ESTT: Administracinė bauda gali būti skirta tik už esant kaltei padarytą BDAR pažeidimą

Lietuvos ir Vokietijos teismai paprašė Teisingumo Teismo išaiškinti Bendrąjį duomenų apsaugos reglamentą (BDAR), kiek tai susiję su nacionalinių priežiūros institucijų teise skirti duomenų valdytojui administracinę baudą už šio reglamento pažeidimą. Lietuvos teismo nagrinėjamoje byloje Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos ginčijo 12 000 EUR baudą, jam skirtą po to, kai padedant privačiai įmonei buvo sukurta mobilioji programėlė, skirta su COVID-19 viruso nešiotojais sąlytį turėjusių asmenų duomenims registruoti ir stebėti. Vokietijos teismo nagrinėjamoje byloje nekilnojamojo turto bendrovė Deutsche Wohnen, kuriai netiesiogiai priklauso apie 163 000 gyvenamosios paskirties objektų ir 3 000 komercinės paskirties objektų, ginčijo, be kita ko, didesnę nei 14 mln. EUR baudą, jai skirtą už nuomininkų asmens duomenų saugojimą ilgiau, nei būtina.

ES Teisingumo Teismo didžioji kolegija nusprendė, kad duomenų valdytojui už BDAR pažeidimą administracinė bauda gali būti skirta tik jeigu pažeidimas padarytas esant kaltei, t. y. tyčia arba dėl aplaidumo. Taip yra tuo atveju, kai duomenų valdytojas negalėjo nežinoti apie savo veiksmų neteisėtumą, nesvarbu, ar jis suvokė pažeidimo padarymo faktą.

Jeigu duomenų valdytojas yra juridinis asmuo, nereikalaujama, kad pažeidimą būtų padaręs ar apie jį žinotų jo valdymo organas. Atvirkščiai, juridinis asmuo atsako ne tik už savo atstovų, direktorių ar vadovų, bet ir už bet kurio kito asmens, veikiančio įgyvendinant šio juridinio asmens komercinę veiklą ir jo vardu, padarytus pažeidimus. Be to, administracinės baudos skyrimas juridiniam asmeniui kaip duomenų valdytojui negali būti siejamas su reikalavimu prieš tai konstatuoti, kad šį pažeidimą padarė konkretus fizinis asmuo.

Bauda duomenų valdytojui taip pat gali būti skirta už duomenų tvarkytojo atliktus duomenų tvarkymo veiksmus, jeigu šie veiksmai gali būti priskirti duomenų valdytojui.

Dėl dviejų ar daugiau subjektų bendro duomenų valdymo Teisingumo Teismas pažymėjo, kad jį lemia jau vien tai, kad šie subjektai dalyvavo nustatant duomenų tvarkymo tikslus ir priemones. Norint pripažinti atitinkamus subjektus „bendrais duomenų valdytojais“ nereikalaujama, kad jie būtų sudarę oficialų susitarimą. Pakanka vieno bendro sprendimo ar kelių sutampančių sprendimų. Vis dėlto bendri duomenų valdytojai turi tarpusavio susitarimu nustatyti savo atitinkamą atsakomybę.

Galiausiai, apskaičiuodama baudos dydį, kai jos adresatas yra įmonė arba jos dalis, priežiūros institucija turi remtis konkurencijos teisėje vartojama „įmonės“ sąvoka. Taigi maksimalus baudos dydis turi būti apskaičiuojamas remiantis atitinkamos įmonės, vertinamos kaip visuma, ankstesnių finansinių metų bendros pasaulinės metinės apyvartos procentine dalimi.

ES Teisingumo Teismo informacija