Organ nadzorczy nie ma obowiązku nakładania kary pieniężnej
TSUE potwierdza: organ nadzorczy nie ma obowiązku nakładania kary pieniężnej
Trybunał Sprawiedliwości UE orzekł w wyroku w sprawie C-768/21 wydanym 26 września 2024 r., że organ nadzorczy nie ma obowiązku nakładania administracyjnej kary pieniężnej, jeśli stan naruszenia przepisów RODO został już usunięty z uwagi na podjęte przez firmę działania.
Trybunał podkreślił, że w drodze wyjątku (warto odnotować, że jednak w drodze wyjątku a nie zasady) i biorąc pod uwagę szczególne okoliczności konkretnego przypadku, organ nadzorczy może odstąpić od wykonania uprawnień naprawczych pomimo stwierdzenia naruszenia ochrony danych osobowych. Może tak być w szczególności w przypadku, gdy stwierdzone naruszenie nie było długotrwałe, na przykład gdy administrator, który co do zasady zastosował odpowiednie środki techniczne i organizacyjne, od chwili powzięcia wiadomości o tym naruszeniu podjął odpowiednie i niezbędne środki, aby to naruszenie ustało i się nie powtórzyło.
Warto zauważyć, że podobne podejście jest prezentowane w motywie 148 wspomnianego rozporządzenia, które stanowi między innymi, że organy nadzorcze mogą, jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, odstąpić od stosowania administracyjnej kary pieniężnej i zamiast tego udzielić upomnienia (zob. podobnie wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, pkt 76).
Jak to się stało, że sprawa trafiła do Trybunału? W Niemczech administrator danych osobowych – kasa oszczędnościowa stwierdziła, że jedna z jej pracownic uzyskała wielokrotny, nieuprawniony dostęp do danych osobowych jednego z klientów kasy. O fakcie tym kasa oszczędnościowa nie poinformowała swego klienta, ponieważ jej inspektor ochrony danych uznał, że nie istniało wysokie ryzyko naruszenia praw klienta. Odpowiedzialna pracownica potwierdziła bowiem na piśmie, że nie skopiowała ani nie przechowywała danych, że nie przekazała ich osobom trzecim oraz że nie zrobi tego w przyszłości. Ponadto kasa oszczędnościowa wyciągnęła wobec niej konsekwencje dyscyplinarne. Kasa oszczędnościowa powiadomiła jednak o rzeczonym naruszeniu organ nadzorczy kraju związkowego Hesji.
Po tym, jak klient przypadkowo dowiedział się o tym fakcie, złożył skargę do organu nadzorczego, domagając się nałożenia kary. Po wysłuchaniu kasy oszczędnościowej organ poinformował klienta, że nie uważa za konieczne wykonywania jakichkolwiek uprawnień naprawczych względem kasy oszczędnościowej. Klient wniósł następnie powództwo do sądu niemieckiego, żądając nakazania organowi nadzorczemu wykonania uprawnień naprawczych względem kasy oszczędnościowej, w szczególności zastosowania kary pieniężnej.
Wyrok może dawać nadzieję, że niekiedy adekwatne działania następcze mogą okazać się wystarczające do uniknięcia kary finansowej. Kluczowy w tej tezie pozostaje tryb przypuszczający (Link do wyroku).
Maciej Bednarek