Prezes organu ochrony danych osobowych nie musi nakładać sankcji, nawet jeśli uznał, że administrator złamał prawo.

Najnowszy wyrok Trybunału Sprawiedliwości Unii Europejskiej – z 26 września 2024 r. w sprawie C 768/21 – powinien uciąć toczącą się w doktrynie dyskusję, czy w przypadku stwierdzenia naruszenia organ ochrony danych osobowych ma obowiązek zastosować któreś z uprawnień naprawczych wskazanych w art. 58 ust. 2 RODO. Przepis ten zakreśla szerokie spektrum możliwych sankcji – od ostrzeżenia czy upomnienia, przez nakazanie podjęcia określonych środków, aż po kary finansowe. Nałożenia takiej właśnie kary domaga się przed niemieckim sądem klient oddziału kasy oszczędnościowej z Hesji, który dowiedział się, że pracownica tej instytucji wielokrotnie miała nieuprawniony dostęp do jego danych. Kasa zgłosiła to organowi ochrony danych kraju związkowego, ale nie powiadomiła samego zainteresowanego. Organ uznał, że nie miała takiego obowiązku, gdyż nieuprawniony dostęp do danych klienta nie spowodował wysokiego ryzyka naruszenia jego praw i wolności. Skarżący jest przeciwnego zdania. W sprawie toczącej się przed niemieckim sądem dodatkowo domaga się ukarania kasy oszczędnościowej za stwierdzone naruszenia. Uważa bowiem, że jest to obowiązek, a nie jedynie uprawnienie organu nadzorczego.

ikona lupy />
Tysiące skarg, dziesiątki kar finansowych / Dziennik Gazeta Prawna - wydanie cyfrowe

Rozpoznający tę sprawę sąd postanowił skierować do TSUE pytanie prejudycjalne. Wskazał w nim, że w doktrynie można się spotkać z rozbieżnymi poglądami na temat tego, czy w przypadku stwierdzenia naruszenia organ jest zobowiązany do zastosowania któregoś z uprawnień wskazanych w art. 58 ust. 2 RODO, a w szczególności czy musi nakładać karę finansową.

TSUE przyznał, że podstawowym celem RODO jest ochrona obywateli, dlatego organy ochrony danych muszą podejmować środki zmierzające do usuwania stwierdzonych naruszeń. „Do celów rozpatrywania wniesionych skarg art. 58 ust. 1 RODO przyznaje każdemu organowi nadzorczemu daleko idące uprawnienia w zakresie prowadzonych w tym kontekście postępowań. Jeżeli organ taki po zakończeniu postępowania stwierdzi naruszenie przepisów tego rozporządzenia, ma on obowiązek zareagować w odpowiedni sposób, aby usunąć stwierdzone uchybienie, przy czym każdy środek, jak wskazano w motywie 129 tego rozporządzenia, musi być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia z uwzględnieniem okoliczności danej sprawy” – napisano w uzasadnieniu wyroku.

Konieczność usunięcia stwierdzonego naruszenia nie zawsze jednak, zdaniem TSUE, oznacza obowiązek sięgnięcia po środki dyscyplinujące wskazane w art. 58 ust. 1 RODO. Trzeba bowiem uwzględnić okoliczności konkretnej sprawy. W szczególnych sytuacjach może się okazać, że sankcje nie są konieczne (a wręcz uzasadnione), by osiągnąć wymagany cel, jakim jest zapobieżenie dalszym naruszeniom.

„W tym względzie nie jest wykluczone, że w drodze wyjątku i biorąc pod uwagę szczególne okoliczności konkretnego przypadku, organ nadzorczy może odstąpić od wykonania uprawnień naprawczych pomimo stwierdzenia naruszenia ochrony danych osobowych. Może tak być w szczególności w przypadku, gdy stwierdzone naruszenie nie było długotrwałe, np. gdy administrator, który co do zasady zastosował odpowiednie środki techniczne i organizacyjne w rozumieniu art. 24 RODO, od chwili powzięcia wiadomości o tym naruszeniu podjął odpowiednie i niezbędne środki, aby to naruszenie ustało i się nie powtórzyło (…)” – zaznaczył TSUE w uzasadnieniu orzeczenia.

W tej konkretnej sprawie, jak wynikało z akt, kasa oszczędnościowa sama zgłosiła organowi naruszenie i podjęła działania, które mają zapobiec podobnym sytuacjom w przyszłości. Wobec pracownicy, która naruszyła zasady dostępu do danych osobowych klienta, podjęto środki dyscyplinarne. Administrator zapowiedział również przegląd procedur, w tym sprawdzenie, czy okres przechowywania rejestru dostępu do danych przez pracowników nie powinien zostać wydłużony. ©℗