Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62021CC0807

Návrhy prednesené 27. apríla 2023 – generálny advokát M. Campos Sánchez-Bordona.
Deutsche Wohnen SE v. Staatsanwaltschaft Berlin.
Návrh na začatie prejudiciálneho konania podaný/á/é Kammergericht Berlin.
Návrh na začatie prejudiciálneho konania – Ochrana osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 4 bod 7 – Pojem ‚prevádzkovateľ‘ – Článok 58 ods. 2 – Právomoci dozorných orgánov uložiť nápravné opatrenia – Článok 83 – Ukladanie správnych pokút právnickej osobe – Podmienky – Rozhodovací priestor členských štátov – Požiadavka úmyselného alebo nedbanlivostného charakteru porušenia.
Vec C-807/21.

Court reports – general

ECLI identifier: ECLI:EU:C:2023:360

 NÁVRHY GENERÁLNEHO ADVOKÁTA

MANUEL CAMPOS SÁNCHEZ‑BORDONA

prednesené 27. apríla 2023 ( 1 )

Vec C‑807/21

Deutsche Wohnen SE

proti

Staatsanwaltschaft Berlin

[návrh na začatie prejudiciálneho konania, ktorý podal Kammergericht Berlin (Vyšší krajinský súd Berlín, Nemecko)]

„Prejudiciálne konanie – Ochrana osobných údajov – Nariadenie (EÚ) 2016/679 – Porušenia – Pripísanie porušenia, ktorého sa dopustili zamestnanci podniku, tomuto podniku – Možná zodpovednosť bez zavinenia – Prebratie pojmov sformulovaných v práve hospodárskej súťaže“

1.

Prejednávaný návrh na začatie prejudiciálneho konania poskytuje Súdnemu dvoru príležitosť rozhodnúť o podmienkach, za ktorých možno právnickej osobe uložiť správnu pokutu za porušenia nariadenia (EÚ) 2016/679 ( 2 ).

2.

Ide najmä o určenie toho, či:

je možné sankcionovať právnickú osobu bez toho, aby bolo potrebné predtým konštatovať zodpovednosť fyzickej osoby,

porušenie, ktoré sa sankcionuje, musí byť v každom prípade spáchané úmyselne alebo z nedbanlivosti, alebo stačí len objektívne nesplnenie povinnosti.

I. Právny rámec

A.   Právo Únie. GDPR

3.

V odôvodnení 74 sa uvádza:

„Mali by sa stanoviť povinnosti a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto nariadením vrátane účinnosti opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva a slobody fyzických osôb.“

4.

V odôvodnení 150 sa uvádza:

„S cieľom posilniť a harmonizovať správne sankcie za porušovanie tohto nariadenia by každý dozorný orgán mal mať právomoc ukladať správne pokuty. V tomto nariadení by sa mali uviesť porušenia a horná hranica príslušných správnych pokút a kritériá ich stanovenia, ktoré by mal určiť príslušný dozorný orgán v každom jednotlivom prípade, pričom zohľadní všetky relevantné okolnosti konkrétnej situácie s náležitým zreteľom najmä na povahu, závažnosť a trvanie porušenia a jeho následkov, ako aj opatrenia, ktoré sa prijali na zabezpečenie súladu s povinnosťami podľa tohto nariadenia a na predchádzanie následkom porušenia alebo ich zmiernenie. Keď sa správne pokuty ukladajú podniku, podnik by sa mal na tieto účely považovať za podnik v súlade s článkami 101 a 102 ZFEÚ. … Na podporu konzistentného uplatňovania správnych pokút sa môže využiť aj mechanizmus konzistentnosti…“

5.

Článok 4 s názvom „Vymedzenie pojmov“ stanovuje:

„Na účely tohto nariadenia:

7.

‚prevádzkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

8.

‚sprostredkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

18.

‚podnik‘ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

…“

6.

Článok 58, nazývaný „Právomoci“, v odseku 2 stanovuje:

„Každý dozorný orgán má všetky tieto nápravné právomoci:

a)

upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia tohto nariadenia;

b)

napomenúť prevádzkovateľ[a] alebo sprostredkovateľ[a], ak spracovateľské operácie porušili ustanovenia tohto nariadenia;

c)

nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhovel žiadostiam dotknutej osoby o uplatnenie jej práv podľa tohto nariadenia;

d)

nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami tohto nariadenia;

i)

uložiť v závislosti od okolností každého jednotlivého prípadu správnu pokutu podľa článku 83, a to popri opatreniach uvedených v tomto odseku alebo namiesto nich;

…“

7.

Článok 83, nazývaný „Všeobecné podmienky ukladania správnych pokút“, znie:

„1.   Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce.

2.   Správne pokuty sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach uvedených v článku 58 ods. 2 písm. a) až h) a j) alebo namiesto nich. Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:

a)

povaha, závažnosť a trvanie porušenia, pričom sa zohľadní povaha, rozsah alebo účel dotknutého spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli;

b)

úmyselný alebo nedbanlivostný charakter porušenia;

c)

akékoľvek kroky, ktoré prevádzkovateľ alebo sprostredkovateľ podnikol s cieľom zmierniť škodu, ktorú dotknuté osoby utrpeli;

d)

miera zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijali podľa článkov 25 a 32;

e)

akékoľvek relevantné predchádzajúce porušenia zo strany prevádzkovateľa alebo sprostredkovateľa;

f)

miera spolupráce s dozorným orgánom pri náprave porušenia a zmiernení možných nepriaznivých dôsledkov porušenia;

g)

kategórie osobných údajov, ktorých sa porušenie týka;

h)

spôsob, akým sa dozorný orgán o porušení dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie oznámili, a ak áno, v akom rozsahu;

i)

ak boli predtým voči dotknutému prevádzkovateľovi alebo sprostredkovateľovi v rovnakej veci prijaté opatrenia uvedené v článku 58 ods. 2, splnenie uvedených opatrení;

j)

dodržiavanie schválených kódexov správania podľa článku 40 alebo schválených mechanizmov certifikácie podľa článku 42 a

k)

akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu, ako napríklad akékoľvek získané finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením.

3.   Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie.

4.   Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 10000000 EUR, alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia….

5.   Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 20000000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

6.   Za nesplnenie príkazu dozorného orgánu podľa článku 58 ods. 2 sa podľa odseku 2 tohto článku uložia správne pokuty až do výšky 20000000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

8.   Výkon právomocí dozorného orgánu podľa tohto článku podlieha primeraným procesným zárukám v súlade s právom Únie a právom členského štátu vrátane účinného súdneho prostriedku nápravy a riadneho procesu.

…“

B.   Vnútroštátne právo. Ordnungswidrigkeitengesetz (zákon o správnych deliktoch) ( 3 )

8.

Podľa § 9 ods. 1 ak osoba koná ako a) orgán (alebo člen takéhoto orgánu) oprávnený zastupovať právnickú osobu, b) spoločník oprávnený zastupovať osobnú spoločnosť s právnou subjektivitou alebo c) zákonný zástupca tretej osoby, vzťahuje sa na ňu každý zákon, podľa ktorého osobitné funkcie, vzťahy alebo osobné okolnosti odôvodňujú možnú sankciu, ak tieto okolnosti neexistujú v jej prípade, ale existujú v prípade zastupovanej osoby.

9.

Na základe § 9 ods. 2 vyššie uvedené platí aj pre vlastníka prevádzkarne (podniku), ktorý úplne alebo čiastočne zverí inej osobe jej riadenie alebo plnenie povinností vlastníka na vlastnú zodpovednosť.

10.

Ustanovenie § 30 ods. 1 umožňuje uložiť správnu pokutu právnickej osobe, ak fyzická osoba, ktorá ju zastupuje, riadi alebo je zodpovedná za jej vedenie, spáchala trestný čin alebo nesplnila povinnosti, ktoré prináležia tejto právnickej osobe.

11.

V súlade s § 30 ods. 4 pokutu možno uložiť právnickej osobe samostatne len vtedy, ak proti členovi orgánu alebo zástupcovi právnickej osoby nebolo začaté žiadne konanie, alebo ak sa takéto konanie začalo, bolo zastavené.

12.

Podľa § 130 ods. 1 ten, kto ako vlastník prevádzky alebo podniku úmyselne alebo z nedbanlivosti neprijme opatrenia dohľadu potrebné na to, aby sa v rámci prevádzky alebo podniku zabránilo nedodržiavaniu povinností, ktoré sa na vlastníka vzťahujú a ktorých porušenie sa trestá sankciou alebo pokutou, spácha právny delikt, ak sa takémuto nedodržiavaniu mohlo predísť alebo zabrániť vhodnými opatreniami dohľadu, medzi ktoré patrí vymenovanie, starostlivý výber a kontrola osôb zodpovedných za kontroly.

II. Skutkový stav, spor vo veci samej a prejudiciálne otázky

13.

Deutsche Wohnen SE (ďalej len „Deutsche Wohnen“) je realitná spoločnosť so sídlom v Berlíne (Nemecko), ktorá je kótovaná na burze. Nepriamo formou spoluvlastníckych podielov vlastní približne 163000 bytov a 3000 nebytových priestorov.

14.

Vlastníkmi uvedených nehnuteľností sú dcérske spoločnosti prepojené so spoločnosťou Deutsche Wohnen (ďalej len „holdingové spoločnosti“), ktoré vykonávajú prevádzkovú činnosť, zatiaľ čo Deutsche Wohnen má na starosti vyšší manažment koncernu. Holdingové spoločnosti prenajímajú byty a nebytové priestory, ktoré spravujú iné koncernové spoločnosti, takzvané servisné spoločnosti.

15.

V rámci svojej obchodnej činnosti Deutsche Wohnen a koncernové spoločnosti spracúvajú osobné údaje nájomcov týchto nehnuteľností. Uvedenými údajmi sú najmä doklady totožnosti, daňové údaje, údaje o sociálnom a zdravotnom poistení, ako aj údaje o predchádzajúcich nájomných vzťahoch.

16.

Dňa 23. júna 2017 Berliner Beauftragte für den Datenschutz (príslušný orgán pre ochranu údajov v Berlíne, Nemecko; ďalej len „orgán pre ochranu údajov“) v rámci kontroly na mieste upozornil spoločnosť Deutsche Wohnen na to, že jej koncernové spoločnosti uchovávajú osobné údaje nájomcov v elektronickom archivačnom systéme, v prípade ktorého nemožno preukázať, či je toto uchovávanie potrebné a či je zabezpečené, že údaje, ktoré už nie sú potrebné, budú vymazané.

17.

Orgán pre ochranu údajov vyzval spoločnosť Deutsche Wohnen, aby v budúcnosti a najneskôr do konca roka 2017 vymazala určité dokumenty z elektronického archivačného systému.

18.

Deutsche Wohnen to odmietla urobiť, pričom uviedla, že vymazanie týchto dokumentov nie je možné z technických a právnych dôvodov. Táto námietka bola prerokovaná na stretnutí spoločnosti Deutsche Wohnen s orgánom pre ochranu údajov, počas ktorého tento orgán uviedol, že existujú technické riešenia na vymazanie údajov. Rozhovory pokračovali a Deutsche Wohnen oznámila, že zvažuje zavedenie nového systému, ktorý by nahradil systém zamietnutý orgánom pre ochranu údajov.

19.

Dňa 5. marca 2020 orgán pre ochranu údajov vykonal audit v centrále koncernu, pri ktorom odobral z databáz celkovo 16 náhodných vzoriek. Deutsche Wohnen zároveň tomuto orgánu oznámila, že sporný archivačný systém už bol vyradený z prevádzky a bezodkladne sa začne presun údajov do nového systému.

20.

Dňa 30. októbra 2020 orgán pre ochranu údajov sankcionoval spoločnosť Deutsche Wohnen za to, že

v období od 25. mája 2018 do 5. marca 2019 úmyselne opomenula prijať opatrenia potrebné na umožnenie pravidelného vymazávania osobných údajov nájomcov, ktoré už nebolo potrebné uchovávať alebo ktoré sa neoprávnene uchovávali z iných dôvodov,

naďalej uchovávala osobné údaje najmenej pätnástich konkrétne označených nájomcov, hoci vedela, že tieto údaje už nie sú alebo prestali byť potrebné.

21.

Uložené pokuty dosiahli výšku 14385000 eur za úmyselné porušenie článku 25 ods. 1 a článku 5 ods. 1 písm. a), c) a e) GDPR a výšku od 3000 eur do 17000 eur za pätnásť porušení článku 6 ods. 1 GDPR.

22.

Deutsche Wohnen napadla uvedené sankcie námietkou na Landgericht Berlin (Krajinský súd Berlín, Nemecko), ktorý tejto námietke vyhovel.

23.

Staatsanwaltschaft Berlin (Prokuratúra Berlín, Nemecko) napadla prvostupňové rozhodnutie na Kammergericht Berlin (Vyšší krajinský súd Berlín, Nemecko), ktorý kladie Súdnemu dvoru tieto prejudiciálne otázky:

„1.

Má sa článok 83 ods. 4 až 6 GDPR vykladať v tom zmysle, že do vnútroštátneho práva začleňuje funkčný pojem podniku zodpovedajúci článkom 101 a 102 ZFEÚ a zásadu zástupnej zodpovednosti [‚Funktionsträgerprinzip‘] s tým následkom, že pri rozšírení zásady zodpovednosti podniku ako právnickej osoby [‚Rechtsträgerprinzip‘], ktorá je základom § 30 OWiG, je možné viesť správne konanie o uložení pokuty priamo proti podniku a na uloženie pokuty sa nevyžaduje konštatovanie existencie správneho deliktu spáchaného identifikovanou fyzickou osobou, ktorý prípadne spĺňa všetky objektívne a subjektívne znaky takého deliktu?

2.

V prípade kladnej odpovede na prvú otázku: Má sa článok 83 ods. 4 až 6 GDPR vykladať v tom zmysle, že je nutné, aby podnik prostredníctvom zamestnanca úmyselne alebo z nedbanlivosti spáchal protiprávne konanie [pozri článok 23 nariadenia Rady (ES) č. 1/2003[ ( 4 )]…], alebo na sankcionovanie podniku v zásade stačí už aj objektívne porušenie povinností, ktoré mu možno pripísať (strict liability)?“

III. Konanie na Súdnom dvore

24.

Návrh na začatie prejudiciálneho konania bol doručený do kancelárie Súdneho dvora 23. decembra 2021.

25.

Písomné pripomienky predložili Deutsche Wohnen, nemecká, estónska a nórska vláda, ako aj Európska komisia.

26.

Dňa 9. novembra 2022 Súdny dvor na základe článku 101 ods. 1 rokovacieho poriadku vyzval vnútroštátny súd, aby spresnil:

prípadný vplyv § 130 OWiG na prvú z položených otázok,

dôvody, pre ktoré považuje za potrebné odpovedať na druhú prejudiciálnu otázku, keďže podľa rozhodnutia vnútroštátneho súdu boli sankcie uložené za úmyselné porušenie viacerých ustanovení GDPR.

27.

Predmetné vysvetlenia boli doručené do kancelárie Súdneho dvora 11. januára 2023.

28.

Na pojednávaní konanom 17. januára 2023 sa zúčastnili okrem účastníkov konania, ktorí predložili písomné pripomienky, holandská vláda, Európsky parlament a Rada Európskej Únie.

IV. Posúdenie

A.   Prvá prejudiciálna otázka

1. Úvodné poznámky

29.

Prvou otázkou, ktorú kladie vnútroštátny súd, v podstate je, či podľa práva Únie možno sankcionovať právnickú osobu za porušenie GDPR bez toho, aby bolo potrebné najskôr pripísať toto porušenie fyzickej osobe.

30.

Vnútroštátny súd však vo svojej otázke uviedol viacero okolností, ktoré vyvolávajú ťažkosti:

označil článok 83 ods. 4 až 6 GDPR ako ustanovenie, ktorého výklad by mohol poskytnúť odpoveď na jeho otázku,

poukazuje na pojem a zásadu, ktoré označuje ako „funkčný pojem podniku zodpovedajúci článkom 101 a 102 ZFEÚ a zásadu zástupnej zodpovednosti“.

31.

Vnútroštátny súd tvrdí, že vnútroštátne právo umožňuje uložiť pokutu podniku len vtedy, ak mu možno pripísať určité porušenia spáchané (jedine) jeho riadiacimi pracovníkmi so zastupovacími funkciami. ( 5 )

32.

Deutsche Wohnen a nemecká vláda s touto formuláciou nesúhlasia. Podľa ich názoru sa má § 30 OWiG vykladať v spojení s § 9 a 130 OWiG, s ktorými tvorí ucelený sankčný systém. Podľa tohto systému je možné uložiť správnu sankciu podniku bez toho, aby bolo potrebné začatie konania proti fyzickej osobe, ktorá konala v jeho mene. ( 6 )

33.

Vnútroštátny súd v reakcii na žiadosť Súdneho dvora, aby sa vyjadril k prípadnému vplyvu § 130 OWiG, uviedol, že toto ustanovenie nie je relevantné pre prvú prejudiciálnu otázku. Na odôvodnenie svojho stanoviska uvádza, že

aj keď § 130 OWiG spolu s § 9 a 30 OWiG umožňuje uložiť pokuty podniku, ochrana právnych záujmov, ktorú poskytuje prvé z týchto ustanovení, je veľmi obmedzená v porovnaní s režimom zodpovednosti, ktorý vyplýva z článkov 101 a 102 ZFEÚ,

adresátom § 130 OWiG je vlastník podniku, ktorý nesplnil povinnosť dohľadu. Dôkaz o nesplnení povinností, ktoré možno pripísať vlastníkovi podniku, presahuje rámec konštatovania porušenia právnych záujmov, ktorého sa dopustil uvedený podnik. Tento dôkaz si vyžaduje preskúmanie a objasnenie vnútorných štruktúr a (všeobecných a osobitných) postupov, ktoré sú nielen v tejto veci, ale v akomkoľvek prípade koncernov mimoriadne zložité, čo bude v mnohých prípadoch nemožné. V tejto súvislosti je sporné, či sa koncerny môžu v skutočnosti považovať za podniky alebo vlastníkov podnikov v zmysle § 130 OWiG.

34.

Uvedené objasnenia dokazujú, že prvá z prejudiciálnych otázok vnútroštátneho súdu zodpovedá chápaniu vnútroštátneho práva, ktoré – na rozdiel od názoru nemeckej vlády – akceptuje režim zodpovednosti právnických osôb, ktorého vlastnosti by mohli prípadne spôsobiť jeho nezlučiteľnosť s právom Únie.

35.

Súdny dvor sa musí riadiť vnútroštátnym právnym rámcom, ako ho opisuje vnútroštátny súd ( 7 ), ktorý je oprávnený vykladať svoje vnútroštátne právo. Otázky týkajúce sa výkladu práva Únie položené vnútroštátnym súdom sa musia vyriešiť s ohľadom na skutkový a právny rámec vymedzený na jeho zodpovednosť, ktorého správnosť neprináleží overovať Súdnemu dvoru. ( 8 )

36.

Na základe týchto predpokladov preto preskúmam prvú prejudiciálnu otázku.

2. Právnické osoby, ktoré sú adresátmi sankcie podľa GDPR

37.

Podľa práva Únie nemožno namietať proti tomu, aby Deutsche Wohnen bola považovaná za páchateľa porušenia a platiteľa uloženej sankcie. Táto možnosť sa z abstraktného hľadiska nachádza v GDPR a z konkrétneho hľadiska bola využitá v tomto prípade:

z abstraktného hľadiska, ako ďalej vysvetlím, skutočnosť, že právnická osoba môže byť priamo sankcionovaná za porušenia v oblasti ochrany údajov, je nielen uvedená vo viacerých ustanoveniach GDPR, ale v skutočnosti predstavuje jeden z kľúčových mechanizmov na zabezpečenie účinnosti tohto nariadenia,

z konkrétneho hľadiska podľa rozhodnutia vnútroštátneho súdu sporná pokuta bola uložená spoločnosti Deutsche Wohnen z dôvodu viacerých porušení GDPR, ktoré sa pripisujú tejto spoločnosti ako prevádzkovateľovi. ( 9 ) Tejto spoločnosti bola adresovaná výzva orgánu pre ochranu údajov, na ktorú odpovedala vo vyššie uvedenom zmysle, pričom neskôr pokračovala v činnosti, ktorú jej tento orgán vytýkal. Neboli preto žiadne problémy s identifikáciou adresáta sankcie. ( 10 )

38.

Pokiaľ ide o abstraktný prístup, nie je potrebných príliš veľa úvah na potvrdenie predpokladu, že právnická osoba môže byť priamo sankcionovaná ako porušovateľ GDPR. Tento predpoklad je možné bez výkladových ťažkostí odvodiť zo znenia článkov 4, 58 a 83 GDPR:

v článku 4 sú vymedzené pojmy prevádzkovateľ alebo sprostredkovateľ s výslovným odkazom na to, že nimi môžu byť právnické osoby, ( 11 )

v článku 58 ods. 2 sa poskytuje dozorným orgánom súbor „nápravných právomocí“ voči prevádzkovateľom alebo sprostredkovateľom (t. j. takisto voči právnickým osobám). Medzi uvedenými nápravnými právomocami sa nachádza aj uloženie „správnej pokuty“ [písmeno i)],

pri vymenúvaní kritérií na stanovenie výšky správnych pokút sa v článku 83 GDPR uvádzajú okolnosti, ktoré sa môžu bez ťažkostí vyskytnúť v konaní právnických osôb.

39.

Zo všetkých uvedených ustanovení úplne prirodzene vyplýva, že GDPR umožňuje, aby priamym adresátom správnych pokút vyplývajúcich z jeho porušenia bola právnická osoba. ( 12 ) Tento záver považovali za prirodzený aj príslušné vnútroštátne orgány v tejto oblasti, ktoré neváhali potrestať niekedy aj vysokými pokutami právnické osoby porušujúce GDPR. ( 13 )

40.

Pokiaľ ide o konkrétny prístup, opakujem, že orgán pre ochranu údajov sa obrátil na spoločnosť Deutsche Wohnen ako na prevádzkovateľa a vyzval ju, aby zo svojich záznamov vymazala určité osobné údaje nájomcov, pričom uvedená spoločnosť túto výzvu určitú dobu ignorovala, až kým nezmenila svoje systémy uchovávania údajov.

3. Potreba predchádzajúceho pripísania porušenia fyzickej osobe?

41.

Podľa vnútroštátneho súdu vnútroštátne právo vyžaduje, aby sa v prípade priameho sankcionovania podniku za porušenie GDPR najskôr konštatovala zodpovednosť fyzickej osoby. Domnieva sa, že to vyplýva z § 30 OWiG: podniku je možné uložiť pokutu len v prípade, že mu možno pripísať určité porušenia spáchané jeho riadiacimi pracovníkmi so zastupovacími funkciami, pričom na tento účel sa vyžaduje, aby zástupca spôsobom vymedzeným v skutkovej podstate, protiprávne a zavinene porušil príslušné ustanovenie. ( 14 )

42.

V súvislosti s námietkou nemeckej vlády, ktorá sa odvoláva na § 130 OWiG s cieľom spochybniť výklad vnútroštátneho súdu, sa tento súd vyjadril tak, ako som už uviedol v citácii jeho odpovede Súdnemu dvoru. ( 15 ) Stručne povedané, tvrdí, že ochrana právnych záujmov poskytovaná týmto ustanovením je veľmi obmedzená v porovnaní s režimom zodpovednosti, ktorý vyplýva z článkov 101 a 102 ZFEÚ.

43.

Pravidlo predchádzajúceho konštatovania zodpovednosti fyzickej osoby, na ktoré sa odvoláva vnútroštátny súd, by však neplatilo, ak by bol v článku 83 ods. 4 až 6 GDPR prevzatý „funkčný pojem podniku“, ktorý je charakteristický pre články 101 a 102 ZFEÚ, a prostredníctvom neho začlenený do vnútroštátneho práva.

a) Vplyv pojmu použitého v článkoch 101 a 102 ZFEÚ

44.

Predmetom článku 83 ods. 4 až 6 GDPR je výpočet výšky pokút zodpovedajúcich porušeniam GDPR, ktoré sú v ňom uvedené. V týchto troch odsekoch sa konkrétne uvádza možnosť, že sankcionovanou stranou je „podnik“.

45.

V uvedenom kontexte treba chápať odkaz na pojem podnik v zmysle článkov 101 a 102 ZFEÚ, ktorý sa nachádza v odôvodnení 150 GDPR. Pripomínam, že podľa Súdneho dvora „právo Únie v oblasti hospodárskej súťaže sa týka činností podnikov a… pojem podnik zahŕňa každý subjekt vykonávajúci hospodársku činnosť, bez ohľadu na jeho právne postavenie a spôsob financovania“ ( 16 )

46.

Keďže maximálna výška sankcií za porušenie GDPR je pre podniky, ktoré sú prevádzkovateľmi alebo sprostredkovateľmi, stanovená ako percentuálny podiel „celkového svetového ročného obratu za predchádzajúci účtovný rok“, referenčné kritérium na stanovenie tejto výšky nemôže predstavovať formálna právna subjektivita spoločnosti, ale percentuálny podiel „ekonomickej jednotky“ vo vyššie uvedenom zmysle.

47.

Je to tak z dôvodu, že podľa článku 83 ods. 1 GDPR správne pokuty stanovené v odsekoch 4 až 6 musia byť „účinné, primerané a odrádzajúce“. Tieto tri znaky môže mať len pokuta, ktorej výška sa určí na základe skutočných alebo materiálnych ekonomických možností jej adresáta. Preto je potrebné pracovať pri výpočte sankcie s materiálnym alebo ekonomickým pojmom „podnik“, a nie používať striktne formálny pojem.

48.

Skutočné alebo materiálne vymedzenie pojmu „podnik“, ktoré je charakteristické pre právo hospodárskej súťaže ( 17 ), preto prevzal normotvorca Únie pri určovaní výšky pokút za porušenie GDPR. Pripomínam však, že tento pojem je v GDPR uvedený len na tieto účely

49.

V tejto veci by preto pojem podnik podľa článkov 101 a 102 ZFEÚ mohol byť relevantný pre vyčíslenie pokuty, ktorá sa má uložiť spoločnosti Deutsche Wohnen. Odpoveď na otázku, či sa tejto spoločnosti pripíšte postavenie sankcionovaného subjektu (resp. páchateľa porušenia), striktne nezávisí od uplatnenia spomenutých dvoch článkov ZFEÚ.

50.

Vyššie uvedené nebráni tomu, aby sa všeobecné zásady, ktorými sa riadi sankčný režim práva hospodárskej súťaže (ktorého výklad Súdny dvor podal v rozsiahlej judikatúre), mutatis mutandis analogicky uplatnili v oblasti zodpovednosti právnických osôb za ich porušenia, pokiaľ ide o ochranu osobných údajov. ( 18 )

b) Priame pripísanie porušenia právnickej osobe

51.

Je vnútroštátna právna úprava, ktorá podmieňuje ukladanie správnych sankcií právnickým osobám predchádzajúcim konaním vedeným proti fyzickej osobe, v súlade s GDPR?

52.

Z povahy GDPR vyplýva podľa článku 288 ZFEÚ nielen jeho všeobecná platnosť, ale aj jeho záväznosť a priama uplatniteľnosť vo všetkých členských štátoch. Tieto vlastnosti by sa zmenili, ak by sa členské štáty mohli odchýliť od konečnej podoby požiadaviek, ktoré v GDPR stanovil normotvorca Únie.

53.

Je pravda, že práve z dôvodu jedinečnosti a znakov predmetu úpravy GDPR niektoré jeho ustanovenia poskytujú členským štátom určitý manévrovací priestor na zachovanie alebo prijatie vnútroštátnych pravidiel s cieľom bližšie spresniť niektoré z nich. K tomu dochádza napríklad:

pokiaľ ide o spracúvanie osobných údajov na účely dodržania zákonnej povinnosti, plnenia úloh realizovaných vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, ( 19 )

pokiaľ ide o spracúvanie osobitných kategórií osobných údajov, keďže GDPR nevylučuje, aby členské štáty vymedzili okolnosti špecifických spracovateľských situácií vrátane presnejšieho stanovenia podmienok ich zákonnosti. ( 20 )

54.

Podľa môjho názoru túto voľnú úvahu štátu, o ktorej sa diskutovalo na pojednávaní, nemožno rozšíriť do takej miery, že sa obmedzí možnosť pripísať porušenie právnickej osobe, ako to podľa vnútroštátneho súdu vyplýva z § 30 OWiG.

55.

Podobné nastavenie režimu zodpovednosti právnických osôb by umožnilo vylúčiť z pôsobnosti sankčného systému GDPR porušenia, ktoré sa podľa tohto nariadenia musia pripísať právnickej osobe, pokiaľ má postavenie prevádzkovateľa alebo sprostredkovateľa. Tak by to bolo v prípade, keď by sa na týchto porušeniach nepodieľali fyzické osoby, ktoré zastupujú, riadia alebo zabezpečujú vedenie právnickej osoby.

56.

Keďže – pripomínam – právnická osoba môže byť prevádzkovateľom a v tomto postavení páchateľom porušení GDPR, ktoré jej možno pripísať, uplatnenie § 30 OWiG by mohlo viesť k oslabeniu alebo neodôvodnenému obmedzeniu rozsahu sankcionovateľného konania, čo vo všeobecnosti nie je v súlade so samotným znením GDPR.

57.

Právnická osoba, ktorú možno považovať za prevádzkovateľa alebo sprostredkovateľa, musí niesť následky v podobe sankcií za porušenia GDPR spáchané nielen jej zástupcami, riadiacimi pracovníkmi alebo manažérmi, ale aj fyzickými osobami (zamestnancami v širšom zmysle), ktoré konajú v rámci jej podnikateľskej činnosti a pod dohľadom uvedených osôb.

58.

Tieto fyzické osoby v skutočnosti formulujú a vymedzujú vôľu právnickej osoby, pričom ju zhmotňujú prostredníctvom osobitných a konkrétnych úkonov. Tieto osobitné úkony ako konkrétny prejav uvedenej vôle je možné napokon pripísať samotnej právnickej osobe.

59.

V konečnom dôsledku ide o fyzické osoby, ktoré síce nie sú zástupcami právnickej osoby v pravom zmysle slova, no pri svojom konaní podliehajú právomoci tých, ktorí pri zastupovaní právnickej osoby nevykonávali dostatočný dohľad alebo kontrolu nad týmito fyzickými osobami. Možnosť pripísať porušenie napokon vedie k samotnej právnickej osobe, keďže porušenie, ktorého sa dopustil zamestnanec, ktorý koná na základe poverenia jej riadiacich orgánov, je nedostatkom systému kontroly a dohľadu, za ktorý sú tieto orgány priamo zodpovedné.

60.

To, čo som doteraz uviedol, zodpovedá výkladu vnútroštátneho práva vnútroštátnym súdom. Nemecká vláda však tvrdí, že uplatnenie § 9, 30 a 130 OWiG vo vzájomnej súvislosti vytvára systém, v ktorom možno sankcionovať porušenia pripisované právnickej osobe, ktoré spáchali fyzické osoby, ktoré nezastávajú riadiace funkcie alebo funkcie spočívajúce v zastupovaní týchto právnických osôb, pričom nie je potrebné identifikovať ich. ( 21 )

61.

Ako som uviedol vyššie, výklad ustanovení vnútroštátneho práva prináleží vnútroštátnemu súdu. O tom, či podľa vnútroštátnej judikatúry a právnej náuky, na ktoré sa odvoláva nemecká vláda, ( 22 ) uvedené ustanovenia pripúšťajú výklad vnútroštátneho práva v súlade s požiadavkami práva Únie, musia rozhodnúť nemecké súdy.

62.

V prípade, že by takýto výklad bol contra legem a vzhľadom na osobitnú štruktúru jeho vnútroštátneho sankčného systému by nebolo možné v plnom rozsahu uplatniť pravidlá GDPR v tejto oblasti, vnútroštátny súd by musel vylúčiť uplatnenie vnútroštátneho predpisu nezlučiteľného s právom Únie, aby sa zaručila prednosť GDPR.

B.   Druhá prejudiciálna otázka

63.

Vnútroštátny súd chce vedieť, či podľa článku 83 ods. 4 až 6 GDPR „je nutné, aby podnik prostredníctvom zamestnanca úmyselne alebo z nedbanlivosti spáchal protiprávne konanie…, alebo na sankcionovanie podniku v zásade stačí už aj objektívne porušenie povinností, ktoré mu možno pripísať (strict liability)“ ( 23 ).

64.

Takto formulovaná otázka má hypotetický charakter, v dôsledku čoho je z dvoch dôvodov neprípustná.

65.

V prvom rade podľa rozhodnutia vnútroštátneho súdu bola spoločnosti Deutsche Wohnen uložená sankcia za úmyselné (zámerné) konanie, a nie len za „objektívne porušenie“ GDPR. Vyššie uvedený opis skutočností svedčí o tom, že tento podnik vedome a úmyselne nevyhovel výzve orgánu pre ochranu údajov a pokračoval v spracúvaní údajov, ktoré sa mu vytýkalo. Pre túto kvalifikáciu je irelevantné, že uvádza, že s úpravou jeho systémov spracúvania údajov sú spojené viaceré technické a právne ťažkosti.

66.

V druhom rade, keď Súdny dvor požiadal vnútroštátny súd, aby objasnil svoju otázku, vnútroštátny súd uviedol, že súd prvého stupňa nie je viazaný zisteniami uvedenými v rozhodnutí o uložení sankcie a že v budúcnosti môže tento súd rozhodnúť o dôvodoch opravného prostriedku proti tejto sankcii. Ak by dospel k presvedčeniu, že došlo k porušeniu, bude potrebné objasniť, k akému druhu pochybenia došlo, čo bude závisieť od odpovede na túto druhú otázku.

67.

Vzhľadom na toto vysvetlenie je opäť zrejmé, že druhá prejudiciálna otázka má hypotetický charakter: rozhodnutie o kvalifikácii konania nie je nevyhnutné na vyriešenie sporu pred vnútroštátnym súdom, ale prípadne – po vrátení veci na súd prvého stupňa – na to, aby tento súd mohol v budúcnosti rozhodnúť.

68.

V každom prípade, pokiaľ by sa Súdny dvor rozhodol preskúmať podstatu veci, sa domnievam, že odpoveď na túto otázku nezávisí od výkladu článku 83 ods. 4 až 6 GDPR, ktorého predmetom je výpočet správnych pokút.

69.

Vnútroštátny súd rozlišuje medzi: a) porušením spáchaným zamestnancom právnickej osoby a b) existenciou úmyslu alebo nedbanlivosti zo strany právnickej osoby pri uvedenom porušení.

70.

Podľa môjho názoru „porušenie spáchané zamestnancom“ je v skutočnosti – a vzhľadom na to, čo bolo uvedené v súvislosti s prvou otázkou – porušením spáchaným právnickou osobou, na základe poverenia ktorej zamestnanec konal.

71.

Správne sformulovaná otázka sa teda týka možnosti, aby bola právnická osoba sankcionovaná za objektívne (nezavinené) porušenie povinností, ktoré jej prináležia ako prevádzkovateľovi alebo sprostredkovateľovi.

72.

Pri odpovedi na túto otázku môže byť užitočné poukázať na judikatúru Európskeho súdu pre ľudské práva (ESĽP) týkajúcu sa zásady zákonnosti trestných činov a trestov, ktorá je zakotvená v článku 7 Európskeho dohovoru o ochrane ľudských práv a základných slobôd (EDĽP).

73.

Aj keď EDĽP nepredstavuje právny nástroj formálne začlenený do právneho poriadku Únie, keďže Únia k nemu nepristúpila, základné práva uznané v tomto dohovore tvoria súčasť práva Únie ako všeobecné zásady (článok 6 ods. 3 ZEÚ).

74.

Podľa Súdneho dvora „článok 52 ods. 3 Charty, ktorý stanovuje, že práva obsiahnuté v Charte, ktoré zodpovedajú právam zaručeným EDĽP, majú rovnaký zmysel a rozsah ako práva, ktoré im priznáva uvedený dohovor, má za cieľ zabezpečiť potrebnú súdržnosť medzi týmito právami bez toho, aby tým bola narušená autonómia práva Únie a Súdneho dvora“ ( 24 ).

75.

Judikatúra ESĽP týkajúca sa výkladu článku 7 EDĽP však obsahuje odchýlky, ktoré sa úplne nezhodujú:

na jednej strane, aj keď uvedený článok výslovne neuvádza morálnu väzbu medzi materiálnym prvkom deliktu a osobou považovanou za jeho páchateľa, logika sankcie a samotný pojem zavinenia vedú k výkladu, ktorý vyžaduje ako podmienku sankcie väzbu intelektuálnej povahy (vedomie a vôľa), ktorá umožní konštatovať prvok zodpovednosti v konaní skutočného páchateľa porušenia, ( 25 )

na druhej strane, ako uviedla nórska vláda na pojednávaní, ESĽP nie je proti potrestaniu objektívnych skutočností. Vo svojom rozsudku zo 7. októbra 1988, Salabiaku v. Francúzsko, ( 26 ) konštatoval, že je to tak iba „v princípe a za určitých podmienok“, lebo hoci EDĽP nebráni domnienkam, „v trestných veciach zaväzuje zmluvné štáty, aby dodržiavali určité obmedzenia“ ( 27 ).

76.

Prebratie teoretických kategórií trestného práva (nulla poena sine culpa) na účely ich uplatnenia na právne predpisy týkajúce sa ukladania správnych sankcií v skutočnosti vyvoláva značné výkladové ťažkosti. Pod pojem zavinenie (vo forme nedbanlivosti) je možné zaradiť prípady obyčajného nedodržania zákonného ustanovenia, keď mal jeho páchateľ povinnosť vedieť, aké správanie sa od neho vyžaduje.

77.

Z tohto hľadiska by sa jednotlivé formy zavinenia, vrátane menej závažných foriem, ako aj jednotlivé dôvody pripísania porušenia (napríklad culpa in vigilando alebo in eligendo) mohli vzťahovať na konania, ktoré by z iného uhla pohľadu niektoré súdy kvalifikovali ako prípady objektívnej zodpovednosti. Hranice medzi oboma kategóriami preto nie sú v právnych predpisoch týkajúcich sa ukladania správnych sankcií také jednoznačné, ako by sa mohlo zdať z rozhodnutia vnútroštátneho súdu.

78.

Je pravda, že – pokiaľ ide o právo Únie – Súdny dvor v niektorých prípadoch pripustil režim, ktorý považoval za režim objektívnej zodpovednosti v oblasti sankcií. Urobil to napríklad v rozsudku z 22. marca 2017, Euro‑Team a Spirál‑Gép, pričom uviedol:

„[pokiaľ ide o] zlučiteľnosť zavedenia objektívnej zodpovednosti so zásadou proporcionality, treba konštatovať, že Súdny dvor už opakovane rozhodol, že tento systém, ktorý zavádza sankcie za porušenie práva Únie, sám osebe nie je nezlučiteľný s týmto právom“,

„zavedenie systému objektívnej zodpovednosti nie je neprimerané sledovaným cieľom, ak tento systém svojou povahou podnecuje dotknuté osoby k dodržiavaniu ustanovení určitého nariadenia a ak sledované ciele predstavujú všeobecný záujem, na základe ktorého možno odôvodniť zavedenie tohto systému“ ( 28 ).

79.

Táto judikatúra však bola použitá aj v iných odvetviach, než je ochrana údajov, a to v súvislosti s porušením povinností konať, ktoré majú skôr formálny význam; išlo o sankcie uložené za používanie diaľničného úseku bez zaplatenia požadovaného mýtneho poplatku ( 29 ) alebo za nedodržanie predpisov týkajúcich sa záznamových listov záznamového zariadenia nákladného vozidla. ( 30 )

80.

V prípade povinností stanovených v GDPR – medzi ktoré patria povinnosti, ktoré podmieňujú spracúvanie údajov (článok 5 GDPR) a jeho zákonnosť (článok 6 GDPR) – zahŕňa posúdenie toho, či boli dodržané, komplexný proces hodnotenia a posudzovania, ktorý presahuje rámec samotného konštatovania formálneho nesplnenia povinností.

81.

V každom prípade sa domnievam, že článok 83 GDPR potvrdzuje vylúčenie režimu objektívnej zodpovednosti (bez zavinenia) vo veciach týkajúcich sa sankcií, t. j. vyžaduje prítomnosť úmyslu alebo nedbanlivosti v sankcionovanom konaní. Podľa môjho názoru to vyplýva z viacerých odsekov tohto článku:

podľa odseku 1 treba zaručiť, aby pokuty za porušenia boli „primerané“. Zásada proporcionality trestov je zaručená v článku 49 Charty a odvodene v judikatúre ESĽP, ktorú som spomenul vyššie,

odsek 2 písm. b) výslovne poukazuje na „úmyselný alebo nedbanlivostný charakter porušenia“ ako rozhodujúci prvok pri uložení správnej pokuty a určení jej výšky. ( 31 ) Ostatné faktory uvedené v písmenách a) až k) toho istého odseku individualizujú relevantné okolnosti každého prípadu a viaceré z nich zahŕňajú subjektívny prvok ( 32 ), pričom v tomto zozname sa nenachádza samotná objektívna existencia porušenia,

odsek 3 stanovuje, že súčasné porušenie viacerých ustanovení GDPR prevádzkovateľom alebo sprostredkovateľom „úmyselne alebo z nedbanlivosti“ (súbeh porušení) bude mať za následok, že suma pokuty nepresiahne výšku stanovenú za najzávažnejšie porušenie. Vychádza teda z predpokladu, že porušenia čisto objektívneho charakteru sú na účely sankcií irelevantné, pokiaľ sa nekumulujú s úmyselnými alebo nedbanlivostnými porušeniami.

82.

Názor, ktorý som uviedol vyššie, by mohlo byť nesprávny, ak by – ako tvrdia niektoré z vlád, ktoré sa zúčastnili na konaní – neexistencia výslovných ustanovení týkajúcich sa tejto otázky v GDPR znamenala, že členským štátom sa priznáva možnosť zvoliť si systém subjektívnej zodpovednosti (úmysel alebo nedbanlivosť) alebo systém, ktorý zahŕňa aj objektívnu zodpovednosť.

83.

Uznávam, že stanovisko týchto vlád má určitú argumentačnú oporu: keďže sa v článku 83 ods. 2 GDPR odkazuje na úmyselný alebo nedbanlivostný charakter ako faktory na stanovenie výšky pokuty, a nie ako nevyhnutné (podstatné) prvky samotného protiprávneho konania, toto ustanovenie podľa ich názoru nebráni možnosti, aby členské štáty určili tieto podstatné prvky porušenia podľa vlastného uváženia.

84.

Rovnako ako Komisia však zastávam názor, že správny výklad sankčného systému zavedeného v GDPR, ktoré sa má nepochybne priamo uplatniť, svedčí v prospech jednotného a konzistentného riešenia ( 33 ) pre všetky členské štáty, a nie v prospech toho, aby každý členský štát sám rozhodoval o tom, či sa porušenia, za ktoré možno uložiť sankcie, majú rozšíriť aj na porušenia, ktoré nie sú úmyselné alebo nedbanlivostné.

85.

Podľa môjho názoru relevantnosť jednotného riešenia (a neuskutočniteľnosť nejednotného riešenia) potvrdzujú odôvodnenia GDPR, ktoré vnútroštátny súd cituje vo svojom návrhu na začatie prejudiciálneho konania a v ktorých sa opakovane uvádza potreba trestať porušenia zodpovedajúcimi sankciami. ( 34 ) Sankcie by neboli zodpovedajúce, ak by si každý členský štát dovolil vymedziť porušenia odlišnej povahy, pričom by akceptoval porušenia, ktoré spočívajú len v objektívnych porušeniach bez akéhokoľvek úmyselného alebo nedbanlivostného prvku.

V. Návrh

86.

Na základe vyššie uvedeného navrhujem, aby Súdny dvor odpovedal na prejudiciálne otázky, ktoré mu položil Kammergericht Berlin (Vyšší krajinský súd Berlín, Nemecko), takto:

Článok 58 ods. 2 písm. i) nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) v spojení s článkom 4 bodom 7 a článkom 83 toho istého nariadenia

sa má vykladať v tom zmysle, že:

uloženie správnej pokuty právnickej osobe, ktorá je prevádzkovateľom, nie je podmienené tým, aby sa predtým konštatovala existencia porušenia spáchaného jednou alebo viacerými fyzickými osobami, ktoré pracujú pre túto právnickú osobu.

Správne pokuty, ktoré možno uložiť podľa nariadenia 2016/679, vyžadujú existenciu úmyslu alebo nedbanlivosti v konaní, ktoré predstavuje sankcionované porušenie.


( 1 ) Jazyk prednesu: španielčina.

( 2 ) Nariadenie Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1) (ďalej len „GDPR“).

( 3 ) Zákon z 24. mája 1968 (BGBl. I 481; III 454‑1) v znení z 19. februára 1987 (BGBl. I, s. 602), v znení zákona z 19. júna 2020 (BGBl. I, s. 1328) (ďalej len „OWiG“).

( 4 ) Nariadenie Rady zo 16. decembra 2002 o vykonávaní pravidiel hospodárskej súťaže stanovených v článkoch 81 a 82 Zmluvy (Ú. v. ES L 1, 2003, s. 1; Mim. vyd. 08/002, s. 205).

( 5 ) Bod II ods. 1 odôvodnenia rozhodnutia vnútroštátneho súdu. Pozri bod 41 a nasl. nižšie.

( 6 ) Bod 45 písomných pripomienok spoločnosti Deutsche Wohnen a body 24 a 25 písomných pripomienok nemeckej vlády.

( 7 ) V rámci konania podľa článku 267 ZFEÚ, ktoré je založené na jasnom rozdelení funkcií medzi vnútroštátnymi súdmi a Súdnym dvorom, má výlučne vnútroštátny súd právomoc zistiť a posúdiť skutkové okolnosti sporu vo veci samej, ako aj vykladať a uplatňovať vnútroštátne právo. Rozsudok Súdneho dvora z 26. apríla 2017, Farkas (C‑564/15, EU:C:2017:302, bod 37).

( 8 ) Súdny dvor môže odmietnuť návrh na začatie prejudiciálneho konania podaný vnútroštátnym súdom len vtedy, ak je zjavné, že požadovaný výklad práva Únie nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, pokiaľ ide o hypotetický problém alebo ak Súdny dvor nedisponuje skutkovými ani právnymi okolnosťami potrebnými na užitočnú odpoveď na otázky, ktoré sa mu položili [pozri napríklad rozsudok z 27. septembra 2017, Puškár (C‑73/16, EU:C:2017:725, bod 50)]. V tomto prípade neexistuje žiadna z týchto okolností.

( 9 ) Hoci Deutsche Wohnen nebola ochotná priznať na pojednávaní, že má také postavenie, je nesporné, že jej profil zodpovedá definícii „prevádzkovateľa“ stanovenej v článku 4 GDPR. Je to tak bez ohľadu na jej skutočnú zodpovednosť za porušenia, ktoré sa jej pripisujú ako „prevádzkovateľovi“.

( 10 ) Inou otázkou je, či sa pri určovaní výšky príslušnej pokuty musí zohľadniť možné začlenenie spoločnosti Deutsche Wohnen a jej dcérskych spoločností do väčšej ekonomickej jednotky. Napriek zdaniu v tomto prejudiciálnom konaní nejde v pravom zmysle slova o klasické problémy rozdelenia zodpovednosti medzi materské a dcérske spoločnosti alebo koncerny spoločností.

( 11 ) V článku 4 bode 7 GDPR je „prevádzkovateľ“ vymedzený – v rozsahu relevantnom pre prejednávanú vec – ako „právnická osoba…, ktor[á] s[ama] alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov“, a v bode 8 tohto článku je „sprostredkovateľ“ opísaný ako „právnická osoba…, ktor[á] spracúva osobné údaje v mene prevádzkovateľa“.

( 12 ) Ktorej takisto prirodzene prináleží právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka (článok 78 ods. 1 GDPR), a teda aj proti akejkoľvek správnej pokute, ktorá jej môže byť uložená.

( 13 ) Napríklad írsky orgán pre ochranu údajov uložil 31. decembra 2022 spoločnosti Facebook pokutu vo výške 210 miliónov eur a spoločnosti Instagram pokutu vo výške 180 miliónov eur.

( 14 ) Bod II ods. 1 odôvodnenia rozhodnutia vnútroštátneho súdu.

( 15 ) Pozri bod 32 vyššie.

( 16 ) Rozsudok z 27. apríla 2017, Akzo Nobel a i./Komisia (C‑516/15 P, EU:C:2017:314, bod 47).

( 17 ) Pozri napríklad rozsudok z 10. apríla 2014, Areva a i./Komisia (C‑247/11 P a C‑253/11 P, EU:C:2014:257, bod 123).

( 18 ) Ako som už uviedol, toto prejudiciálne konanie sa netýka problémov súvisiacich so vzťahom medzi materskými a dcérskymi spoločnosťami na účely sankcií. V návrhu na začatie prejudiciálneho konania tiež neboli nastolené otázky týkajúce sa dôkazného bremena, pokiaľ ide o pripisované skutočnosti.

( 19 ) Odôvodnenie 10 GDPR.

( 20 ) Tamže.

( 21 ) Bod 25 písomných pripomienok nemeckej vlády. V súvislosti s týmto názorom vnútroštátny súd tvrdí – pričom toto tvrdenie bolo citované vyššie –, že aj v spojení s § 9 a 30 OWiG je ochrana právnych záujmov poskytovaná vnútroštátnym právom veľmi obmedzená v porovnaní s režimom zodpovednosti, ktorý vyplýva z článkov 101 a 102 ZFEÚ.

( 22 ) Bod 25 písomných pripomienok nemeckej vlády, poznámky pod čiarou 16 až 18.

( 23 ) Slovné spojenie strict liability zodpovedá v obvyklom anglickom preklade rozsudkov Súdneho dvora slovným spojeniam responsabilidad objetiva (španielska verzia), responsabilité objective (francúzska verzia), responsabilità oggettiva (talianska verzia), responsabilidade objetiva (portugalská verzia), objektiven Verantwortlichkeit (nemecká verzia) a objectieve aansprakelijkheid (holandská verzia).

( 24 ) Pozri napríklad rozsudok z 2. februára 2021, Consob (C‑481/19, EU:C:2021:84, bod 36).

( 25 ) Rozsudok ESĽP, 20. januára 2009, Sud Fondi a i. v. Taliansko (CE:ECHR:2009:0120JUD007590901, bod 116).

( 26 ) CE:ECHR:1988:1007JUD001051983.

( 27 ) Rozsudok ESĽP, 7. októbra 1988, Salabiaku v. Francúzsko, body 27 a 28.

( 28 ) Rozsudok z 22. marca 2017, Euro‑Team a Spirál‑Gép (C‑497/15 a C‑498/15, EU:C:2017:229, body 5354), v ktorom je citovaný rozsudok z 9. februára 2012, Urbán (C‑210/10, EU:C:2012:64, body 4748).

( 29 ) Rozsudok z 22. marca 2017, Euro‑Team a Spirál‑Gép (C‑497/15 a C‑498/15, EU:C:2017:229).

( 30 ) Rozsudok z 9. februára 2012, Urbán (C‑210/10, EU:C:2012:64).

( 31 ) Pozri však body 82 a 83 nižšie.

( 32 ) Napríklad v písmene a) sa odkazuje na účel dotknutého spracúvania, v písmene c) na kroky podniknuté s cieľom zmierniť škodu, v písmene d) na mieru zodpovednosti v závislosti od prijatých opatrení a v písmene f) na mieru spolupráce s dozorným orgánom.

( 33 ) V odôvodnení 150 GDPR je spomenuté konzistentné uplatňovanie správnych pokút členskými štátmi. Členským štátom sa naopak umožňuje rozhodnúť, „či orgány verejnej moci budú podliehať správnym pokutám a do akej miery“. Tým nie sú dotknuté osobitné ustanovenia pre Dánsko a Estónsko, na ktoré odkazuje odôvodnenie 151, a prípady uvedené v odôvodnení 152.

( 34 ) Odôvodnenie 10 GDPR sa odvoláva na „konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov“ (kurzívou zvýraznil generálny advokát). V odôvodnení 11 sa uvádza, že porušenia sa majú trestať zodpovedajúcimi sankciami, pričom toto slovné spojenie sa opakuje v odôvodnení 13.

Top