Czy stwierdzając naruszenie RODO organ nadzoru ma obowiązek ukarania administratora? Czy istnieje prawny obowiązek skorzystania z uprawnień naprawczych, przy czym urząd ma swobodę tylko w zakresie wyboru jednego ze środków? Czy jednak uznaniowość postępowania obejmuje także prawo odstąpienia od nałożenia jakiejkolwiek sankcji?
wyrok Trybunału Sprawiedliwości UE w/s Land Hessen z 26 września 2024 r. (C-768/21)
W przypadku stwierdzenia naruszenia ochrony danych osobowych na organie nadzorczym nie spoczywa, zgodnie z art. 58 ust. 2 RODO, obowiązek wykonania uprawnienia naprawczego, w szczególności zastosowania administracyjnej kary pieniężnej, jeżeli takie działanie nie jest odpowiednie, niezbędne lub proporcjonalne do usunięcia stwierdzonego uchybienia i zapewnienia pełnego przestrzegania tego rozporządzenia.
Orzeczenie dotyczyło sporu o obowiązek skorzystania przez organ nadzoru, po stwierdzeniu naruszenia RODO, z przysługujących mu uprawnień naprawczych.
opis stanu faktycznego:
- sprawa zaczęła się od zgłoszenia, przez jedną z heskich Sparkasse, naruszenia ochrony danych osobowych, a to poprzez uzyskanie nieuprawnionego dostępu do danych klienta przez jednego z pracowników instytucji finansowej;
- o uchybieniu został poinformowany tylko organ, ale nie sam klient; jakiś czas później dowiedział się on o sytuacji i wniósł skargę do organu nadzorczego — zarówno na wyciek danych, jak i brak zawiadomienia o naruszeniu;
- urząd uznał, że kasa oszczędnościowa słusznie oceniła, iż niskie ryzyko naruszenia praw i wolności klienta usprawiedliwiało brak zawiadomienia o nieuprawnionym dostępie do danych (pracownica nie skopiowała danych i nikomu ich nie przekazała) i nie podjął wobec administratora żadnych środków;
- w skardze wniesionej do sądu administracyjnego w Wiesbaden zainteresowany podkreślił, że organ ma obowiązek skorzystania z przysługujących mu uprawnień naprawczych — jego swoboda decyzyjna ograniczona jest do wyboru jednego z przysługujących mu środków, ale nie może całkowicie odstąpić od ich zastosowania;
- sąd uznał, iż nie jest dostatecznie jasne, czy w przypadku stwierdzenia naruszenia RODO organ ma obowiązek — czy tylko może, ale nie musi — skorzystać ze swoich kompetencji określonych w art. 58 ust. 2 RODO, zatem zwrócił się w trybie prejudycjalnym do TSUE;
art. 58 ust. 2 RODO
Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:
a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;
b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;
c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
g) nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
h) cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;
j) nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
orzeczenie TSUE:
- odnosząc się do zagadnienia TSUE przypomniał, że każdy ma prawo wniesienia skargi na naruszenie zasad przetwarzania danych osobowych, a organ nadzorczy ma obowiązek jej rozpatrzenia i poinformowania skarżącego o wyniku postępowania;
- stwierdzając, iż doszło do naruszenia RODO powinien „zareagować w odpowiedni sposób”, zaś każdy zastosowany środek powinien być „odpowiedni, niezbędny i proporcjonalny” (motyw 129 RODO);
- rozporządzenie pozostawia jednak organowi nadzorczemu swobodę co do wyboru zastosowanego środka, z uwzględnieniem wszelkich okoliczności sprawy;
- uprawnienia organu nadzorczego ma charakter uznaniowy, nie istnieje więc obowiązek skorzystania z uprawnień naprawczych, w szczególności nałożenia administracyjnej kary pieniężnej — zaś skarżącemu nie przysługuje prawo podmiotowe do domagania się nałożenia na administratora sankcji;
- jeśli zatem po przeprowadzeniu postępowania organ dojdzie do przekonania, że nie istnieje potrzeba wykorzystania uprawnienia naprawczego (np. jeśli naruszenie nie miało charakteru długotrwałego, a administrator dobrowolnie podjął środki, by się nie powtórzyło), organ może „wyjątkowo” uznać, iż jakąkolwiek penalizacja działań i zaniechań administratora nie jest niezbędna.
W konsekwencji orzeczenia sprawa wraca do sądu w Wiesbaden, który będzie miał obowiązek zbadania, czy skarga została zbadana w sposób prawidłowy, a decyzja o rezygnacji z zastosowania wobec instytucji jakiejkolwiek sankcji wynikała z rzetelnej oceny sytuacji.