1.

Prejednávaný návrh na začatie prejudiciálneho konania poskytuje Súdnemu dvoru príležitosť rozhodnúť o podmienkach, za ktorých možno právnickej osobe uložiť správnu pokutu za porušenia nariadenia (EÚ) 2016/679 ( 2 ).

2.

Ide najmä o určenie toho, či:

3.

V odôvodnení 74 sa uvádza:

„Mali by sa stanoviť povinnosti a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto nariadením vrátane účinnosti opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva a slobody fyzických osôb.“

4.

V odôvodnení 150 sa uvádza:

„S cieľom posilniť a harmonizovať správne sankcie za porušovanie tohto nariadenia by každý dozorný orgán mal mať právomoc ukladať správne pokuty. V tomto nariadení by sa mali uviesť porušenia a horná hranica príslušných správnych pokút a kritériá ich stanovenia, ktoré by mal určiť príslušný dozorný orgán v každom jednotlivom prípade, pričom zohľadní všetky relevantné okolnosti konkrétnej situácie s náležitým zreteľom najmä na povahu, závažnosť a trvanie porušenia a jeho následkov, ako aj opatrenia, ktoré sa prijali na zabezpečenie súladu s povinnosťami podľa tohto nariadenia a na predchádzanie následkom porušenia alebo ich zmiernenie. Keď sa správne pokuty ukladajú podniku, podnik by sa mal na tieto účely považovať za podnik v súlade s článkami 101 a 102 ZFEÚ. … Na podporu konzistentného uplatňovania správnych pokút sa môže využiť aj mechanizmus konzistentnosti…“

5.

Článok 4 s názvom „Vymedzenie pojmov“ stanovuje:

„Na účely tohto nariadenia:

…

…

…“

6.

Článok 58, nazývaný „Právomoci“, v odseku 2 stanovuje:

„Každý dozorný orgán má všetky tieto nápravné právomoci:

…

…“

7.

Článok 83, nazývaný „Všeobecné podmienky ukladania správnych pokút“, znie:

„1.   Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce.

2.   Správne pokuty sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach uvedených v článku 58 ods. 2 písm. a) až h) a j) alebo namiesto nich. Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:

3.   Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie.

4.   Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 10000000 EUR, alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia….

5.   Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 20000000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

…

6.   Za nesplnenie príkazu dozorného orgánu podľa článku 58 ods. 2 sa podľa odseku 2 tohto článku uložia správne pokuty až do výšky 20000000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

…

8.   Výkon právomocí dozorného orgánu podľa tohto článku podlieha primeraným procesným zárukám v súlade s právom Únie a právom členského štátu vrátane účinného súdneho prostriedku nápravy a riadneho procesu.

…“

8.

Podľa § 9 ods. 1 ak osoba koná ako a) orgán (alebo člen takéhoto orgánu) oprávnený zastupovať právnickú osobu, b) spoločník oprávnený zastupovať osobnú spoločnosť s právnou subjektivitou alebo c) zákonný zástupca tretej osoby, vzťahuje sa na ňu každý zákon, podľa ktorého osobitné funkcie, vzťahy alebo osobné okolnosti odôvodňujú možnú sankciu, ak tieto okolnosti neexistujú v jej prípade, ale existujú v prípade zastupovanej osoby.

9.

Na základe § 9 ods. 2 vyššie uvedené platí aj pre vlastníka prevádzkarne (podniku), ktorý úplne alebo čiastočne zverí inej osobe jej riadenie alebo plnenie povinností vlastníka na vlastnú zodpovednosť.

10.

Ustanovenie § 30 ods. 1 umožňuje uložiť správnu pokutu právnickej osobe, ak fyzická osoba, ktorá ju zastupuje, riadi alebo je zodpovedná za jej vedenie, spáchala trestný čin alebo nesplnila povinnosti, ktoré prináležia tejto právnickej osobe.

11.

V súlade s § 30 ods. 4 pokutu možno uložiť právnickej osobe samostatne len vtedy, ak proti členovi orgánu alebo zástupcovi právnickej osoby nebolo začaté žiadne konanie, alebo ak sa takéto konanie začalo, bolo zastavené.

12.

Podľa § 130 ods. 1 ten, kto ako vlastník prevádzky alebo podniku úmyselne alebo z nedbanlivosti neprijme opatrenia dohľadu potrebné na to, aby sa v rámci prevádzky alebo podniku zabránilo nedodržiavaniu povinností, ktoré sa na vlastníka vzťahujú a ktorých porušenie sa trestá sankciou alebo pokutou, spácha právny delikt, ak sa takémuto nedodržiavaniu mohlo predísť alebo zabrániť vhodnými opatreniami dohľadu, medzi ktoré patrí vymenovanie, starostlivý výber a kontrola osôb zodpovedných za kontroly.

13.

Deutsche Wohnen SE (ďalej len „Deutsche Wohnen“) je realitná spoločnosť so sídlom v Berlíne (Nemecko), ktorá je kótovaná na burze. Nepriamo formou spoluvlastníckych podielov vlastní približne 163000 bytov a 3000 nebytových priestorov.

14.

Vlastníkmi uvedených nehnuteľností sú dcérske spoločnosti prepojené so spoločnosťou Deutsche Wohnen (ďalej len „holdingové spoločnosti“), ktoré vykonávajú prevádzkovú činnosť, zatiaľ čo Deutsche Wohnen má na starosti vyšší manažment koncernu. Holdingové spoločnosti prenajímajú byty a nebytové priestory, ktoré spravujú iné koncernové spoločnosti, takzvané servisné spoločnosti.

15.

V rámci svojej obchodnej činnosti Deutsche Wohnen a koncernové spoločnosti spracúvajú osobné údaje nájomcov týchto nehnuteľností. Uvedenými údajmi sú najmä doklady totožnosti, daňové údaje, údaje o sociálnom a zdravotnom poistení, ako aj údaje o predchádzajúcich nájomných vzťahoch.

16.

Dňa 23. júna 2017 Berliner Beauftragte für den Datenschutz (príslušný orgán pre ochranu údajov v Berlíne, Nemecko; ďalej len „orgán pre ochranu údajov“) v rámci kontroly na mieste upozornil spoločnosť Deutsche Wohnen na to, že jej koncernové spoločnosti uchovávajú osobné údaje nájomcov v elektronickom archivačnom systéme, v prípade ktorého nemožno preukázať, či je toto uchovávanie potrebné a či je zabezpečené, že údaje, ktoré už nie sú potrebné, budú vymazané.

17.

Orgán pre ochranu údajov vyzval spoločnosť Deutsche Wohnen, aby v budúcnosti a najneskôr do konca roka 2017 vymazala určité dokumenty z elektronického archivačného systému.

18.

Deutsche Wohnen to odmietla urobiť, pričom uviedla, že vymazanie týchto dokumentov nie je možné z technických a právnych dôvodov. Táto námietka bola prerokovaná na stretnutí spoločnosti Deutsche Wohnen s orgánom pre ochranu údajov, počas ktorého tento orgán uviedol, že existujú technické riešenia na vymazanie údajov. Rozhovory pokračovali a Deutsche Wohnen oznámila, že zvažuje zavedenie nového systému, ktorý by nahradil systém zamietnutý orgánom pre ochranu údajov.

19.

Dňa 5. marca 2020 orgán pre ochranu údajov vykonal audit v centrále koncernu, pri ktorom odobral z databáz celkovo 16 náhodných vzoriek. Deutsche Wohnen zároveň tomuto orgánu oznámila, že sporný archivačný systém už bol vyradený z prevádzky a bezodkladne sa začne presun údajov do nového systému.

20.

Dňa 30. októbra 2020 orgán pre ochranu údajov sankcionoval spoločnosť Deutsche Wohnen za to, že

21.

Uložené pokuty dosiahli výšku 14385000 eur za úmyselné porušenie článku 25 ods. 1 a článku 5 ods. 1 písm. a), c) a e) GDPR a výšku od 3000 eur do 17000 eur za pätnásť porušení článku 6 ods. 1 GDPR.

22.

Deutsche Wohnen napadla uvedené sankcie námietkou na Landgericht Berlin (Krajinský súd Berlín, Nemecko), ktorý tejto námietke vyhovel.

23.

Staatsanwaltschaft Berlin (Prokuratúra Berlín, Nemecko) napadla prvostupňové rozhodnutie na Kammergericht Berlin (Vyšší krajinský súd Berlín, Nemecko), ktorý kladie Súdnemu dvoru tieto prejudiciálne otázky:

24.

Návrh na začatie prejudiciálneho konania bol doručený do kancelárie Súdneho dvora 23. decembra 2021.

25.

Písomné pripomienky predložili Deutsche Wohnen, nemecká, estónska a nórska vláda, ako aj Európska komisia.

26.

Dňa 9. novembra 2022 Súdny dvor na základe článku 101 ods. 1 rokovacieho poriadku vyzval vnútroštátny súd, aby spresnil:

27.

Predmetné vysvetlenia boli doručené do kancelárie Súdneho dvora 11. januára 2023.

28.

Na pojednávaní konanom 17. januára 2023 sa zúčastnili okrem účastníkov konania, ktorí predložili písomné pripomienky, holandská vláda, Európsky parlament a Rada Európskej Únie.

29.

Prvou otázkou, ktorú kladie vnútroštátny súd, v podstate je, či podľa práva Únie možno sankcionovať právnickú osobu za porušenie GDPR bez toho, aby bolo potrebné najskôr pripísať toto porušenie fyzickej osobe.

30.

Vnútroštátny súd však vo svojej otázke uviedol viacero okolností, ktoré vyvolávajú ťažkosti:

31.

Vnútroštátny súd tvrdí, že vnútroštátne právo umožňuje uložiť pokutu podniku len vtedy, ak mu možno pripísať určité porušenia spáchané (jedine) jeho riadiacimi pracovníkmi so zastupovacími funkciami. ( 5 )

32.

Deutsche Wohnen a nemecká vláda s touto formuláciou nesúhlasia. Podľa ich názoru sa má § 30 OWiG vykladať v spojení s § 9 a 130 OWiG, s ktorými tvorí ucelený sankčný systém. Podľa tohto systému je možné uložiť správnu sankciu podniku bez toho, aby bolo potrebné začatie konania proti fyzickej osobe, ktorá konala v jeho mene. ( 6 )

33.

Vnútroštátny súd v reakcii na žiadosť Súdneho dvora, aby sa vyjadril k prípadnému vplyvu § 130 OWiG, uviedol, že toto ustanovenie nie je relevantné pre prvú prejudiciálnu otázku. Na odôvodnenie svojho stanoviska uvádza, že

34.

Uvedené objasnenia dokazujú, že prvá z prejudiciálnych otázok vnútroštátneho súdu zodpovedá chápaniu vnútroštátneho práva, ktoré – na rozdiel od názoru nemeckej vlády – akceptuje režim zodpovednosti právnických osôb, ktorého vlastnosti by mohli prípadne spôsobiť jeho nezlučiteľnosť s právom Únie.

35.

Súdny dvor sa musí riadiť vnútroštátnym právnym rámcom, ako ho opisuje vnútroštátny súd ( 7 ), ktorý je oprávnený vykladať svoje vnútroštátne právo. Otázky týkajúce sa výkladu práva Únie položené vnútroštátnym súdom sa musia vyriešiť s ohľadom na skutkový a právny rámec vymedzený na jeho zodpovednosť, ktorého správnosť neprináleží overovať Súdnemu dvoru. ( 8 )

36.

Na základe týchto predpokladov preto preskúmam prvú prejudiciálnu otázku.

37.

Podľa práva Únie nemožno namietať proti tomu, aby Deutsche Wohnen bola považovaná za páchateľa porušenia a platiteľa uloženej sankcie. Táto možnosť sa z abstraktného hľadiska nachádza v GDPR a z konkrétneho hľadiska bola využitá v tomto prípade:

38.

Pokiaľ ide o abstraktný prístup, nie je potrebných príliš veľa úvah na potvrdenie predpokladu, že právnická osoba môže byť priamo sankcionovaná ako porušovateľ GDPR. Tento predpoklad je možné bez výkladových ťažkostí odvodiť zo znenia článkov 4, 58 a 83 GDPR:

39.

Zo všetkých uvedených ustanovení úplne prirodzene vyplýva, že GDPR umožňuje, aby priamym adresátom správnych pokút vyplývajúcich z jeho porušenia bola právnická osoba. ( 12 ) Tento záver považovali za prirodzený aj príslušné vnútroštátne orgány v tejto oblasti, ktoré neváhali potrestať niekedy aj vysokými pokutami právnické osoby porušujúce GDPR. ( 13 )

40.

Pokiaľ ide o konkrétny prístup, opakujem, že orgán pre ochranu údajov sa obrátil na spoločnosť Deutsche Wohnen ako na prevádzkovateľa a vyzval ju, aby zo svojich záznamov vymazala určité osobné údaje nájomcov, pričom uvedená spoločnosť túto výzvu určitú dobu ignorovala, až kým nezmenila svoje systémy uchovávania údajov.

41.

Podľa vnútroštátneho súdu vnútroštátne právo vyžaduje, aby sa v prípade priameho sankcionovania podniku za porušenie GDPR najskôr konštatovala zodpovednosť fyzickej osoby. Domnieva sa, že to vyplýva z § 30 OWiG: podniku je možné uložiť pokutu len v prípade, že mu možno pripísať určité porušenia spáchané jeho riadiacimi pracovníkmi so zastupovacími funkciami, pričom na tento účel sa vyžaduje, aby zástupca spôsobom vymedzeným v skutkovej podstate, protiprávne a zavinene porušil príslušné ustanovenie. ( 14 )

42.

V súvislosti s námietkou nemeckej vlády, ktorá sa odvoláva na § 130 OWiG s cieľom spochybniť výklad vnútroštátneho súdu, sa tento súd vyjadril tak, ako som už uviedol v citácii jeho odpovede Súdnemu dvoru. ( 15 ) Stručne povedané, tvrdí, že ochrana právnych záujmov poskytovaná týmto ustanovením je veľmi obmedzená v porovnaní s režimom zodpovednosti, ktorý vyplýva z článkov 101 a 102 ZFEÚ.

43.

Pravidlo predchádzajúceho konštatovania zodpovednosti fyzickej osoby, na ktoré sa odvoláva vnútroštátny súd, by však neplatilo, ak by bol v článku 83 ods. 4 až 6 GDPR prevzatý „funkčný pojem podniku“, ktorý je charakteristický pre články 101 a 102 ZFEÚ, a prostredníctvom neho začlenený do vnútroštátneho práva.

44.

Predmetom článku 83 ods. 4 až 6 GDPR je výpočet výšky pokút zodpovedajúcich porušeniam GDPR, ktoré sú v ňom uvedené. V týchto troch odsekoch sa konkrétne uvádza možnosť, že sankcionovanou stranou je „podnik“.

45.

V uvedenom kontexte treba chápať odkaz na pojem podnik v zmysle článkov 101 a 102 ZFEÚ, ktorý sa nachádza v odôvodnení 150 GDPR. Pripomínam, že podľa Súdneho dvora „právo Únie v oblasti hospodárskej súťaže sa týka činností podnikov a… pojem podnik zahŕňa každý subjekt vykonávajúci hospodársku činnosť, bez ohľadu na jeho právne postavenie a spôsob financovania“ ( 16 )

46.

Keďže maximálna výška sankcií za porušenie GDPR je pre podniky, ktoré sú prevádzkovateľmi alebo sprostredkovateľmi, stanovená ako percentuálny podiel „celkového svetového ročného obratu za predchádzajúci účtovný rok“, referenčné kritérium na stanovenie tejto výšky nemôže predstavovať formálna právna subjektivita spoločnosti, ale percentuálny podiel „ekonomickej jednotky“ vo vyššie uvedenom zmysle.

47.

Je to tak z dôvodu, že podľa článku 83 ods. 1 GDPR správne pokuty stanovené v odsekoch 4 až 6 musia byť „účinné, primerané a odrádzajúce“. Tieto tri znaky môže mať len pokuta, ktorej výška sa určí na základe skutočných alebo materiálnych ekonomických možností jej adresáta. Preto je potrebné pracovať pri výpočte sankcie s materiálnym alebo ekonomickým pojmom „podnik“, a nie používať striktne formálny pojem.

48.

Skutočné alebo materiálne vymedzenie pojmu „podnik“, ktoré je charakteristické pre právo hospodárskej súťaže ( 17 ), preto prevzal normotvorca Únie pri určovaní výšky pokút za porušenie GDPR. Pripomínam však, že tento pojem je v GDPR uvedený len na tieto účely

49.

V tejto veci by preto pojem podnik podľa článkov 101 a 102 ZFEÚ mohol byť relevantný pre vyčíslenie pokuty, ktorá sa má uložiť spoločnosti Deutsche Wohnen. Odpoveď na otázku, či sa tejto spoločnosti pripíšte postavenie sankcionovaného subjektu (resp. páchateľa porušenia), striktne nezávisí od uplatnenia spomenutých dvoch článkov ZFEÚ.

50.

Vyššie uvedené nebráni tomu, aby sa všeobecné zásady, ktorými sa riadi sankčný režim práva hospodárskej súťaže (ktorého výklad Súdny dvor podal v rozsiahlej judikatúre), mutatis mutandis analogicky uplatnili v oblasti zodpovednosti právnických osôb za ich porušenia, pokiaľ ide o ochranu osobných údajov. ( 18 )

51.

Je vnútroštátna právna úprava, ktorá podmieňuje ukladanie správnych sankcií právnickým osobám predchádzajúcim konaním vedeným proti fyzickej osobe, v súlade s GDPR?

52.

Z povahy GDPR vyplýva podľa článku 288 ZFEÚ nielen jeho všeobecná platnosť, ale aj jeho záväznosť a priama uplatniteľnosť vo všetkých členských štátoch. Tieto vlastnosti by sa zmenili, ak by sa členské štáty mohli odchýliť od konečnej podoby požiadaviek, ktoré v GDPR stanovil normotvorca Únie.

53.

Je pravda, že práve z dôvodu jedinečnosti a znakov predmetu úpravy GDPR niektoré jeho ustanovenia poskytujú členským štátom určitý manévrovací priestor na zachovanie alebo prijatie vnútroštátnych pravidiel s cieľom bližšie spresniť niektoré z nich. K tomu dochádza napríklad:

54.

Podľa môjho názoru túto voľnú úvahu štátu, o ktorej sa diskutovalo na pojednávaní, nemožno rozšíriť do takej miery, že sa obmedzí možnosť pripísať porušenie právnickej osobe, ako to podľa vnútroštátneho súdu vyplýva z § 30 OWiG.

55.

Podobné nastavenie režimu zodpovednosti právnických osôb by umožnilo vylúčiť z pôsobnosti sankčného systému GDPR porušenia, ktoré sa podľa tohto nariadenia musia pripísať právnickej osobe, pokiaľ má postavenie prevádzkovateľa alebo sprostredkovateľa. Tak by to bolo v prípade, keď by sa na týchto porušeniach nepodieľali fyzické osoby, ktoré zastupujú, riadia alebo zabezpečujú vedenie právnickej osoby.

56.

Keďže – pripomínam – právnická osoba môže byť prevádzkovateľom a v tomto postavení páchateľom porušení GDPR, ktoré jej možno pripísať, uplatnenie § 30 OWiG by mohlo viesť k oslabeniu alebo neodôvodnenému obmedzeniu rozsahu sankcionovateľného konania, čo vo všeobecnosti nie je v súlade so samotným znením GDPR.

57.

Právnická osoba, ktorú možno považovať za prevádzkovateľa alebo sprostredkovateľa, musí niesť následky v podobe sankcií za porušenia GDPR spáchané nielen jej zástupcami, riadiacimi pracovníkmi alebo manažérmi, ale aj fyzickými osobami (zamestnancami v širšom zmysle), ktoré konajú v rámci jej podnikateľskej činnosti a pod dohľadom uvedených osôb.

58.

Tieto fyzické osoby v skutočnosti formulujú a vymedzujú vôľu právnickej osoby, pričom ju zhmotňujú prostredníctvom osobitných a konkrétnych úkonov. Tieto osobitné úkony ako konkrétny prejav uvedenej vôle je možné napokon pripísať samotnej právnickej osobe.

59.

V konečnom dôsledku ide o fyzické osoby, ktoré síce nie sú zástupcami právnickej osoby v pravom zmysle slova, no pri svojom konaní podliehajú právomoci tých, ktorí pri zastupovaní právnickej osoby nevykonávali dostatočný dohľad alebo kontrolu nad týmito fyzickými osobami. Možnosť pripísať porušenie napokon vedie k samotnej právnickej osobe, keďže porušenie, ktorého sa dopustil zamestnanec, ktorý koná na základe poverenia jej riadiacich orgánov, je nedostatkom systému kontroly a dohľadu, za ktorý sú tieto orgány priamo zodpovedné.

60.

To, čo som doteraz uviedol, zodpovedá výkladu vnútroštátneho práva vnútroštátnym súdom. Nemecká vláda však tvrdí, že uplatnenie § 9, 30 a 130 OWiG vo vzájomnej súvislosti vytvára systém, v ktorom možno sankcionovať porušenia pripisované právnickej osobe, ktoré spáchali fyzické osoby, ktoré nezastávajú riadiace funkcie alebo funkcie spočívajúce v zastupovaní týchto právnických osôb, pričom nie je potrebné identifikovať ich. ( 21 )

61.

Ako som uviedol vyššie, výklad ustanovení vnútroštátneho práva prináleží vnútroštátnemu súdu. O tom, či podľa vnútroštátnej judikatúry a právnej náuky, na ktoré sa odvoláva nemecká vláda, ( 22 ) uvedené ustanovenia pripúšťajú výklad vnútroštátneho práva v súlade s požiadavkami práva Únie, musia rozhodnúť nemecké súdy.

62.

V prípade, že by takýto výklad bol contra legem a vzhľadom na osobitnú štruktúru jeho vnútroštátneho sankčného systému by nebolo možné v plnom rozsahu uplatniť pravidlá GDPR v tejto oblasti, vnútroštátny súd by musel vylúčiť uplatnenie vnútroštátneho predpisu nezlučiteľného s právom Únie, aby sa zaručila prednosť GDPR.

63.

Vnútroštátny súd chce vedieť, či podľa článku 83 ods. 4 až 6 GDPR „je nutné, aby podnik prostredníctvom zamestnanca úmyselne alebo z nedbanlivosti spáchal protiprávne konanie…, alebo na sankcionovanie podniku v zásade stačí už aj objektívne porušenie povinností, ktoré mu možno pripísať (strict liability)“ ( 23 ).

64.

Takto formulovaná otázka má hypotetický charakter, v dôsledku čoho je z dvoch dôvodov neprípustná.

65.

V prvom rade podľa rozhodnutia vnútroštátneho súdu bola spoločnosti Deutsche Wohnen uložená sankcia za úmyselné (zámerné) konanie, a nie len za „objektívne porušenie“ GDPR. Vyššie uvedený opis skutočností svedčí o tom, že tento podnik vedome a úmyselne nevyhovel výzve orgánu pre ochranu údajov a pokračoval v spracúvaní údajov, ktoré sa mu vytýkalo. Pre túto kvalifikáciu je irelevantné, že uvádza, že s úpravou jeho systémov spracúvania údajov sú spojené viaceré technické a právne ťažkosti.

66.

V druhom rade, keď Súdny dvor požiadal vnútroštátny súd, aby objasnil svoju otázku, vnútroštátny súd uviedol, že súd prvého stupňa nie je viazaný zisteniami uvedenými v rozhodnutí o uložení sankcie a že v budúcnosti môže tento súd rozhodnúť o dôvodoch opravného prostriedku proti tejto sankcii. Ak by dospel k presvedčeniu, že došlo k porušeniu, bude potrebné objasniť, k akému druhu pochybenia došlo, čo bude závisieť od odpovede na túto druhú otázku.

67.

Vzhľadom na toto vysvetlenie je opäť zrejmé, že druhá prejudiciálna otázka má hypotetický charakter: rozhodnutie o kvalifikácii konania nie je nevyhnutné na vyriešenie sporu pred vnútroštátnym súdom, ale prípadne – po vrátení veci na súd prvého stupňa – na to, aby tento súd mohol v budúcnosti rozhodnúť.

68.

V každom prípade, pokiaľ by sa Súdny dvor rozhodol preskúmať podstatu veci, sa domnievam, že odpoveď na túto otázku nezávisí od výkladu článku 83 ods. 4 až 6 GDPR, ktorého predmetom je výpočet správnych pokút.

69.

Vnútroštátny súd rozlišuje medzi: a) porušením spáchaným zamestnancom právnickej osoby a b) existenciou úmyslu alebo nedbanlivosti zo strany právnickej osoby pri uvedenom porušení.

70.

Podľa môjho názoru „porušenie spáchané zamestnancom“ je v skutočnosti – a vzhľadom na to, čo bolo uvedené v súvislosti s prvou otázkou – porušením spáchaným právnickou osobou, na základe poverenia ktorej zamestnanec konal.

71.

Správne sformulovaná otázka sa teda týka možnosti, aby bola právnická osoba sankcionovaná za objektívne (nezavinené) porušenie povinností, ktoré jej prináležia ako prevádzkovateľovi alebo sprostredkovateľovi.

72.

Pri odpovedi na túto otázku môže byť užitočné poukázať na judikatúru Európskeho súdu pre ľudské práva (ESĽP) týkajúcu sa zásady zákonnosti trestných činov a trestov, ktorá je zakotvená v článku 7 Európskeho dohovoru o ochrane ľudských práv a základných slobôd (EDĽP).

73.

Aj keď EDĽP nepredstavuje právny nástroj formálne začlenený do právneho poriadku Únie, keďže Únia k nemu nepristúpila, základné práva uznané v tomto dohovore tvoria súčasť práva Únie ako všeobecné zásady (článok 6 ods. 3 ZEÚ).

74.

Podľa Súdneho dvora „článok 52 ods. 3 Charty, ktorý stanovuje, že práva obsiahnuté v Charte, ktoré zodpovedajú právam zaručeným EDĽP, majú rovnaký zmysel a rozsah ako práva, ktoré im priznáva uvedený dohovor, má za cieľ zabezpečiť potrebnú súdržnosť medzi týmito právami bez toho, aby tým bola narušená autonómia práva Únie a Súdneho dvora“ ( 24 ).

75.

Judikatúra ESĽP týkajúca sa výkladu článku 7 EDĽP však obsahuje odchýlky, ktoré sa úplne nezhodujú:

76.

Prebratie teoretických kategórií trestného práva (nulla poena sine culpa) na účely ich uplatnenia na právne predpisy týkajúce sa ukladania správnych sankcií v skutočnosti vyvoláva značné výkladové ťažkosti. Pod pojem zavinenie (vo forme nedbanlivosti) je možné zaradiť prípady obyčajného nedodržania zákonného ustanovenia, keď mal jeho páchateľ povinnosť vedieť, aké správanie sa od neho vyžaduje.

77.

Z tohto hľadiska by sa jednotlivé formy zavinenia, vrátane menej závažných foriem, ako aj jednotlivé dôvody pripísania porušenia (napríklad culpa in vigilando alebo in eligendo) mohli vzťahovať na konania, ktoré by z iného uhla pohľadu niektoré súdy kvalifikovali ako prípady objektívnej zodpovednosti. Hranice medzi oboma kategóriami preto nie sú v právnych predpisoch týkajúcich sa ukladania správnych sankcií také jednoznačné, ako by sa mohlo zdať z rozhodnutia vnútroštátneho súdu.

78.

Je pravda, že – pokiaľ ide o právo Únie – Súdny dvor v niektorých prípadoch pripustil režim, ktorý považoval za režim objektívnej zodpovednosti v oblasti sankcií. Urobil to napríklad v rozsudku z 22. marca 2017, Euro‑Team a Spirál‑Gép, pričom uviedol:

79.

Táto judikatúra však bola použitá aj v iných odvetviach, než je ochrana údajov, a to v súvislosti s porušením povinností konať, ktoré majú skôr formálny význam; išlo o sankcie uložené za používanie diaľničného úseku bez zaplatenia požadovaného mýtneho poplatku ( 29 ) alebo za nedodržanie predpisov týkajúcich sa záznamových listov záznamového zariadenia nákladného vozidla. ( 30 )

80.

V prípade povinností stanovených v GDPR – medzi ktoré patria povinnosti, ktoré podmieňujú spracúvanie údajov (článok 5 GDPR) a jeho zákonnosť (článok 6 GDPR) – zahŕňa posúdenie toho, či boli dodržané, komplexný proces hodnotenia a posudzovania, ktorý presahuje rámec samotného konštatovania formálneho nesplnenia povinností.

81.

V každom prípade sa domnievam, že článok 83 GDPR potvrdzuje vylúčenie režimu objektívnej zodpovednosti (bez zavinenia) vo veciach týkajúcich sa sankcií, t. j. vyžaduje prítomnosť úmyslu alebo nedbanlivosti v sankcionovanom konaní. Podľa môjho názoru to vyplýva z viacerých odsekov tohto článku:

82.

Názor, ktorý som uviedol vyššie, by mohlo byť nesprávny, ak by – ako tvrdia niektoré z vlád, ktoré sa zúčastnili na konaní – neexistencia výslovných ustanovení týkajúcich sa tejto otázky v GDPR znamenala, že členským štátom sa priznáva možnosť zvoliť si systém subjektívnej zodpovednosti (úmysel alebo nedbanlivosť) alebo systém, ktorý zahŕňa aj objektívnu zodpovednosť.

83.

Uznávam, že stanovisko týchto vlád má určitú argumentačnú oporu: keďže sa v článku 83 ods. 2 GDPR odkazuje na úmyselný alebo nedbanlivostný charakter ako faktory na stanovenie výšky pokuty, a nie ako nevyhnutné (podstatné) prvky samotného protiprávneho konania, toto ustanovenie podľa ich názoru nebráni možnosti, aby členské štáty určili tieto podstatné prvky porušenia podľa vlastného uváženia.

84.

Rovnako ako Komisia však zastávam názor, že správny výklad sankčného systému zavedeného v GDPR, ktoré sa má nepochybne priamo uplatniť, svedčí v prospech jednotného a konzistentného riešenia ( 33 ) pre všetky členské štáty, a nie v prospech toho, aby každý členský štát sám rozhodoval o tom, či sa porušenia, za ktoré možno uložiť sankcie, majú rozšíriť aj na porušenia, ktoré nie sú úmyselné alebo nedbanlivostné.

85.

Podľa môjho názoru relevantnosť jednotného riešenia (a neuskutočniteľnosť nejednotného riešenia) potvrdzujú odôvodnenia GDPR, ktoré vnútroštátny súd cituje vo svojom návrhu na začatie prejudiciálneho konania a v ktorých sa opakovane uvádza potreba trestať porušenia zodpovedajúcimi sankciami. ( 34 ) Sankcie by neboli zodpovedajúce, ak by si každý členský štát dovolil vymedziť porušenia odlišnej povahy, pričom by akceptoval porušenia, ktoré spočívajú len v objektívnych porušeniach bez akéhokoľvek úmyselného alebo nedbanlivostného prvku.

86.

Na základe vyššie uvedeného navrhujem, aby Súdny dvor odpovedal na prejudiciálne otázky, ktoré mu položil Kammergericht Berlin (Vyšší krajinský súd Berlín, Nemecko), takto:

Článok 58 ods. 2 písm. i) nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) v spojení s článkom 4 bodom 7 a článkom 83 toho istého nariadenia

sa má vykladať v tom zmysle, že:

uloženie správnej pokuty právnickej osobe, ktorá je prevádzkovateľom, nie je podmienené tým, aby sa predtým konštatovala existencia porušenia spáchaného jednou alebo viacerými fyzickými osobami, ktoré pracujú pre túto právnickú osobu.

Správne pokuty, ktoré možno uložiť podľa nariadenia 2016/679, vyžadujú existenciu úmyslu alebo nedbanlivosti v konaní, ktoré predstavuje sankcionované porušenie.