Draqon
Aktif Üye
Avrupa Adalet Divanı (ECJ), Genel Veri Koruma Yönetmeliği'ne (GDPR) göre para cezalarının hesaplanmasına ilişkin temel bir kararla verilmiştir. Bir AB eyaletinde grubun sadece kısmi bir operasyonu olsa bile, cezanın maksimum miktarının tüm grubun dünya çapında satışlarının yüzdesine göre ölçülebileceğini doğrulamaktadır. Bu nedenle ECJ, cezalandırıcı yargılar için Alman yaşam davasından bilinen içtihatlara devam etmektedir.
Reklamcılık
C-383/23 yasal konudaki mevcut şablon kararı Danimarka'dan bir davaya geri döner. Veri koruma suçları nedeniyle şirketler orada tahsil edilebilir. Veri Koruma Otoritesi, bir mobilya perakendecisini en az 350.000 eski müşterinin verilerinin depolanmasının bir parçası olarak Mayıs 2018'den Ocak 2019'a kadar veri koruma yasasını ihlal etmekle suçladı. Otorite, yaklaşık 201.000 Euro eşdeğeri olan 1,5 milyon kron para cezası için geçerlidir.
Bu miktarı hesaplarken, Veri Koruma Otoritesi sadece sanık şirketin cirosuna odaklanmakla kalmadı, aynı zamanda tüm grubun mobilya perakendecisinin dünya çapında cirosuna aittir. Ceza mahkemesi ise sadece ihmal gördü ve sadece sanık şirket grubunun cirosunu kullanarak cezayı hesapladı. Bu, nispeten mütevazı 100.000 kronun (13.400 Euro) cezalandırılmasına yol açtı.
Temyiz başvuru başvurusuna yol açar
Kamu Savcısı tarafından çağrılan Temyiz Mahkemesi, hangi satışların cezanın temeli olması gerektiği sorusunu sundu. Belirleyici faktör, 83 (4) ila 6 GDPR Maddesinde “Şirket” teriminin yorumlanmasıdır. CJEU şimdi 2023 yılında Alman Yaşam Davası'nda yargı hattını teyit etmektedir: 83 GDPR'deki “Şirket” terimi bu nedenle, Avrupa Birliği'nin çalışma yöntemi üzerindeki sözleşmenin 101 ve 102 antitröst maddelerinin “şirketi” terimine karşılık gelmektedir.
Bu, GDPR ihlallerinin para cezasının “şirketin önceki mali yılının tüm yıllık cirosunun bir yüzdesi temelinde” para cezasının “ekonomik bir birim” olması şartıyla belirlenebileceği anlamına gelir. Çünkü “bu şirket kavramı (…), yasal biçimine ve finansman türüne bakılmaksızın bir ekonomik faaliyet kullanan her birimi içerir.
Aynı zamanda, ECJ bu hesaplamanın sadece maksimum ceza miktarına yol açtığını vurgular. Yetkili makam, her bir durumda “etkili, orantılı ve caydırıcılığı cezalandırmalıdır”. İhlalin türü, şiddeti ve süresi, etkilenenlerin sayısı, hasarın kapsamı ve ihlalin niyetinin veya ihmalinin, sorumluluk derecesi ve ilgili kişisel veri kategorileri gibi kriterler dikkate alındı. Tüm bunlar, veri koruma cümlesinin bir idari otorite (Almanya'da olduğu gibi) veya bir ceza mahkemesi (Danimarka'da olduğu gibi) tarafından uygulanıp uygulanmamasına bakılmaksızın geçerlidir.
(DS)
Reklamcılık
C-383/23 yasal konudaki mevcut şablon kararı Danimarka'dan bir davaya geri döner. Veri koruma suçları nedeniyle şirketler orada tahsil edilebilir. Veri Koruma Otoritesi, bir mobilya perakendecisini en az 350.000 eski müşterinin verilerinin depolanmasının bir parçası olarak Mayıs 2018'den Ocak 2019'a kadar veri koruma yasasını ihlal etmekle suçladı. Otorite, yaklaşık 201.000 Euro eşdeğeri olan 1,5 milyon kron para cezası için geçerlidir.
Bu miktarı hesaplarken, Veri Koruma Otoritesi sadece sanık şirketin cirosuna odaklanmakla kalmadı, aynı zamanda tüm grubun mobilya perakendecisinin dünya çapında cirosuna aittir. Ceza mahkemesi ise sadece ihmal gördü ve sadece sanık şirket grubunun cirosunu kullanarak cezayı hesapladı. Bu, nispeten mütevazı 100.000 kronun (13.400 Euro) cezalandırılmasına yol açtı.
Temyiz başvuru başvurusuna yol açar
Kamu Savcısı tarafından çağrılan Temyiz Mahkemesi, hangi satışların cezanın temeli olması gerektiği sorusunu sundu. Belirleyici faktör, 83 (4) ila 6 GDPR Maddesinde “Şirket” teriminin yorumlanmasıdır. CJEU şimdi 2023 yılında Alman Yaşam Davası'nda yargı hattını teyit etmektedir: 83 GDPR'deki “Şirket” terimi bu nedenle, Avrupa Birliği'nin çalışma yöntemi üzerindeki sözleşmenin 101 ve 102 antitröst maddelerinin “şirketi” terimine karşılık gelmektedir.
Bu, GDPR ihlallerinin para cezasının “şirketin önceki mali yılının tüm yıllık cirosunun bir yüzdesi temelinde” para cezasının “ekonomik bir birim” olması şartıyla belirlenebileceği anlamına gelir. Çünkü “bu şirket kavramı (…), yasal biçimine ve finansman türüne bakılmaksızın bir ekonomik faaliyet kullanan her birimi içerir.
Aynı zamanda, ECJ bu hesaplamanın sadece maksimum ceza miktarına yol açtığını vurgular. Yetkili makam, her bir durumda “etkili, orantılı ve caydırıcılığı cezalandırmalıdır”. İhlalin türü, şiddeti ve süresi, etkilenenlerin sayısı, hasarın kapsamı ve ihlalin niyetinin veya ihmalinin, sorumluluk derecesi ve ilgili kişisel veri kategorileri gibi kriterler dikkate alındı. Tüm bunlar, veri koruma cümlesinin bir idari otorite (Almanya'da olduğu gibi) veya bir ceza mahkemesi (Danimarka'da olduğu gibi) tarafından uygulanıp uygulanmamasına bakılmaksızın geçerlidir.
(DS)