2025 m. vasario 13 d. Europos Sąjungos Teisingumo Teismas (ESTT) priėmė sprendimą byloje C-383/23, kuris gali turėti reikšmingą įtaką baudų skaičiavimui pagal Bendrąjį duomenų apsaugos reglamentą (BDAR).
BDAR 83 straipsnio 4–6 dalyse nurodyta, kad priklausomai nuo pažeidimo pobūdžio bauda už BDAR pažeidimus gali būti skiriama iki 10 000 000 EUR, arba iki 2 % įmonės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba padarius rimtesnį pažeidimą – iki 20 000 000 EUR, arba iki 4 % įmonės ankstesnių finansinių metų bendros metinės pasaulinės apyvartos.
Šiame sprendime buvo nagrinėjama, ar sąvoka „įmonė“, pagal BDAR 83 straipsnio 4–6 dalis, apima visą įmonių grupę ar tik tą vieną konkrečiai pažeidimą padariusią įmonę.
Danijos baldų parduotuvių tinklas ILVA A/S, priklausantis „Lars Larsen“ grupei, buvo apkaltintas BDAR pažeidimu. Bendrovė neproporcingai ilgai saugojo 350 000 buvusių klientų asmens duomenis be teisėto pagrindo, pažeisdama BDAR reikalavimus dėl duomenų minimizavimo ir saugojimo trukmės ribojimo.
Danijos duomenų apsaugos agentūra atliko tyrimą ir nustatė, kad pažeidimas yra rimtas, ir rekomendavo skirti 1,5 mln. Danijos kronų (apie 201 000 eurų) baudą. Ši suma buvo apskaičiuota atsižvelgiant ne tik į ILVA, bet ir į visos „Lars Larsen“ grupės apyvartą, argumentuojant, kad ekonominis vienetas yra lemiamas nustatant baudos dydį, siekiant užtikrinti atgrasomąjį poveikį.
Tačiau pirmosios instancijos teismas „Ret i Aarhus“ sumažino baudą iki 100 000 Danijos kronų (apie 13 400 eurų), motyvuodamas tuo, kad atsakomybė tenka tik ILVA kaip juridiniam asmeniui, o ne visai grupei.
Šis sprendimas buvo apskųstas, teigiant, kad sąvoka „įmonė“ BDAR 83 straipsnio 4–6 dalyse turėtų būti aiškinama pagal ES konkurencijos teisę, apimančią bet kokį ekonominį vienetą, nepaisant jo teisinės formos. Todėl, skaičiuojant baudą, reikėtų atsižvelgti į visos ekonominio vieneto, t. y. grupės, metinę apyvartą. Dėl šios priežasties byla buvo perduota ESTT siekiant gauti išaiškinimą.
Europos Sąjungos Teisingumo Teismas (ESTT) nusprendė, kad sąvoka „įmonė“ BDAR 83 straipsnio 4–6 dalyse turi būti aiškinama taip pat, kaip ir pagal SESV 101 ir 102 straipsnius, t. y. apima bet kokį ekonominę veiklą vykdantį subjektą, neatsižvelgiant į jo teisinį statusą ar finansavimo būdą. Tai reiškia, kad baudos už BDAR pažeidimus gali būti skaičiuojamos atsižvelgiant į visos įmonių grupės, o ne tik pažeidimą padariusios dukterinės įmonės metinę apyvartą, tačiau tai priklauso nuo to, ar įmonių grupė sudaro vieną ekonominį vienetą.
Taip pat iš ESTT sprendimo matyti, kad skiriant baudas pagal BDAR automatiškai negali būti vertinama visa įmonių grupė, nes teismas kalba apie ekonominį vienetą, kuriam būdingas sąsajumas, t. y. jei patronuojančioji įmonė daro įtaką dukterinės įmonės verslo sprendimams. Šį ekonominį vienetą sudaro žmogiškųjų išteklių, materialių ir nematerialių elementų bendras valdymas, kuriuo siekiama konkretaus ilgalaikio ekonominio tikslo.
Todėl laikytina, kad ne visais atvejais baudos automatiškai bus skiriamos visos grupės mastu, o bus vertinamos visos individualios tų įmonių grupių veiklos aplinkybės. Bet kokiu atveju ESTT pabrėžė, kad skiriant baudas atsižvelgiama, ar konkreti bauda turi atgrasantį poveikį tai įmonių grupei. Tai neleidžia įmonėms išvengti mažesnių baudų per sudėtingą vidinę struktūrą, tačiau kiekvienu atveju turi būti įvertintas realus patronuojančiosios įmonės poveikis dukterinės įmonės sprendimams.
Šis sprendimas turi reikšmingų pasekmių verslui, ypač toms įmonėms, kurios veikia kaip didesnių grupių dalis. Esant BDAR pažeidimams, baudos dydis gali būti nustatomas remiantis visos grupės finansiniais rodikliais, o tai gali lemti žymiai didesnes baudas. Todėl įmonės turėtų peržiūrėti savo duomenų apsaugos praktikas ir užtikrinti, kad jos atitiktų BDAR reikalavimus, siekdamos išvengti galimų didelių finansinių sankcijų.
Be to, šis sprendimas pabrėžia, kad įmonių grupės turi laikytis bendros duomenų apsaugos strategijos ir užtikrinti, kad visos dukterinės įmonės laikytųsi nustatytų standartų. Tai padės ne tik išvengti pažeidimų, bet ir sumažinti riziką, susijusią su galimomis baudomis, kurios gali būti skaičiuojamos atsižvelgiant į visos grupės apyvartą.
Apibendrinant, ESTT sprendimas byloje C-383/23 sustiprina BDAR nuostatų laikymosi svarbą ir pabrėžia, kad pažeidimų atveju baudos gali būti žymiai didesnės, jei bus atsižvelgiama į visos įmonių grupės finansinius rodiklius. Todėl verslo subjektai turėtų skirti ypatingą dėmesį duomenų apsaugos reikalavimų įgyvendinimui ir priežiūrai visose savo struktūrose.
Parengė GLIMSTEDT vyr. teisininkė Brigida Bacienė.
