EUB-döntés: mi a közigazgatási bírság kiszabásának feltétele, illetve kiszámításának módja, ha a címzett vállalatcsoport tagja?

Megosztás Tetszik

Az Európai Unió Bírósága tisztázta azokat a feltételeket, amelyek mellett a nemzeti felügyeleti hatóságok közigazgatási bírságot szabhatnak ki egy vagy több adatkezelőre az általános adatvédelmi rendelet (GDPR) megsértése miatt. Többek között kimondja, hogy a közigazgatási bírság kiszabásának feltétele a vétkes magatartás, vagyis az, hogy a jogsértést szándékosan vagy gondatlanságból követték el. Amennyiben továbbá a bírság címzettje egy vállalatcsoport tagja, a bírság kiszámításának a teljes csoport forgalmán kell alapulnia, olvasható az Európai Unió Bírósága honlapján.

A litván és a német bíróság arra kérte az Európai Unió Bíróságát, hogy értelmezést adjon az általános adatvédelmi rendeletet (GDPR) a nemzeti felügyeleti hatóságok azon lehetőségét illetően, hogy a rendelet megsértése esetén az adatkezelővel szemben közigazgatási bírságot szabjanak ki.

A litván ügyben az egészségügyi minisztérium felügyelete alatt álló nemzeti közegészségügyi központ a Covid–19-vírus kockázatát hordozó személyek adatainak rögzítésére és nyomon követésére szolgáló mobiltelefonos alkalmazás magáncég segítségével történő létrehozásával kapcsolatban kiszabott 12 000 euró összegű bírságot vitatta.

A német ügyben a Deutsche Wohnen ingatlanvállalkozás, amely közvetve mintegy 163 000 lakóegységgel és 3000 kereskedelmi egységgel rendelkezik, többek között vitatta a bérlők személyes adatainak a szükségesnél hosszabb ideig történő megőrzése miatt vele szemben kiszabott, több mint 14 millió euró összegű bírságot.

Az Európai Unió Bírósága úgy ítéli meg, hogy az adatkezelővel szemben csak akkor szabható ki közigazgatási bírság az általános adatvédelmi rendelet megsértése miatt, ha a jogsértést vétkesen, azaz szándékosan vagy gondatlanságból követték el. Ez a helyzet áll fenn akkor, ha az adatkezelőnek tudnia kellett magatartásának jogsértő jellegéről, függetlenül attól, hogy valóban tudomása volt-e a jogsértésről.

Amennyiben az adatkezelő jogi személy, nem szükséges, hogy a jogsértést az irányító testülete kövesse el, vagy arról tudomása legyen. A jogi személy ezzel szemben felelős a képviselői, igazgatói vagy vezetői által elkövetett jogsértésekért, valamint a kereskedelmi tevékenysége keretében, a nevében eljáró bármely más személy által elkövetett jogsértésekért is. Ezenkívül a közigazgatási bírságnak a jogi személlyel mint adatkezelővel szemben történő kiszabása nem függhet annak előzetes megállapításától, hogy a jogsértést egy azonosított természetes személy követte el.

Ezenfelül az adatkezelővel szemben az adatfeldolgozó által végzett műveletek miatt is kiszabható bírság, amennyiben ezek a műveletek az adatkezelőnek tudhatók be.

A két vagy több jogalany közös felelősségét illetően a Bíróság megállapítja, hogy ez kizárólag abból ered, hogy e jogalanyok részt vettek az adatkezelés céljainak és eszközeinek meghatározásában. A „közös adatkezelőnek” való minősítés nem feltételezi a szóban forgó jogalanyok közötti alakszerű megállapodás fennállását. A közös vagy egybehangzó döntés is elegendő. Mivel azonban ténylegesen közös adatkezelőkről van szó, megállapodás útján meg kell határozniuk a kötelezettségeiket.

Végül azzal kapcsolatban, hogyan kell kiszámítani a bírságot abban az esetben, ha a címzett vállalkozásnak minősül vagy vállalkozás részét képezi, a felügyeleti hatóságnak a „vállalkozás” versenyjogi fogalmára kell támaszkodnia. Így tehát a bírság maximális összegét az összességében vett, érintett vállalkozás előző pénzügyi évben elért teljes éves világpiaci forgalmának százalékos aránya alapján kell kiszámítani.