W orzeczeniu z 26.09.2024 r. TSUE wskazał, że organ nadzorczy, który stwierdza, naruszenie przepisów RODO nie ma obowiązku skorzystania z żadnego uprawnienia naprawczego przewidzianego w przepisach RODO, a co było mniej dyskusyjne i raczej jasne – nie ma obowiązku nałożenia administracyjnej kary pieniężnej.
TSUE rozpoznawała przypadek, w którym organ nadzorczy nie miał żadnych wątpliwości, że administrator naruszył przepisy RODO, ale także nie miał wątpliwości, że zastosowane przez tego administratora działania były wystarczające i nie należy sięgać po żadne uprawnienia naprawcze.
Samo naruszenie RODO polegało na tym, że jedna z pracownic administratora dokonała wielokrotnego, nieuprawnionego dostępu do danych osobowych T.R. – jednego z klientów tego administratora.
Administrator – w listopadzie 2019 r. zgłosił organowi nadzorczemu naruszenie ochrony danych osobowych. Tym organem był Inspektor Ochrony Danych Kraju Związkowego Land Hessen.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
Administrator odstąpił od poinformowania T.R. o naruszeniu jego danych osobowych.
Po tym, jak TR przypadkowo dowiedział się, że jego dane osobowe zostały udostępnione w sposób nieuzasadniony, w dniu 27 lipca 2020 r. złożył, na podstawie art. 77 RODO, skargę do organu nadzorczego.
Decyzją z dnia 3 września 2020 r. organ nadzorczy poinformował T.R., że administrator nie naruszyła art. 34 RODO, ponieważ dokonana przez niego ocena, zgodnie z którą naruszenie [prawa do ochrony] danych osobowych, którego się dopuścił, nie mogło spowodować wysokiego ryzyka dla praw i wolności T.R. w rozumieniu tego artykułu, nie nosiła znamion oczywistego błędna.
Według organu nadzorczego, jeśli pracownica zapoznała się z danymi, nic nie wskazywało na to, że przekazała je osobom trzecim lub wykorzystała je na szkodę TR.
Organ nadzorczy wskazał, że wezwał administratora do przechowywania rejestru dostępu przez okres dłuższy niż trzy miesiące. Wreszcie w odniesieniu do kwestii dostępu pracowników administratora do danych osobowych organ nadzorczy oddalił skargę wniesioną przez T.R., podkreślając, że szerokie prawo dostępu może co do zasady zostać przyznane, jeżeli istnieje pewność, że każdy użytkownik zostanie poinformowany o warunkach, na jakich może uzyskać dostęp do danych. Tym samym zdaniem organ nadzorczego zasadnicza kontrola każdego dostępu nie jest konieczna.
T.R. wniósł skargę na tę decyzję organu nadzorczego do Verwaltungsgericht Wiesbaden (sądu administracyjnego w Wiesbaden, Niemcy), sądu odsyłającego i zażądał nakazania organowi nadzorczemu podjęcia działania przeciwko administratorowi.
Sąd odsyłający rozważa co do zasady, czy w przypadku stwierdzonego naruszenia przepisów dotyczących ochrony danych osobowych, przepisy RODO należy interpretować w ten sposób, że organ nadzorczy ma obowiązek wykonania uprawnień naprawczych na podstawie art. 58 ust. 2 tego rozporządzenia, takich jak zastosowanie administracyjnej kary pieniężnej, czy też w ten sposób, że organ ten dysponuje zakresem uznania, które w zależności od okoliczności, zezwala mu na odstąpienie od wykonania tych uprawnień.
W tych okolicznościach Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:
Czy art. 57 ust. 1 lit. a) i f), art. 58 ust. 2 lit. a)–j) w związku z art. 77 ust. 1 [RODO] należy interpretować w ten sposób, że w przypadku stwierdzenia przez organ nadzorczy, iż przetwarzanie danych narusza prawa osoby, której dane dotyczą, organ ten ma zawsze obowiązek podjęcia działań zgodnie z art. 58 ust. 2 [tego rozporządzenia]?
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
postępowanie skargowe pomyślano jako mechanizm umożliwiający skuteczną ochronę praw i interesów osób, których dane dotyczą [wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu) (C 26/22 i C 64/22, EU:C:2023:958, pkt 58).
dokładniej rzecz ujmując, organ nadzorczy potwierdził fakt naruszenia ochrony danych osobowych przez kasę oszczędnościową, polegający na nieuprawnionym dostępie do tych danych jednej z jego pracownic.
jednakże w zakresie prawa pracowników administratora do wglądu w dane organ nadzorczy oddalił skargę wniesioną przez skarżącego w postępowaniu głównym.
Organ nadzorczy doszedł do wniosku, że nie ma potrzeby podjęcia działań przeciwko kasie oszczędnościowej zgodnie z art. 58 ust. 2 RODO.
w tym względzie należy zauważyć, że RODO pozostawia organowi nadzorczemu zakres uznania co do sposobu, w jaki powinien on usunąć stwierdzone uchybienie, ponieważ art. 58 ust. 2 przyznaje temu organowi uprawnienie do wykonywania różnych uprawnień naprawczych.
Trybunał miał już okazję orzec, że dokonanie wyboru odpowiedniego i skutecznego środka należy do organu nadzorczego, a organ ten powinien go dokonać z uwzględnieniem wszystkich okoliczności danej sprawy, to jednak organ ten ma obowiązek wywiązać się z należytą starannością z powierzonego mu zadania, polegającego na ścisłym przestrzeganiu przepisów RODO (zob. podobnie wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C 311/18, EU:C:2020:559, pkt 112).
Ten zakres uznania jest jednak ograniczony koniecznością zapewnienia spójnego i wysokiego stopnia ochrony danych osobowych poprzez rygorystyczne stosowanie przepisów, jak wynika z motywów 7 i 10 RODO.
Z powyższych względów Trybunał orzekł, że artykuł 57 ust. 1 lit. a) i f), art. 58 ust. 2 lit. a)–j) i art. 77 ust. 1 należy interpretować w ten sposób, że w przypadku stwierdzenia naruszenia ochrony danych osobowych na organie nadzorczym nie spoczywa, zgodnie z wymienionym art. 58 ust. 2, obowiązek wykonania uprawnienia naprawczego, w szczególności zastosowania administracyjnej kary pieniężnej, jeżeli takie działanie nie jest odpowiednie, niezbędne lub proporcjonalne do usunięcia stwierdzonego uchybienia i zapewnienia pełnego przestrzegania tego rozporządzenia.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.
