Yleisen tietosuoja-asetuksen pelkkä tuottamuksellinen rikkominen voi johtaa hallinnollisen seuraamusmaksun määräämiseen
5.12.2023 | OikeusuutisetUnionin tuomioistuimen tuomiot asiassa
- C-683/21 | Nacionalinis visuomenės sveikatos centras ja asiassa
- C-807/21 | Deutsche Wohnen
Kun seuraamusmaksun adressaatti kuuluu konserniin, seuraamusmaksu on laskettava konsernin liikevaihdon perusteella
Unionin tuomioistuin täsmentää edellytykset, joilla kansalliset valvontaviranomaiset voivat määrätä hallinnollisen seuraamusmaksun yhdelle tai useammalle rekisterinpitäjälle yleisen tietosuoja-asetuksen rikkomisesta. Se toteaa erityisesti, että tällaisen seuraamusmaksun määrääminen edellyttää tuottamuksellista menettelyä eli sitä, että rikkominen on tehty tahallaan tai huolimattomuudesta. Lisäksi kun seuraamusmaksun adressaatti kuuluu konserniin, seuraamusmaksun laskennassa on nojauduttava koko konsernin liikevaihtoon.
Liettualainen ja saksalainen tuomioistuin ovat pyytäneet unionin tuomioistuinta tulkitsemaan yleistä tietosuoja-asetusta sen mahdollisuuden osalta, joka kansallisilla valvontaviranomaisilla on määrätä rekisterinpitäjälle kyseisen asetuksen rikkomisesta hallinnollinen seuraamusmaksu.
Liettuaa koskevassa tapauksessa terveysministeriön alainen kansanterveyslaitos riitauttaa 12 000 euron suuruisen seuraamusmaksun, joka sille on määrätty luotaessa yksityisen yrityksen avustuksella mobiilisovellus covid-19-virukselle altistuneiden henkilöiden tietojen tallentamiseksi ja seuraamiseksi.
Saksaa koskevassa tapauksessa Deutsche Wohnen -kiinteistöyhtiö, joka omistaa välillisesti noin 163 000 asuinhuoneistoa ja 3 000 liikehuoneistoa, riitauttaa muun muassa yli 14 miljoonan euron suuruisen seuraamusmaksun, joka sille on määrätty siitä, että se on säilyttänyt vuokralaisten henkilötietoja pidempään kuin on tarpeen.
Unionin tuomioistuin toteaa, että rekisterinpitäjälle voidaan määrätä hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen rikkomisesta vain, jos kyseiseen rikkomiseen on syyllistytty tuottamuksellisesti eli tahallaan tai huolimattomuudesta. Tästä on kyse, jos rekisterinpitäjä ei voinut olla tietämättä, että sen menettely on luonteeltaan sääntöjenvastaista, riippumatta siitä, oliko se tietoinen rikkomisesta.
Kun rekisterinpitäjä on oikeushenkilö, ei ole tarpeen, että rikkomiseen on syyllistynyt sen johtoelin tai että rikkominen on tullut kyseisen johtoelimen tietoon. Oikeushenkilö on sitä vastoin vastuussa sekä edustajiensa, johtajiensa tai hallintoelintensä jäsenten rikkomisista että kaikkien muiden sellaisten henkilöiden rikkomisista, jotka toimivat kyseisen oikeushenkilön liiketoiminnan yhteydessä ja sen lukuun. Hallinnollisen seuraamusmaksun määrääminen oikeushenkilölle rekisterinpitäjänä ei myöskään edellytä sitä, että ensin todetaan, että tähän rikkomiseen on syyllistynyt yksilöity luonnollinen henkilö.
Rekisterinpitäjälle voidaan määrätä seuraamusmaksu lisäksi myös henkilötietojen käsittelijän suorittamista toimista siltä osin kuin nämä toimet voidaan lukea rekisterinpitäjän syyksi.
Unionin tuomioistuin täsmentää siitä, että kaksi tai useampi yksikkö pitävät yhteisrekisteriä, että yhteisrekisterin pitäminen perustuu pelkästään siihen, että nämä yksiköt ovat osallistuneet käsittelyn tarkoitusten ja keinojen määrittämiseen. Luonnehtiminen ”yhteisrekisterinpitäjiksi” ei edellytä kyseessä olevien yksiköiden välistä muodollista järjestelyä. Yhteinen päätös tai jopa yhdenmukaiset päätökset riittävät. Jos kyse on todella yhteisrekisterinpitäjistä, näiden on kuitenkin vahvistettava järjestelyllä vastuualueensa.
Unionin tuomioistuin toteaa lopuksi seuraamusmaksun laskemisesta silloin, kun adressaatti on yritys tai kuuluu yritykseen, että valvontaviranomaisen on nojauduttava kilpailuoikeudessa sovellettuun yrityksen käsitteeseen. Seuraamusmaksun enimmäismäärä on siis laskettava prosenttiosuutena kyseisen yrityksen, kun sitä tarkastellaan kokonaisuutena, edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta.