|

Culpa operatorilor de date în aplicarea amenzilor GDPR|Liability of controllers in the enforcement of GDPR fines

Cauzele C-683/21 & C-807/21

În data de 5 decembrie 2023, Curtea de Justiție a Uniunii Europene (CJUE) a pronunțat două decizii esențiale în materie de confidențialitate și de protecție a datelor cu caracter personal, clarificând condițiile în care autoritățile naționale de supraveghere pot aplica amenzi administrative operatorilor de date pentru încălcarea dispozițiilor Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).

Context

În cauza C-683/21 Nacionalinis visuomenės sveikatos centras, Centrul Național de Sănătate Publică (CNSP) din cadrul Ministerului Sănătății al Republicii Lituania a contestat o amendă aplicată de Inspectoratul Național pentru Protecția Datelor din Lituania (INPD), în cadrul unei investigații privind prelucrarea datelor cu caracter personal. În contextul pandemiei cauzate de virusul Covid-19, în vederea unei monitorizări epidemiologice, CNSP a fost însărcinat cu dezvoltarea, cu ajutorul unei întreprinderi private (societatea ITSS), a unei aplicații mobile informatice de înregistrare și monitorizare a datelor persoanelor expuse acestui virus.

În cauza C-807/21 Deutsche Wohnen, o societate imobiliară europeană Deutsche Wohnen (DW) a contestat o amendă care i-a fost aplicată, ca urmare a constatării de către Autoritatea de Supraveghere din Berlin că aceasta, împreună cu societățile din grupul său păstrau date cu caracter personal ale chiriașilor mai mult decât era necesar.

Clarificările aduse de Curtea de Justiție a Uniunii Europene în cauzele C-683/21 & C-807/21

  • Cu privire la posibilitatea autorităților naționale de supraveghere de a aplica amenzi administrative operatorilor de date pentru nerespectarea Regulamentului general privind protecția datelor, CJUE a statuat că atât persoanele fizice, cât și cele juridice pot fi trase la răspundere pentru încălcări în materie de GDPR iar impunerea unor astfel de amenzi trebuie să fie rezultatul constatării unui comportament culpabil din partea acestora.

Ce se înțelege prin “comportament culpabil” al operatorului de date? – Noțiunea de culpă trebuie înțeleasă în sens larg, ca implicând atât intenția, cât și neglijența. Pentru ca autoritatea competentă să poată aplica o amendă operatorului de date, trebuie să se demonstreze că acesta nu a respectat dispozițiile Regulamentului fie în mod intenționat, fie din neglijență. Aceasta este situația atunci când operatorul nu putea să nu cunoască natura ilicită a comportamentului său, indiferent dacă era sau nu conștient de încălcarea Regulamentului general privind protecția datelor.

Observăm cum CJUE îndrumă autoritățile de supraveghere să se concenteze mai degrabă pe dovedirea unei conduite necorespunzătoare (intenționate/neglijente) din partea operatorului decât pe identificarea persoanelor fizice responsabile pentru încălcare, clarificând, astfel, că pentru aplicarea unei amenzi, nu este necesară stabilirea unei legături între încălcare și o anumită persoană.

  • Referitor la operatorul de date persoană juridică, CJUE a explicat că este irelevant pentru impunerea de amenzi, dacă incălcarea a fost comisă de reprezentanții/administratorii/directorii săi ori de orice altă persoană care acționează în cadrul activității sale comerciale și pe seama sa. De asemenea, imputarea unei amenzi operatorului de date nu poate fi supusă constatării prealabile că această încălcare a fost comisă de o persoană fizică identificată.
  • Prin raportare la art. 4 pct. 7 din Regulament, în cauza C-683/21, CJUE a stabilit dacă entitățile care externalizează dezvoltarea de aplicații mobile pot fi considerate operatori de date fără a fi implicate în mod direct în prelucrarea datelor, statuând că poate intra în noțiunea de operator de date inclusiv “o entitate care a însărcinat o întreprindere să dezvolte o aplicație informatică mobilă și care, în acest context, a participat la stabilirea scopurilor și a mijloacelor prelucrării datelor cu caracter personal realizate prin intermediul acestei aplicații, chiar dacă această entitate nu a efectuat ea însăși operațiuni de prelucrare a unor astfel de date, nu și‑a dat în mod explicit acordul pentru realizarea unor operațiuni concrete ale unei astfel de prelucrări sau pentru punerea la dispoziția publicului a respectivei aplicații mobile și nu a achiziționat aceeași aplicație mobilă, cu excepția cazului în care, înainte de această punere la dispoziția publicului, entitatea menționată s‑a opus în mod expres acesteia și prelucrării datelor cu caracter personal care au rezultat din aceasta.”

Aflăm, așadar, că o entitate va putea fi catalogată drept operator dacă a influențat în mod semnificativ scopurile și mijloacele de prelucrare, chiar dacă nu s-a implicat în mod direct în activitățile de prelucrare.

Mai mult, CJUE a explicat că, pentru ca două entități să poată fi calificate drept “operatori asociați”, nu este necesar un acord formal între acestea, fiind suficient să existe o decizie comună sau decizii convergente, responsabilitatea comună decurgând din faptul că entitățile au participat la stabilirea scopurilor și a mijloacelor prelucrării.

  • În cazul în care operatorul de date care a primit amendă din partea autorităților naționale de supraveghere face parte dintr-un grup de societăți (cauza C-807/21), amenda va trebui calculată în funcție de cifra de afaceri a grupului de societăți.

Aplicabilitatea și importanța practică a clarificărilor aduse de CJUE în ceea ce privește condiția demonstrării unui comportament culpabil din partea operatorului

Având în vedere rapiditatea dezvoltării tehnologiei și drept consecință, dificultatea de a asigura un nivel de protecție ridicat al datelor, ne putem imagina cu usurință situații în care o societate, în calitatea sa de operator de date, este victimă a unor atacuri cibernetice. În acest caz, răspunderea sa pentru compromiterea datelor cu caracter personal ale persoanelor vizate va putea fi limitată, însă nicidecum exclusă dacă societatea nu a pus în aplicare măsuri tehnice și organizatorice adecvate riscului.

În concluzie, putem observa cum cele două decizii aduc claritate în practică și tranșează probleme actuale în materie de GDPR, demonstrând necesitatea și importanța ca operatorii de date să depună toate eforturile în vederea implementării unor măsuri tehnice și organizatorice actualizate și conforme dispozițiilor legale și jurisprudenței CJUE, pentru a asigura o protecție ridicată a datelor și pentru a evita riscul impunerii unor amenzi de către autoritățile de supraveghere.

De asemenea, poți urmări articole de interes pentru afaceri pe paginile noastre de LinkdIn și  site-ul nostru.

ENGLISH

Cases C-683/21 & C-807/21

On 5th December 2023, the Court of Justice of the European Union (CJEU) pronounced two landmark decisions on privacy and personal data protection, clarifying the conditions under which national supervisory authorities may impose administrative fines on controllers for breaching the provisions of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of individuals with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (General Data Protection Regulation).

Background

In Case C-683/21 Nacionalinis visuomenės sveikatos centras, the National Public Health Centre (NPHC) of the Ministry of Health of the Republic of Lithuania challenged a fine imposed by the Lithuanian National Data Protection Inspectorate (INPD) in an investigation into the processing of personal data. In the context of the pandemic caused by the Covid-19 virus, in order to carry out epidemiological monitoring, the NPHC was asked to develop, with the help of a private company (the company ITSS), a mobile computer application for recording and monitoring the data of persons exposed to this virus.

In Case C-807/21 Deutsche Wohnen, the European real estate company Deutsche Wohnen (DW) challenged a fine imposed on it after the Berlin Supervisory Authority found that the company and its group had kept personal data on tenants for longer than necessary.

Clarifications provided by Court of Justice of the European Union in Cases C-683/21 & C-807/21

  • With regard to the possibility for national supervisory authorities to impose administrative fines on controllers for non-compliance with the General Data Protection Regulation, the CJEU has ruled that both natural and legal persons can be held liable for breaches of the GDPR and that the imposition of such fines must be the result of a finding of culpable conduct of the controllers.

What does “culpable conduct” of the controller mean? – Culpability should be understood broadly to include both intent and negligence. In order for the competent authority to impose a fine on the controller, it must be shown that the controller has failed to comply with the provisions of the Regulation either intentionally or negligently. This is the case where the controller could not have been unaware of the unlawful nature of its conduct, whether or not it was aware of the breach of the GDPR.

We can observe that the CJEU instructs supervisory authorities to focus on proving misconduct (intentional/negligent) of the controller, rather than on identifying the individuals responsible for the breach, thus clarifying that a link between the breach and a specific individual is not required for the imposition of a fine.

  • With regard to the legal entity controller, the CJEU explained that it is irrelevant for the imposition of fines whether the breach was committed by its representatives/directors/managers or by any other person acting in the course of its business and on its behalf. Nor can the imposition of a fine on the controller be made conditional on a prior finding that the breach was committed by an identified natural person.
  • With reference to Art. 4 pt. 7 of the Regulation, in Case C-683/21, the CJEU determined whether entities which outsource the development of mobile applications can be considered controllers without being directly involved in the processing of the data, ruling that the notion of controller may include “an entity which has entrusted an undertaking with the development of a mobile IT application and which has, in that context, participated in the determination of the purposes and means of the processing of personal data carried out through that application may be regarded as a controller, within the meaning of that provision, even if that entity has not itself performed any processing operations in respect of such data, has not expressly agreed to the performance of specific operations for such processing or to that mobile application being made available to the public, and has not acquired the abovementioned mobile application, unless, prior to that application being made available to the public, that entity expressly objected to such making available and to the resulting processing of personal data”.

Therefore, we find that an entity will qualify as a controller if it has significantly influenced the purposes and means of processing, even if it has not been directly involved in the processing activities.

Furthermore, the CJEU has explained that for two entities to qualify as “joint controllers”, a formal agreement between them is not required and it is sufficient that there is a joint decision or convergent decisions, with joint responsibility arising from the fact that the entities participated in determining the purposes and means of the processing.

  • If the controller who has received a fine from the national supervisory authorities is part of a group of companies (case C-807/21), the fine will have to be calculated on the basis of the turnover of the group of companies.

Applicability and practical significance of the CJEU’s clarifications regarding the condition to prove the controller’s culpable conduct

Given the rapid development of technology and the consequent difficulty in ensuring a high level of data protection, it is easy to imagine situations where a company, as a controller, is the victim of cyber attacks. In this case, its liability for compromising the personal data of data subjects may be limited, but by no means excluded, if the company has not implemented technical and organisational measures appropriate to the risk.

In conclusion, we can see how the two decisions bring clarity in practice and resolve current GDPR issues, demonstrating the need and importance for controllers to make every effort to implement up-to-date technical and organisational measures in line with the legislation and the jurisprudence of the CJEU, in order to ensure a high level of data protection and avoid the risk of fines from supervisory authorities.

Also, you can follow articles of interest for businesses on our LinkedIn page and our website.

Teodora Abănăriței – OTD Lawyers

Distribuie articolul

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *