este competentă să interpreteze dreptul intern al unui stat membru (Hotărârea din 26 ianuarie 2021, Hessischer Rundfunk,C‑422/19 și C‑423/19, EU:C:2021:63, punctul 31 și jurisprudența citată). |
37 |
Prin urmare, este necesar să se răspundă la prima întrebare preliminară pornind de la premisa potrivit căreia, în temeiul dreptului național aplicabil, o amendă administrativă nu poate fi aplicată unei persoane juridice în calitatea sa de operator pentru o încălcare prevăzută la articolul 83 alineatele (4)-(6) din RGPD decât în condițiile prevăzute la articolul 30 din OWiG, așa cum au fost prezentate de instanța de trimitere. |
38 |
Pentru a răspunde la această primă întrebare, este necesar să se arate mai întâi că principiile, interdicțiile și obligațiile prevăzute de RGPD se adresează în special „operatorilor” a căror responsabilitate se extinde, după cum subliniază considerentul (74) al RGPD, la orice prelucrare a datelor cu caracter personal efectuată de aceștia sau în numele lor și care sunt obligați, în acest temei, nu numai să implementeze măsuri adecvate și eficace, ci și să fie în măsură să demonstreze conformitatea activităților lor de prelucrare cu RGPD, inclusiv eficacitatea măsurilor adoptate pentru a asigura o asemenea conformitate. Această responsabilitate este cea care constituie, în cazul unor încălcări prevăzute la articolul 83 alineatele (4)-(6) din acest regulament, temeiul pentru impunerea unei amenzi administrative operatorului conform articolului 83 respectiv. |
39 |
Articolul 4 punctul 7 din RGPD definește în sens larg noțiunea de „operator” ca vizând persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. |
40 |
Obiectivul acestei definiții largi a articolului 4 punctul 7 din RGPD – care include în mod expres persoanele juridice – constă, în conformitate cu cel al RGPD, în a asigura o protecție eficientă a drepturilor și a libertăților fundamentale ale persoanelor fizice, precum și în special în a realiza un nivel ridicat de protecție a dreptului oricărei persoane la protecția datelor cu caracter personal care o privesc (a se vedea în acest sens Hotărârea din 29 iulie 2019, Fashion ID,C‑40/17, EU:C:2019:629, punctul 66, și Hotărârea din 28 aprilie 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punctul 73, precum și jurisprudența citată). |
41 |
Pe de altă parte, Curtea a statuat deja că orice persoană fizică sau juridică care influențează, în scopuri proprii, prelucrarea datelor cu caracter personal și care participă, ca urmare a acestui fapt, la stabilirea scopurilor și a mijloacelor prelucrării respective poate fi considerată operator (a se vedea în acest sens Hotărârea din 10 iulie 2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, punctul 68). |
42 |
Rezultă astfel din modul de redactare și din finalitatea articolului 4 punctul 7 din RGPD că legiuitorul Uniunii nu a efectuat, în vederea stabilirii răspunderii în temeiul acestui regulament, o distincție între persoanele fizice și persoanele juridice, respectiva răspundere fiind supusă numai condiției ca acestea, singure sau împreună cu altele, să stabilească scopurile și mijloacele prelucrării datelor cu caracter personal. |
43 |
În consecință, sub rezerva celor prevăzute la articolul 83 alineatul (7) din RGPD, referitor la autoritățile și organismele publice, orice persoană care îndeplinește această condiție – indiferent dacă este vorba despre o persoană fizică, despre o persoană juridică, despre o autoritate publică, despre o agenție sau despre un alt organism – răspunde printre altele pentru orice încălcare menționată la acest articol 83 alineatele (4)-(6), săvârșită de ea însăși sau în numele său. |
44 |
În ceea ce privește persoanele juridice, acest lucru implică, pe de o parte, după cum a arătat în esență domnul avocat general la punctele 57-59 din concluzii, că ele răspund nu numai pentru încălcările săvârșite de reprezentanții, directorii sau administratorii lor, ci și de orice altă persoană care acționează în cadrul activității comerciale a acestor persoane juridice și în numele lor. Pe de altă parte, amenzile administrative prevăzute la articolul 83 din RGPD în cazul unor asemenea încălcări trebuie să poată fi aplicate direct unor persoane juridice atunci când acestea pot fi calificate drept operatori în cauză. |
45 |
În continuare, trebuie arătat că articolul 58 alineatul (2) din RGPD stabilește cu precizie competențele de care dispun autoritățile de supraveghere în materia adoptării unor măsuri corective, fără a face trimitere la dreptul statelor membre și fără a lăsa o marjă de apreciere acestor state. Or, pe de o parte, aceste competențe, printre care figurează, conform alineatului (2) litera (i) al acestui articol 58, cea privind aplicarea unei amenzi administrative, vizează operatorul și, pe de altă parte, un asemenea operator poate, așa cum reiese din cuprinsul punctului 39 din prezenta hotărâre, să fie atât o persoană fizică, cât și o persoană juridică. Condițiile de fond care trebuie respectate de o autoritate de supraveghere cu ocazia aplicării unei asemenea amenzi sunt, la rândul lor, enunțate la alineatele (1)-(6) ale acestui articol 83, în mod precis și fără a lăsa statelor membre o marjă de apreciere. |
46 |
Așadar, rezultă din coroborarea articolului 4 punctul 7, a articolului 83 și a articolului 58 alineatul (2) litera (i) din RGPD că o amendă administrativă pentru o încălcare prevăzută la respectivul articol 83 alineatele (4)-(6) poate fi impusă și împotriva unor persoane juridice din moment ce acestea au calitatea de operatori. În schimb, nicio dispoziție din RGPD nu permite să se considere că aplicarea unei amenzi administrative unei persoane juridice în calitate de operator ar fi supusă constatării prealabile că această încălcare a fost comisă de o persoană fizică identificată. |
47 |
Desigur, reiese din articolul 58 alineatul (4) și din articolul 83 alineatul (8) din RGPD, interpretate în lumina considerentului (129) al acestui regulament, că exercitarea de către autoritatea de supraveghere a competențelor care îi sunt conferite de aceste articole este supusă unor garanții procedurale adecvate în conformitate cu dreptul Uniunii și cu dreptul statelor membre, inclusiv o cale de atac jurisdicțională eficientă și un proces echitabil. |
48 |
Cu toate acestea, faptul că regulamentul menționat oferă astfel statelor membre posibilitatea de a prevedea cerințe privind procedura care trebuie urmată de autoritățile de supraveghere pentru a impune o amendă administrativă nu înseamnă nicidecum că acestea ar fi de asemenea abilitate să prevadă, dincolo de astfel de cerințe de natură procedurală, condiții de fond suplimentare față de cele stabilite la respectivul articol 83 alineatele (1)-(6). În plus, faptul că legiuitorul Uniunii a avut grijă să prevadă în mod expres această posibilitate, iar nu să prevadă asemenea condiții de fond suplimentare confirmă că nu a lăsat statelor membre o marjă de apreciere în această privință. Condițiile de fond menționate intră, așadar, numai sub incidența dreptului Uniunii. |
49 |
Interpretarea literală a articolului 58 alineatul (2) și a articolului 83 alineatele (1)-(6) din RGPD care precedă este confirmată de finalitatea acestui regulament. |
50 |
Reiese în special din considerentul (10) al RGPD că dispozițiile acestuia au printre altele ca obiective să asigure un nivel consecvent și ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în cadrul Uniunii și, în acest scop, să asigure aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale acestor persoane în ceea ce privește prelucrarea unor astfel de date în întreaga Uniune. Considerentele (11) și (129) ale RGPD subliniază, pe de altă parte, necesitatea de a asigura, pentru a garanta o aplicare consecventă a acestui regulament, că autoritățile de supraveghere dispun de competențe echivalente de monitorizare și de supraveghere a respectării normelor privind protecția datelor cu caracter personal și că pot impune sancțiuni echivalente în cazul încălcării regulamentului menționat. |
51 |
Or, a permite statelor membre să impună în mod unilateral și ca o condiție necesară pentru impunerea unei amenzi administrative în temeiul articolului 83 din RGPD unui operator care este o persoană juridică, indiferent dacă încălcarea în cauză este imputată sau imputabilă, în prealabil, unei persoane fizice identificate, ar fi contrar acestui scop al RGPD. În plus, o asemenea cerință suplimentară ar risca, în definitiv, să diminueze efectivitatea și efectul disuasiv al amenzilor administrative impuse unor persoane juridice în calitate de operatori, cu încălcarea articolului 83 alineatul (1) din RGPD. |
52 |
În această privință, trebuie amintit că articolul 288 al doilea paragraf TFUE prevede că un regulament al Uniunii este obligatoriu în toate elementele sale și se aplică direct în toate statele membre, ceea ce exclude, cu excepția cazului în care se prevede altfel, ca statele membre să adopte dispoziții interne care afectează domeniul de aplicare al unui atare regulament. În plus, statele membre sunt ținute, în temeiul obligațiilor care decurg din TFUE, să nu împiedice aplicabilitatea directă proprie regulamentelor. În special, ele nu pot adopta un act prin care natura de drept al Uniunii a unei norme juridice și efectele care decurg din aceasta ar fi disimulate justițiabililor (Hotărârea din 15 noiembrie 2012, Al‑Aqsa/Consiliul și Țările de Jos/Al‑Aqsa, C‑539/10 P și C‑550/10 P, EU:C:2012:711, punctele 86 și 87, precum și jurisprudența citată). |
53 |
În sfârșit, ținând seama de interogațiile instanței de trimitere, trebuie arătat că noțiunea de „întreprindere”, în sensul articolelor 101 și 102 TFUE, nu are incidență asupra aspectului dacă și în ce condiții o amendă administrativă poate fi impusă în temeiul articolului 83 din RGPD unui operator care este o persoană juridică, acest aspect fiind reglementat în mod exhaustiv la articolul 58 alineatul (2) și la articolul 83 alineatele (1)-(6) din regulamentul amintit. |
54 |
Astfel, această noțiune este relevantă numai pentru stabilirea cuantumului amenzii administrative impuse unui operator în temeiul articolului 83 alineatele (4)-(6) din RGPD. |
55 |
După cum a arătat domnul avocat general la punctul 45 din concluzii, în acest context specific al calculului amenzilor administrative impuse pentru încălcări prevăzute la articolul 83 alineatele (4)-(6) din RGPD este necesar să se ia în considerare trimiterea, efectuată în considerentul (150) al respectivului regulament, la noțiunea de „întreprindere”, în sensul articolelor 101 și 102 TFUE. |
56 |
În această privință, trebuie subliniat că, în vederea aplicării normelor de concurență prevăzute la articolele 101 și 102 TFUE, această noțiune cuprinde orice entitate care exercită o activitate economică, independent de statutul juridic al acestei entități și de modul său de finanțare. Ea desemnează astfel o unitate economică chiar dacă, din punct de vedere juridic, această unitate economică este constituită din mai multe persoane fizice sau juridice. Această unitate economică constă într‑o organizare unitară de elemente personale, materiale și imateriale ce urmărește în mod durabil un scop economic determinat (Hotărârea din 6 octombrie 2021, Sumal,C‑882/19, EU:C:2021:800, punctul 41 și jurisprudența citată). |
57 |
Așadar, reiese din articolul 83 alineatele (4)-(6) din RGPD, care vizează calculul amenzilor administrative pentru încălcările enumerate la aceste alineate, că, în cazul în care destinatarul amenzii administrative este sau face parte dintr‑o întreprindere, în sensul articolelor 101 și 102 TFUE, cuantumul maxim al amenzii administrative este calculat pe baza unui procent din cifra de afaceri anuală totală din exercițiul financiar precedent al întreprinderii în cauză. |
58 |
În definitiv, așa cum a arătat domnul avocat general la punctul 47 din concluzii, numai o amendă administrativă al cărei cuantum este stabilit în funcție de capacitatea economică reală sau materială a destinatarului său și care este impusă deci de autoritatea de supraveghere întemeindu‑se, în ceea ce privește cuantumul acesteia, pe noțiunea de unitate economică în sensul jurisprudenței citate la punctul 56 din prezenta hotărâre este susceptibilă să îndeplinească cele trei condiții prevăzute la articolul 83 alineatul (1) din RGPD, și anume de a fi în același timp eficace, proporțională și disuasivă. |
59 |
Prin urmare, atunci când o autoritate de supraveghere decide, în temeiul competențelor pe care le deține în conformitate cu articolul 58 alineatul (2) din RGPD, să impună unui operator, care este sau face parte dintr‑o întreprindere, în sensul articolelor 101 și 102 TFUE, o amendă administrativă potrivit articolului 83 din regulamentul menționat, această autoritate este obligată să se întemeieze, conform acestei din urmă dispoziții, interpretată în lumina considerentului (150) al aceluiași regulament, cu ocazia calculării amenzilor administrative pentru încălcările prevăzute la alineatele (4)-(6) ale acestui articol 83, pe noțiunea de „întreprindere”, în sensul respectivelor articole 101 și 102 TFUE. |
60 |
Având în vedere motivele care precedă, trebuie să se răspundă la prima întrebare că articolul 58 alineatul (2) litera (i) și articolul 83 alineatele (1)-(6) din RGPD trebuie interpretate în sensul că se opun unei reglementări naționale în temeiul căreia o amendă administrativă poate fi aplicată unei persoane juridice în calitatea sa de operator pentru o încălcare menționată la alineatele (4)-(6) ale acestui articol 83 numai în măsura în care această încălcare a fost imputată în prealabil unei persoane fizice identificate. |
Cu privire la a doua întrebare
61 |
Prin intermediul celei de a doua întrebări, care este adresată în ipoteza unui răspuns afirmativ la prima întrebare, instanța de trimitere solicită în esență să se stabilească dacă articolul 83 din RGPD trebuie interpretat în sensul că o amendă administrativă poate fi impusă în temeiul acestei dispoziții numai în măsura în care se stabilește că operatorul, care este în același timp o persoană juridică și o întreprindere, a comis în mod intenționat sau din neglijență o încălcare prevăzută la alineatele (4)-(6) ale acestui articol. |
62 |
În această privință, trebuie amintit că din articolul 83 alineatul (1) din RGPD reiese că amenzile administrative trebuie să fie eficace, proporționale și disuasive. În schimb, articolul 83 din RGPD nu precizează în mod expres că încălcările prevăzute la alineatele (4)-(6) ale acestui articol pot fi sancționate printr‑o atare amendă numai dacă au fost comise în mod intenționat sau, cel puțin, din neglijență. |
63 |
Guvernele german, estonian și norvegian, precum și Consiliul Uniunii Europene deduc de aici în special că legiuitorul Uniunii a intenționat să lase statelor membre o anumită marjă de apreciere în punerea în aplicare a articolului 83 din RGPD, permițându‑le să prevadă impunerea unor amenzi administrative în temeiul acestei dispoziții, dacă este cazul, fără a se stabili că încălcarea RGPD sancționată prin această amendă a fost comisă în mod intenționat sau din neglijență. |
64 |
O asemenea interpretare a articolului 83 din RGPD nu poate fi reținută. |
65 |
În această privință, așa cum s‑a constatat la punctele 45 și 48 din prezenta hotărâre, condițiile de fond care trebuie respectate de o autoritate de supraveghere atunci când aplică o amendă administrativă unui operator intră exclusiv sub incidența dreptului Uniunii, aceste condiții fiind stabilite, în mod precis și fără a lăsa statelor membre o marjă de apreciere, la articolul 83 alineatele (1)-(6) din RGPD (a se vedea de asemenea Hotărârea din 5 decembrie 2023, Nacionalinis vizuomenės sveikatos centras, C‑683/21, EU:C:2023:XXX, punctele 64-70). |
66 |
În ceea ce privește condițiile amintite, este necesar să se arate că articolul 83 alineatul (2) din RGPD enumeră elementele în temeiul cărora autoritatea de supraveghere impune o amendă administrativă operatorului. Printre aceste elemente figurează, la litera (b) a acestei dispoziții, cel referitor la faptul „dacă încălcarea a fost comisă intenționat sau din neglijență”. În schimb, niciunul dintre elementele enumerate în cuprinsul dispoziției respective nu menționează vreo posibilitate de a trage la răspundere operatorul în lipsa unui comportament culpabil din partea sa.. |
67 |
În plus, articolul 83 alineatul (2) din RGPD trebuie interpretat în coroborare cu alineatul (3) al acestui articol, al cărui obiect este de a prevedea consecințele cazurilor de cumul de încălcări ale respectivului regulament și potrivit căruia, „[î]n cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare”. |
68 |
Rezultă, așadar, din modul de redactare a articolului 83 alineatul (2) din RGPD că numai încălcările dispozițiilor acestui regulament comise în mod culpabil de operator, și anume cele comise în mod intenționat sau din neglijență, pot conduce la impunerea unei amenzi administrative acestuia din urmă în temeiul articolului menționat. |
69 |
Economia generală și scopul RGPD confirmă această interpretare. |
70 |
Pe de o parte, legiuitorul Uniunii a prevăzut un sistem de sancțiuni care să permită autorităților de supraveghere să impună sancțiunile cele mai adecvate în funcție de circumstanțele fiecărui caz. |
71 |
Astfel, articolul 58 din RGPD prevede, la alineatul (2) litera (i), că aceste autorități pot impune amenzile administrative, în conformitate cu articolul 83 din acest regulament, „în completarea sau în locul” celorlalte măsuri corective enumerate la respectivul articol 58 alineatul (2), cum ar fi avertizări, mustrări sau ordine. De asemenea, considerentul (148) al regulamentului menționat enunță printre altele că autoritățile de supraveghere pot, în cazul unei încălcări minore sau în cazul în care amenda administrativă susceptibilă de a fi impusă ar constitui o sarcină disproporționată pentru o persoană fizică, să se abțină de la impunerea unei amenzi administrative și, în locul acesteia, să aplice o mustrare. |
72 |
Pe de altă parte, după cum s‑a arătat la punctul 50 din prezenta hotărâre, dispozițiile RGPD au printre altele ca obiective să asigure un nivel consecvent și ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în cadrul Uniunii și, în acest scop, să asigure aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale acestor persoane în ceea ce privește prelucrarea unor astfel de date în întreaga Uniune. În plus, pentru a asigura aplicarea consecventă a acestui regulament, autoritățile de supraveghere trebuie să dispună de competențe echivalente de monitorizare și de supraveghere a respectării normelor privind protecția datelor cu caracter personal, așa încât să poată impune sancțiuni echivalente în cazul încălcării regulamentului menționat. |
73 |
Existența unui sistem de sancțiuni care permite să se impună, atunci când împrejurările specifice fiecărei spețe justifică acest lucru, o amendă administrativă în temeiul articolului 83 din RGPD creează, pentru operatori și pentru persoanele împuternicite de operatori, un stimulent pentru a se conforma acestui regulament. Prin efectul lor disuasiv, amenzile administrative contribuie la consolidarea protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și constituie, prin urmare, un element‑cheie pentru garantarea respectării drepturilor acestor persoane, în conformitate cu scopul acestui regulament de a asigura un nivel ridicat de protecție a unor astfel de persoane în ceea ce privește prelucrarea datelor cu caracter personal. |
74 |
Cu toate acestea, legiuitorul Uniunii nu a considerat necesar, pentru a asigura un atare nivel ridicat de protecție, să prevadă impunerea unor amenzi administrative în lipsa vinovăției. Ținând seama de faptul că RGPD vizează un nivel de protecție în același timp echivalent și omogen și că trebuie, în acest scop, să fie aplicat în mod coerent în întreaga Uniune, ar fi contrar acestui scop să se permită statelor membre să prevadă un atare regim pentru aplicarea unei amenzi în temeiul articolului 83 din regulamentul amintit. O asemenea libertate de alegere ar fi în plus de natură să denatureze concurența dintre operatorii economici în cadrul Uniunii, ceea ce ar fi contrar obiectivelor exprimate de legiuitorul Uniunii, în special în considerentele (9) și (13) ale regulamentului menționat. |
75 |
În consecință, este necesar să se constate că articolul 83 din RGPD nu permite aplicarea unei amenzi administrative pentru o încălcare prevăzută la alineatele (4)-(6) ale acestuia fără a se stabili că respectiva încălcare a fost comisă în mod intenționat sau din neglijență de operator și că, prin urmare, o încălcare culpabilă constituie o condiție pentru impunerea unei asemenea amenzi. |
76 |
În această privință, trebuie să se mai precizeze, în ceea ce privește aspectul dacă o încălcare a fost comisă în mod intenționat sau din neglijență și, ca urmare a acestui fapt, poate fi sancționată printr‑o amendă administrativă în temeiul articolului 83 din RGPD, că un operator poate fi sancționat pentru un comportament care intră în domeniul de aplicare al RGPD atunci când acest operator nu putea să nu cunoască natura ilicită a comportamentului său, indiferent dacă era sau nu conștient că încălca dispozițiile RGPD (a se vedea prin analogie Hotărârea din 18 iunie 2013, Schenker & Co. și alții, C‑681/11, EU:C:2013:404, punctul 37, precum și jurisprudența citată, Hotărârea din 25 martie 2021, Lundbeck/Comisia,C‑591/16 P, EU:C:2021:243, punctul 156, și Hotărârea din 25 martie 2021, Arrow Group și Arrow Generics/Comisia, C‑601/16 P, EU:C:2021:244, punctul 97). |
77 |
În cazul în care operatorul este o persoană juridică, mai trebuie precizat că aplicarea articolului 83 din RGPD nu implică o acțiune sau măcar o cunoaștere a organului de administrare al persoanei juridice respective (a se vedea prin analogie Hotărârea din 7 iunie 1983, Musique Diffusion française și alții/Comisia, 100/80-103/80, EU:C:1983:158, punctul 97, precum și Hotărârea din 16 februarie 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Comisia,C‑94/15 P, EU:C:2017:124, punctul 28 și jurisprudența citată). |
78 |
Având în vedere considerațiile care precedă, este necesar să se răspundă la a doua întrebare că articolul 83 din RGPD trebuie interpretat în sensul că o amendă administrativă poate fi impusă în temeiul acestei dispoziții numai dacă se stabilește că operatorul, care este în același timp o persoană juridică și o întreprindere, a comis în mod intenționat sau din neglijență o încălcare prevăzută la alineatele (4)-(6) ale acestui articol. |
Cu privire la cheltuielile de judecată
79 |
Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări. |
Pentru aceste motive, Curtea (Marea Cameră) declară: |
|
|
Semnături |
( *1 ) Limba de procedură: germana.