Răspunderea grupului societar pentru încălcările regulilor GDPR săvârșite de filialele sale

 

---

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

🔑Vreau cont PREMIUM!

---

---

 

Decizia CJUE pronunțată în Cauza C-383/23 – Anklagemyndigheden împotriva ILVA A/S, în data de 13 februarie 2025, clarifică sensul noțiunii de „întreprindere”, din perspectiva aplicării sancțiunilor prevăzute de Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE 9 („RGPD”), având în vedere în acest sens interpretarea noțiunii în materia dreptului concurenței.

Litigiul principal a vizat amenda aplicată societății daneze ILVA A/S, parte a unui grup societar, ca urmare a neîndeplinirii obligațiilor sale în calitate de operator de date, instituite prin RGPD. Ministerul Public a solicitat aplicarea unei amenzi în cuantum de 1,5 milioane coroane daneze (DKK), reprezentând aproximativ 201.000 EUR, calculată atât pe baza cifrei de afaceri a societății ILVA A/S, cât și a cifrei de afaceri globale a grupului. Instanța națională a decis aplicarea unei amenzi în cuantum de 100.000 DKK (aproximativ 13.400 EUR), considerând că sancțiunea trebuia raportată doar la cifra de afaceri a societății ILVA A/S, iar nu la cifra de afaceri a întregului grup, având în vedere că numai societatea-filială a făcut obiectul urmăririi penale, că aceasta desfășoară o activitate independentă și că nu a fost înființată de societatea-mamă exclusiv pentru prelucrarea datelor grupului. Judecarea apelului litigiului în cauză a fost suspendată de instanța de apel, care a sesizat CJUE o trimitere preliminară, prin care a solicitat clarificarea înțelesului noțiunii de „întreprindere”, prevăzute în articolul 83 alineatele (4)-(6) din RGPD.

Lămuririle solicitate urmăreau a stabili dacă accepțiunea noțiunii respective, în materie de drept al concurenței, va fi aplicabilă și în materia protecției datelor cu caracter personal, iar, în cazul unui răspuns afirmativ, dacă aplicarea unei amenzi unui operator de date cu caracter personal va presupune luarea în calcul a cifrei de afaceri globale a întregului grup din care acesta face parte.

Prin hotărârea analizată, CJUE a pornit de la premisa că noțiunea de „întreprindere” este specifică dreptului unional al concurenței, fiind stabilit în jurisprudența sa anterioară că normele în materie de concurență (prevăzute de articolele 101 și 102 din Tratatul privind Funcționarea Uniunii Europene) nu influențează posibilitatea și condițiile de aplicare a unei amenzi unei persoane juridice în temeiul RGPD (care stabilește propriile reguli privind aplicarea sancțiunilor în art. 58 alin. (2) și art. 83 alin. (1)-(6). În schimb, noțiunea de „întreprindere”, astfel cum este definită în dreptul concurenței, va influența pragul maxim la care se va raporta instanța sau autoritatea competentă în vederea calculării amenzii aplicate efectiv ca urmare a încălcării RGPD. Astfel, conform RGPD, cuantumul maxim al unei amenzi ce va fi impusă unei societăți având calitatea de operator de date și care face parte dintr-un grup societar se va raporta la cifra de afaceri a întregului grup.

Prin această soluție, CJUE a aplicat prin analogie interpretarea noțiunii de „întreprindere” din dreptul comunitar al concurenței. Prin urmare, strict în ceea ce privește plafonul maxim al unei amenzi aplicate

în baza RGPD, prin termenul de „întreprindere” va fi avută în vedere „orice entitate care exercită o activitate economică, independent de statutul juridic al acestei entități și de modul său de finanțare”, indiferent dacă „este constituită din mai multe persoane fizice sau juridice”.

Adițional acestei interpretări, Curtea a realizat distincția dintre pragul maxim al unei amenzi și amenda ce va fi în mod efectiv aplicată, calculul acesteia urmând să țină cont de un ansamblu complex de aspecte, precum natura faptei prin care s-a săvârșit încălcarea RGPD, forma de vinovăție și gravitatea acesteia, numărul persoanelor vizate, prejudiciul cauzat, precum și măsurile întreprinse de operatorul de date în privința reducerii prejudiciului. Totodată, s-a stabilit necesitatea ca amenda impusă operatorului de date să fie „eficace, proporțională și disuasivă”, conform condițiilor prevăzute de articolul 83 alineatul (1) al RGPD. Îndeplinirea acestor condiții în ceea ce privește amenda aplicată ca urmare a încălcării RGPD presupune a se ține seamă atât de ansamblul aspectelor faptei sancționate, precum și de capacitatea economică reală a operatorului de date vizat. Această capacitate va fi apreciată, unde este cazul, inclusiv prin prisma faptului că destinatarul face parte dintr-un grup societar.

Concluziile Avocatului General din această cauză au ridicat de asemenea problema distincției între plafon maxim al amenzii și amenda care va fi în mod efectiv aplicată. În acest sens, în ceea ce privește interpretarea noțiunii de „întreprindere” din dreptul concurenței, se menționează scopul preponderent economic al normelor în materie, în care valoarea economică a întreprinderii prezintă importanță pentru însăși stabilirea gravității faptei sancționate. În schimb, în materie de protecția datelor, obiectivul principal al RGPD este protejarea datelor personale, iar valoarea economică a întreprinderii deservește unui scop diferit. De aceea, Curtea a limitat anterior prin jurisprudența sa interferența normelor de dreptul concurenței în materia protecției datelor strict în ceea ce privește pragul maxim al amenzii ce poate fi dispusă în baza RGPD.

Concluzionând, CJUE a stabilit prin hotărârea sa că, în cazul unei încălcări a RGPD săvârșite de o filială aparținând unui grup de societăți, pentru calcularea plafonului maxim al amenzii aferente, se vor aplica prin analogie normele din materia dreptului concurenței, în sensul că acest plafon se va raporta la cifra de afaceri a întregului grup, iar nu la cifra de afaceri a filialei. Totuși, acest plafon nu se identifică cu amenda ce va fi efectiv aplicată, aceasta din urmă trebuind să respecte cerința proporționalității prin raportare la fapta sancționată și să aibă în vedere un întreg ansamblu de aspecte cu privire la faptă.