Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-768/21 TR przeciwko Land Hessen

26 września 2024 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie C-768/21 TR przeciwko Land Hessen, w którym orzekł, że na organie nadzorczym nie spoczywa obowiązek wykonania uprawnień naprawczych, w tym zastosowania kary pieniężnej, w każdym przypadku naruszenia ochrony danych. Organ może odstąpić od wykonania uprawnień naprawczych, jeżeli administrator z własnej inicjatywy podjął już niezbędne środki.

W Niemczech pewna kasa oszczędnościowa stwierdziła, że jedna z jej pracownic uzyskała wielokrotny, nieuprawniony dostęp do danych osobowych jednego z klientów kasy. O fakcie tym kasa oszczędnościowa nie poinformowała klienta, ponieważ jej inspektor ochrony danych uznał, że nie istniało wysokie ryzyko naruszenia praw klienta. Odpowiedzialna pracownica potwierdziła bowiem na piśmie, że nie skopiowała ani nie przechowywała danych, że nie przekazała ich osobom trzecim oraz że nie zrobi tego w przyszłości. Ponadto kasa oszczędnościowa wyciągnęła wobec niej konsekwencje dyscyplinarne. Kasa oszczędnościowa powiadomiła jednak o rzeczonym naruszeniu inspektora ochrony danych kraju związkowego Hesji.

Po tym, jak klient przypadkowo dowiedział się o tym fakcie, złożył skargę do tegoż inspektora ochrony danych. Po wysłuchaniu kasy oszczędnościowej inspektor ochrony danych poinformował klienta, że nie uważa za konieczne wykonywania jakichkolwiek uprawnień naprawczych względem kasy oszczędnościowej. Klient wniósł następnie powództwo do sądu niemieckiego, żądając nakazania inspektorowi ochrony danych wykonania uprawnień naprawczych względem kasy oszczędnościowej, w szczególności zastosowania kary pieniężnej. Sąd niemiecki zwrócił się do Trybunału Sprawiedliwości o dokonanie wykładni ogólnego rozporządzenia o ochronie danych (RODO) w tym zakresie.

Trybunał odpowiedział, że w przypadku stwierdzenia naruszenia ochrony danych osobowych na organie nadzorczym (w niniejszym przypadku inspektorze ochrony danych kraju związkowego) nie spoczywa obowiązek wykonania uprawnienia naprawczego (organ nadzorczy może w szczególności udzielić upomnienia administratorowi, nakazać mu spełnienie żądania osoby, której dane dotyczą lub dostosować operacje przetwarzania do przepisów RODO lub wreszcie zastosować, oprócz lub zamiast tych środków, administracyjną karę pieniężną), w szczególności zastosowania administracyjnej kary pieniężnej, jeżeli takie działanie nie jest odpowiednie, niezbędne lub proporcjonalne do usunięcia stwierdzonego uchybienia i zapewnienia pełnego przestrzegania RODO. Może to mieć miejsce w szczególności w przypadku, gdy administrator danych, po powzięciu wiadomości o naruszeniu, podjął niezbędne działania w celu zapewnienia, że naruszenie ustanie i się nie powtórzy.

RODO pozostawia organowi nadzorczemu zakres uznania co do sposobu, w jaki powinien on usunąć stwierdzone uchybienie. Ten zakres uznania jest jednak ograniczony koniecznością zapewnienia spójnego i wysokiego stopnia ochrony danych osobowych poprzez rygorystyczne stosowanie przepisów RODO. Do sądu niemieckiego należy zbadanie, czy inspektor ochrony danych przestrzegał tych granic.

Tekst wyroku w języku polskim dostępny jest na stronie TSUE.