בית המשפט הגבוה באיחוד האירופי פסק בשבוע שעבר כי קנס מינהלי יושת על בעל שליטה במידע (Controller) רק אם הפר את כללי ה-GDPR בכוונה או ברשלנות. הפרה של ה-GDPR שעליה לא ידע בעל השליטה במידע ולא היה עליו לדעת עליה – לא מאפשרת השתת קנס. 

פסק הדין ניתן בסכסוך בין מרכז הבריאות הלאומי של ליטא שביקש מחברה למערכות מיחשוב לפתח אפליקציה סלולרית לאיסוף מידע אישי. חקירה שערכה הרשות להגנת המידע בליטא, העלתה הפרה של הוראות ה-GDPR והרשות הטילה בשל כך קנס מינהלי. 

מרכז הבריאות הלאומי טען שדינו שהקנס להתבטל משום שהמרכז לא שימש כבעל שליטה במידע. לטענת המרכז, הוא לא עיבד בעצמו את המידע, לא התקשר בהסכם כתוב עם חברת המיחשוב ואף נסוג מכוונתו לרכוש אותה. חברת המיחשוב, מצידה, טענה כי יש לראות בה כמעבדת מידע בלבד (Processor). 

בית המשפט דחה את טענת מרכז הבריאות וקבע כי הבקשה של המרכז לפתח את האפליקציה והגדרת מטרותיה והדרכים להשגתן, משמען כי ניתן לראות במרכז כבעל שליטה במידע. בנוסף, בית המשפט גם הטיל על מרכז הבריאות, בפועלו כבעל שליטה במידע, אחריות לפעולות חברת המיחשוב בכובעה כ-Processor משום שפעולותיה נעשו לפי הנחיות המרכז. בעניין זה קבע בית המשפט כי ניתן לייחס אחריות לבעל השליטה במידע על הפרות מעבד המידע למעט כאשר מעבד המידע פעל למטרותיו, או בניגוד להנחיות ולמסגרת התנאים שקבע בעל השליטה במידע, או באופן שלא ניתן לייחס לבעל השליטה הסכמה לפעולות המעבד.

בפסק דין נוסף שפורסם באותו יום, דן בית המשפט בקנס שהושת על חברת השכרת נדל"ן בגרמניה בשל שמירת מידע אישי על שוכרים שלא לצורך. חברת ההשכרה טענה שעל פי החוק הגרמני לא ניתן להטיל קנס מינהלי על ישות משפטית מבלי שההפרה בוצעה על ידי ההנהלה שלה באופן פרטני. בית המשפט דחה את הטענה וקבע שישות משפטית אחראית לפעולות לנציגיה ולכל מי שפועל מטעמה. בנוסף קבע בית המשפט שאם החברה המפרה היא חלק מקבוצת חברות, הקנס יחושב על-פי המחזור הכולל של כל הקבוצה.