Już samo zlecenie stworzenia aplikacji oraz określenie celów i sposobów przetwarzania danych osobowych może przesądzać o statusie administratora. Ewentualna kara za naruszenia musi jednak wiązać się z winą, choćby nawet nieumyślną – orzekł Trybunał Sprawiedliwości Unii Europejskiej w dwóch wyrokach mających znaczenie dla interpretowania przepisów RODO.

Pierwszy z wyroków dotyczył kary nałożonej na litewskie krajowe centrum zdrowia publicznego (NVSC), które wstępnie zleciło napisanie aplikacji mobilnej, za pomocą której przez dwa miesiące 2020 r. zbierano dane osobowe osób, które miały kontakt z pacjentami zakażonymi SARS-CoV-2. Aplikacja powstała i została udostępniona, ostatecznie jednak – z powodu braku środków – nie zawarto na nią umowy. Z powodu nieprawidłowości w przetwarzaniu danych litewski organ nałożył karę finansową zarówno na NVSC, jak i na firmę, która stworzyła aplikację.

Sąd, do którego odwołało się od kary NVSC, nabrał wątpliwości, czy rzeczywiście można było uznać je za administratora danych. Zdaniem TSUE nie ma tu znaczenia, że ostatecznie nie doszło do zawarcia umowy. Już sam fakt, że publiczny urząd zlecił stworzenie aplikacji oraz wskazał cele i sposoby przetwarzania danych osobowych wystarczy do tego, by uznać go za administratora (chyba że publicznym udostępnieniem aplikacji wyraźnie sprzeciwiłby się przetwarzaniu danych).

Osobną kwestią jest nakładanie kar w związku z naruszeniem przepisów RODO. Zdaniem TSUE sankcje te wchodzą w grę jedynie wówczas, gdy administratorowi można przypisać winę. Wina ta może być umyślna, jak i nieumyślna, niemniej możliwość jej udowodnienia jest warunkiem niezbędnym do nakładania kar administracyjnych.

„Artykuł 83 RODO nie zezwala na nałożenie administracyjnej grzywny za naruszenie, o którym mowa w ust. 4–6 tego przepisu, chyba że zostanie wykazane, iż naruszenie to zostało popełnione umyślnie lub w wyniku niedbalstwa przez administratora danych, a zatem bezprawne naruszenie stanowi przesłankę nałożenia takiej grzywny” – podkreślił TSUE.

Może to przekładać się na odpowiedzialność administratora za naruszenia dokonane przez podmiot przetwarzający dane (w tej sprawie byłaby nim spółka, która stworzyła aplikację). Jeśli podmiot przetwarzający działa poza granicami upoważnienia udzielonego przez administratora, to ten ostatni nie ponosi za to odpowiedzialności.

Drugi z wyroków zapadł z wniosku prejudycjalnego sądu niemieckiego. Tamtejsza spółka działająca na rynku nieruchomości została ukarana za to, że nie uwzględniła zastrzeżeń organu co do systemu archiwizacji danych (nie było możliwości usuwania danych). Sąd rozstrzygający odwołanie od tej kary nabrał wątpliwości, czy przedsiębiorstwo ponosi odpowiedzialność tylko za naruszenie popełnione przez zidentyfikowanego pracownika czy też wystarczy obiektywne naruszenie obowiązków, które można przypisać samemu przedsiębiorstwu.

Zdaniem TSUE, jeżeli administratorem jest osoba prawna, nie jest konieczne, aby naruszenie zostało popełnione przez jej organ zarządzający lub aby organ ten posiadał o nim wiedzę. Przeciwnie, osoba prawna jest odpowiedzialna zarówno za naruszenia popełnione przez jej przedstawicieli, dyrektorów lub zarządców, jak i za te popełnione przez każdą inną osobę działającą w ramach jej działalności gospodarczej i na jej rachunek. Ponadto nałożenia administracyjnej kary pieniężnej na osobę prawną jako administratora danych nie można uzależnić od uprzedniego stwierdzenia, że naruszenie to zostało popełnione przez zidentyfikowaną osobę fizyczną.©℗

orzecznictwo