Europski je sud u slučaju C-807/21 na zahtjev litvanskog i njemačkog suda za tumačenjem GDPR-a donio svoja konačna stajališta, pokušali smo zaključke prikazati praktičnim jezikom:
- Europski Sud smatra da voditelju obrade može biti izrečena administrativna novčana kazna zbog povrede GDPR-a samo ako je ta povreda počinjena protupravno, odnosno namjerno ili nepažnjom.
- U takve slučajeve spada i situacija u kojoj voditelj obrade nije mogao biti nesvjestan svog nezakonitog ili neusklađenog postupanja, neovisno o tome je li znao za konkretno kršenje GDPR-a.
- Ako je voditelj obrade pravna osoba, da bi bio kažnjen nije neophodno da je povredu počinila njegova uprava niti je neophodno da je upravljačko tijelo znalo za kršenje GDPR-a.
- Naprotiv, pravna osoba odgovorna je i za kršenja koja su počinili njezini predstavnici, direktori ili management i za povrede koje je počinila bilo koja druga osoba koja djeluje u okviru poslovanja te pravne osobe i za njezin račun.
- Osim toga, izricanje upravne novčane kazne pravnoj osobi kao voditelju obrade ne može biti podložno prethodnom utvrđivanju da je tu povredu počinila određena fizička osoba.
- Voditelju obrade može se izreći novčana kazna i za aktivnosti koje izvrši izvršitelj obrade, u mjeri u kojoj se voditelj obrade može smatrati odgovornim za takve aktivnosti.
Sažeci zahtjeva nadzornih tijela za prethodnu odluku Europskog suda su ovdje:
Press release Europskog suda je ovdje:
