EU-domstolen tok i storkammer den 5. desember 2023 stilling til to spørsmål i sak C-807/21 Deutsche Wohnen SE. Det ene spørsmålet er om Europaparlamentets og Rådets forordning (EU) 2016/679 (personvernforordningen) artikkel 58 og artikkel 83 er til hinder for nasjonale regler som innebærer at overtredelsesgebyr bare kan ilegges en juridisk person i dennes egenskap som «behandlingsansvarlig» der overtredelsen er begått av en identifisert fysisk person. Det andre spørsmålet er om forordningen skal forstås slik at en forutsetning for ileggelse av gebyr, er at det er utvist skyld.
Sakens bakgrunn
Foranledningen til spørsmålene var at det tyske datatilsynet hadde ilagt selskapet Deutsche Wohnen SE, konsernspissen i et eiendomskonsortium, overtredelsesgebyr for datterselskapers brudd på personvernforordningen. Gebyrvedtaket prøves nå ved Kammergericht Berlin, som er foreleggende domstol.
Begrepet «behandlingsansvarlig»
EU-domstolen redegjør for begrepet «behandlingsansvarlig», og påpeker at definisjonen i forordningen artikkel 4 nr. 7 favner vidt, samt at sondringen mellom fysiske og juridiske personer er uten betydning i dette henseende. Det avgjørende er om en fysisk person, en juridisk person, en offentlig myndighet eller en annen enhet, alene eller sammen med andre avgjør hvordan behandling av personopplysninger skal skje og til hvilket formål. Dette innebærer at disse er ansvarlige for overtredelser som nevnt i artikkel 83 fjerde til sjette ledd foretatt av dem selv eller på deres vegne. For så vidt gjelder juridiske personer, medfører dette at de er ansvarlige for overtredelser foretatt innenfor den juridiske personens forretningsområde og på dennes vegne, uavhengig av hvilken posisjon vedkommende har. I forlengelsen av dette, påpeker EU-domstolen, ligger at kvalifikasjonen som «behandlingsansvarlig» medfører gebyransvar.
I personvernforordningen artikkel 83 nr. 4 til artikkel 83 nr. 6 om prinsipper for beregningen av gebyr, brukes uttrykket «foretak». I fortalens punkt 150 er det angitt at begrepet «foretak» slik det er brukt i forordningen skal forstås i samsvar med begrepet slik det er forstått i TEUV artikkel 101 og artikkel 102 (EØS-avtalen artikkel 53 og artikkel 54). Det innebærer at begrepet «behandlingsansvarlig» meget vel kan ha et snevrere nedslagsfelt enn begrepet «foretak», og at eventuelle overtredelsesgebyrer kan bli høyere enn omsetningen i «den behandlingsansvarlige» skulle tilsi, men aldri lavere.
Skyld som forutsetning for ileggelse av gebyr
Personvernforordningen artikkel 83 nr. 1 krever at en ileggelse av gebyr for overtredelser som nevnt i artikkel 83 nr. 4 til 6 skal være virkningsfull, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Bestemmelsen er imidlertid taus om eventuelle skyldkrav. Rådet og flere av de statene som avga innlegg i saken, herunder Norge, gjorde gjeldende at EU-lovgiver med dette har gitt statene en viss valgfrihet, slik at de kan åpne for at det ilegges overtredelsesgebyr uten at det er godtgjort at det er utvist skyld. Dette avfeies av EU-domstolen. Når artikkel 83 nr. 2 bokstav b angir at hvorvidt overtredelsen er begått forsettlig eller uaktsomt er et moment det skal tas hensyn til ved vurderingen av om det skal ilegges gebyr og hvor stort dette skal være, må dette etter EU-domstolens oppfatning forstås slik at skyld er et vilkår for gebyr. For så vidt gjelder spørsmålet om når skyldkravet er tilfredsstilt, påpeker EU-domstolen at det allerede følger av praksis at det kan ilegges overtredelsesgebyr for atferd den behandlingsansvarlige «ikke kunne være uvitende om» at utgjorde en overtredelse, uavhengig av om vedkommende er klar over at personvernforordningen brytes (avsnitt 76).
EU-domstolens konklusjon
Personvernforordningen artikkel 58(2)(i) og artikkel 83 nr. 1 til 6 må forstås slik at de er til hinder for nasjonale bestemmelser som gjør adgangen til å ilegge overtredelsesgebyr betinget av at den fysiske personen som begikk overtredelsen er identifisert.
Personvernforordningen artikkel 83 skal forstås slik at det bare kan ilegges overtredelsesgebyr der det etableres at den behandlingsansvarlige har utvist skyld.
Personvernforordningen er gjennomført i norsk rett ved lov 15. juni 2018 nr. 38 om behandling av personopplysninger. Avgjørelsen bidrar til å kaste lys over begrepet «behandlingsansvarlig» og hva som skal til for at et regelbrudd skal kunne henføres til den behandlingsansvarlige, men det kanskje viktigste er at forordningen må forstås slik at gebyr forutsetter skyld. Det nærmere innholdet i skyldkravet vil vi nok se flere avgjørelser ta stilling til. Det kan imidlertid være grunn til å merke seg at EU-domstolen understreker at det ikke kreves at regelbruddet skyldes handlinger begått av den behandlingsansvarliges ledende organer, eller at disse kjente til de aktuelle handlingene.
(C-807/21)
FA