Trybunał Sprawiedliwości Unii Europejskiej (TSUE) orzekł, że organ nadzorczy nie ma obowiązku zastosowania środków naprawczych wobec administratora (art. 58 ust. 2 RODO), w tym nałożenia kary pieniężnej, w każdym przypadku stwierdzenia naruszenia ochrony danych. Szczególnie, gdy takie działanie nie jest niezbędne i proporcjonalne do usunięcia stwierdzonego uchybienia i zapewnienia stosowania przepisów RODO (sprawa C‑768/21 TR przeciwko Land Hessen). Nie może domagać się tego również osoba, która złożyła skargę do regulatora.
Sprawa zainicjowana przez skarżącego
Postępowanie w tej sprawie zostało zainicjowane przez osobę, której dane dotyczą. Złożyła ona skargę na kasę oszczędnościową do niemieckiego organu nadzorczego Landu Hessen (Der Hessische Beauftragte für Datenschutz und Informationsfreiheit). Skarżący zarzucił administratorowi, że jedna z jego z pracownic wielokrotnie uzyskała dostęp do jego danych osobowych, nie będąc do tego upoważnioną.
TSUE: czy dowiemy się, kto w organizacji przeglądał nasze dane?
W toku postępowania, niemiecki regulator ustalił, że administrator zgłosił naruszenie ochrony danych (art. 33 RODO), które dotyczyło sytuacji opisanej przez skarżącego. Administrator jednak, po dokonaniu oceny naruszenia, uznał, że nie wywołało ono wysokiego ryzyka naruszenia praw lub wolności podmiotu danych. W konsekwencji odstąpił on od zawiadomienia osoby, której dane dotyczą (skarżącego) o przedmiotowym zdarzeniu (art. 34 RODO). Organ nadzorczy zgodził się ze stanowiskiem administratora, wskazując, że podjął on środki dyscyplinarne wobec pracownicy, a sama zainteresowana oświadczyła na piśmie, że nie kopiowała danych skarżącego, nie przechowywała ich w żaden sposób, jak również nie udostępniła danych osobom trzecim.
Skarżący nie podzielił argumentacji administratora i organu nadzorczego, kierując tę sprawę do sądu administracyjnego. W odwołaniu wskazał, że organ nadzorczy powinien skorzystać w tej sprawie z uprawnień naprawczych, w tym nałożyć karę na administratora. Sąd rozpatrujący sprawę zwrócił się do TSUE o interpretację przepisów RODO w tym zakresie.
Wywiad z Prezesem Urzędu Ochrony Danych Osobowych Mirosławem Wróblewskim. Cz.I
Stanowisko przedstawia Rzecznik TSUE
Na etapie postępowania przed TSUE, stanowisko w sprawie zajął Rzecznik generalny TSUE (Priit Pikamäe). Zwrócił on uwagę w swojej opinii, że przepisy RODO przewidują pewne uprawnienia dyskrecjonalne organu nadzorczego, niemniej jednocześnie wymagają, aby podejmowane przez regulatora działania były odpowiednie, niezbędne i proporcjonalne. Organ nadzorczy ma ograniczone pole manewru, jeżeli chodzi o środki naprawcze, z których może skorzystać. Decyzja w zakresie doboru środków w konkretnej sprawie pozostaje jednak wyłącznie po jego stronie. W ocenie rzecznika TSUE, osoba, która złożyła skargę nie ma prawa żądać, aby organ nadzorczy skorzystał z konkretnych swoich uprawnień. Dotyczy to również kwestii ewentualnego nałożenia kary pieniężnej. W tym zakresie organ nadzorczy nie jest związany żądaniem skarżącego.
Rzecznik TSUE: to organ nadzorczy decyduje czy interweniować w sprawie naruszenia
Organ może sam zdecydować
TSUE wskazał w wyroku, że RODO przyznaje organowi nadzorczemu określone uprawnienia naprawcze, z których może on skorzystać w ramach prowadzonych postępowań. Regulator – stwierdzając naruszenie przepisów RODO – ma obowiązek zareagować w odpowiedni sposób, niemniej działania te muszą być odpowiednie, niezbędne i proporcjonalne w konkretnej sprawie. TSUE podkreślił jednak, że przepisy RODO pozostawiają organowi nadzorczemu swobodę, co do skorzystania z konkretnych uprawnień nadzorczych. Z przepisów nie wynika również obowiązek regulatora do skorzystania z tych uprawnień w każdym przypadku stwierdzenia naruszenia. Nie jest więc wykluczone, że organ nadzorczy po kompleksowym zbadaniu danej sprawy zdecyduje o odstąpieniu od zastosowania środków naprawczych, o ile będzie to uzasadnione jej okolicznościami. TSUE podzielił w wyroku stanowisko przedstawione przez rzecznika TSUE, wskazując, że osobie, która złożyła skargę nie może domagać się od organu nadzorczego nałożenia administracyjnej kary pieniężnej na administratora. Decyzja co do skorzystania lub nieskorzystania z konkretnych środków naprawczych należy bowiem wyłącznie do regulatora.
W ocenie TSUE, sąd odsyłający powinien zbadać, czy organ nadzorczy rozpatrzył skargę skarżącego z należytą starannością, jak również, czy regulator nie przekroczył zakresu swojego uznania w tej sprawie.
TSUE: kiedy przysługuje odszkodowanie na naruszenie ochrony danych
Wskazówki w zakresie oceny naruszenia
Wyrok w tej sprawie może być wskazówką dla administratorów, aby kompleksowo ocenić każde, nawet najdrobniejsze, naruszenie ochrony danych. Organ nadzorczy może bowiem zażądać od administratora przedstawienia wyników takiej oceny, np. przy okazji rozpatrywania skargi osoby, której dane dotyczą. Wówczas zweryfikuje on, czy administrator zobowiązany był do powiadomienia organu nadzorczego o naruszeniu lub do zawiadomienia o nim osoby, której dane dotyczą. Skutki niedopełnienia tych czynności, w przypadku gdy były one obowiązkowe, mogą być bardzo dotkliwe dla administratora.
Źródło:
