26 września 2024 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał istotne orzeczenie w sprawie związanej z naruszeniem RODO. Trybunał wskazał, że krajowe urzędy ochrony danych nie zawsze są automatycznie zobligowane do nakładania kar, w tym kar pieniężnych, za naruszenie przepisów o ochronie danych osobowych. Decyzja ta dotyczy szczególnie sytuacji, gdy instytucje, w których doszło do naruszeń, samodzielnie podjęły odpowiednie działania naprawcze.
Stan faktyczny
Sprawa, która miała finał przed TSUE, dotyczyła niemieckiej kasy oszczędnościowej, której pracownica wielokrotnie, a przy tym bez uprawnień przeglądała dane osobowe jednego z klientów. Kasa oszczędnościowa zareagowała na to naruszenie, wyciągając konsekwencje dyscyplinarne wobec pracownicy oraz zobowiązując ją do podpisania oświadczenia, że nie skopiowała ani nie udostępniła tych danych.
Klienta nie poinformowano o incydencie, ponieważ instytucja uznała, że nie doszło do naruszenia jego praw, aby wymagało to interwencji, jednak dowiedział się on o naruszeniu w inny sposób i złożył skargę do inspektora ochrony danych kraju związkowego. Inspektor nie nałożył kary na kasę oszczędnościową, uznając, że zastosowane środki naprawcze były wystarczające. Klient zdecydował się wnieść sprawę do sądu, żądając nałożenia kary pieniężnej na instytucję, co doprowadziło do skierowania pytania prejudycjalnego do TSUE.
Decyzja Trybunału
TSUE orzekł, że krajowe organy ochrony danych nie mają obowiązku każdorazowego nakładania kar za naruszenia przepisów RODO, w tym kar pieniężnych. Kluczowe znaczenie ma tutaj zasada proporcjonalności i skuteczności działań naprawczych. Jeżeli administrator danych sam podjął odpowiednie środki w celu usunięcia naruszeń, a ukaranie nie jest konieczne dla zapewnienia pełnego przestrzegania RODO, organy nadzorcze mogą powstrzymać się od nakładania dodatkowych sankcji.
Trybunał podkreślił, że przepisy RODO pozostawiają organom nadzorczym pewien margines uznaniowości co do wyboru środków mających na celu zapewnienie wysokiego poziomu ochrony danych osobowych. Kary finansowe mają być jednym z narzędzi, ale nie zawsze muszą być stosowane, jeśli inne działania są wystarczające.
Skutki orzeczenia
Orzeczenie TSUE może mieć istotne znaczenie dla praktyki ochrony danych w Unii Europejskiej. Decyzja ta potwierdza, że organy nadzorcze mogą stosować elastyczne podejście w zależności od charakteru naruszenia oraz działań naprawczych podjętych przez administratorów danych. Nie każda sytuacja musi kończyć się nałożeniem kary finansowej, co jest korzystne zwłaszcza dla mniejszych podmiotów, które mogą nie dysponować zasobami na pokrycie wysokich grzywien.
Teraz to sąd niemiecki będzie musiał zdecydować, czy inspektor ochrony danych kraju związkowego Hesja prawidłowo zastosował przepisy RODO i czy środki podjęte przez kasę oszczędnościową były wystarczające.
Podsumowanie
Orzeczenie TSUE podkreśla znaczenie proporcjonalności i elastyczności w egzekwowaniu przepisów RODO. Organy ochrony danych osobowych nie muszą nakładać kar w każdej sytuacji, a odpowiedzialność instytucji za podejmowanie działań naprawczych ma kluczowe znaczenie. Jest to sygnał, że przepisy RODO mogą być stosowane z uwzględnieniem specyfiki każdego naruszenia, co może wpłynąć na sposób, w jaki firmy zarządzają przypadkami naruszeń ochrony danych w przyszłości.
Jeśli mają Państwo jakiekolwiek pytania lub wątpliwości, zachęcamy do kontaktu z naszą Kancelarią. Mogą Państwo liczyć na kompleksową obsługę i pełne zaangażowanie na każdym etapie prowadzenia sprawy.