W ostatnim czasie została opublikowana opinia rzecznika TSUE (Priit Pikamäe) dotycząca zakresu czynności, które organ nadzorczy powinien podjąć w przypadku rozpatrywania skargi dotyczącej przetwarzania danych osobowych. Opinia została przedstawiona w związku z postępowaniem, które toczy się przed TSUE (sprawa C‑768/21 TR przeciwko Land Hessen). Dotyczy ono oceny, czy organ nadzorczy jest zobowiązany do skorzystania z konkretnych uprawnień naprawczych na żądanie osoby skarżącej, w przypadku gdy w ramach rozpatrywanej skargi stwierdzi naruszenie ochrony danych. Na pierwszy rzut oka, sprawa wydaje się dość prosta. W praktyce jednak zagadnienie to może rodzić pewne wątpliwości.
Kontekst postępowania przed TSUE
Postępowanie w tej sprawie zostało zainicjowane przez osobę, której dane dotyczą. Złożyła ona skargę na kasę oszczędnościową do niemieckiego organu nadzorczego Landu Hessen (Der Hessische Beauftragte für Datenschutz und Informationsfreiheit). Skarżący zarzucił administratorowi, że jedna z jego z pracownic wielokrotnie uzyskała dostęp do danych osobowych skarżącego, nie będąc do tego upoważnioną. Wskazana osoba zażądała w skardze, aby organ nadzorczy zastosował najdotkliwszą sankcję wobec administratora, tj. nałożył na niego karę pieniężną.
W toku postępowania, niemiecki regulator ustalił, że administrator dokonał oceny tego zdarzenia, uznając, że nie wywołało ono wysokiego ryzyka naruszenia praw lub wolności podmiotu danych. W konsekwencji odstąpił on od zawiadomienia osoby, której dane dotyczą o przedmiotowym zdarzeniu (art. 34 RODO). Organ nadzorczy zgodził się ze stanowiskiem administratora, wskazując, że podjął on środki dyscyplinarne wobec pracownicy, a sama zainteresowana oświadczyła na piśmie, że nie kopiowała danych skarżącego, nie przechowywała ich w żaden sposób, jak również nie udostępniła danych osobom trzecim.
Pracodawca ukarany za korzystanie z konta e-mail byłego pracownika
Skarżący nie podzielił argumentacji administratora i organu nadzorczego, kierując tę sprawę do sądu administracyjnego. Ten z kolei zwrócił się do TSUE o pomoc w zakresie oceny tego zdarzenia.
Stanowisko rzecznika TSUE
Rzecznik generalny TSUE wskazał w swojej opinii, że organ nadzorczy jest zobowiązany do podjęcia określonych działań, jeżeli w ramach rozpatrywania skargi wykryje on naruszenie ochrony danych. W szczególności – w ocenie rzecznika TSUE – powinien on zastosować odpowiednie środki naprawcze, mające na celu usunięcie naruszenia oraz zagwarantowanie przestrzegania praw podmiotów danych w przyszłości.
TSUE: kiedy przysługuje odszkodowanie na naruszenie ochrony danych
Rzecznik generalny zwrócił uwagę, że przepisy RODO przewidują pewne uprawnienia dyskrecjonalne organu nadzorczego, niemniej jednocześnie wymagają one, aby podejmowane przez regulatora działania były odpowiednie, niezbędne i proporcjonalne. Organ nadzorczy ma ograniczone pole manewru, jeżeli chodzi o środki naprawcze, z których może skorzystać. Decyzja w zakresie doboru środków w konkretnej sprawie pozostaje jednak wyłącznie po jego stronie. W ocenie rzecznika TSUE, osoba, która złożyła skargę nie ma prawa żądać, aby organ nadzorczy skorzystał z konkretnych swoich uprawnień. Dotyczy to również kwestii ewentualnego nałożenia kary pieniężnej. W tym zakresie organ nadzorczy nie jest związany żądaniem skarżącego.
Wskazówki w zakresie oceny naruszenia
Rzecznik generalny TSUE słusznie wskazał, że każde naruszenie ochrony danych powinno zostać ocenione przez organ nadzorczy indywidualnie, przy uwzględnieniu wszelkich okoliczności danej sprawy. Regulator ma przy tym swobodę w zakresie decyzji o zastosowaniu ewentualnych środków naprawczych, czy też nałożeniu kary pieniężnej. Skarżący nie może więc skutecznie domagać się od organu nadzorczego nałożenia konkretnych sankcji. Wskazana opinia, a być może również wyrok TSUE w tej sprawie, mogą być również wskazówką dla administratorów, aby kompleksowo ocenić każde, nawet najdrobniejsze, naruszenie ochrony danych. Organ nadzorczy może bowiem zażądać od administratora przedstawienia wyników takiej oceny, np. przy okazji rozpatrywania skargi osoby, której dane dotyczą. Wówczas zweryfikuje on, czy administrator zobowiązany był do powiadomienia organu nadzorczego o naruszeniu lub do zawiadomienia o nim osoby, której dane dotyczą. Skutki niedopełnienia tych czynności, w przypadku gdy były one obowiązkowe, mogą być bardzo dotkliwe dla administratora.
Źródło: