Wyrok z dnia 2024-09-26 sygn. C-768/21

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

WYROK TRYBUNAŁU (pierwsza izba)

z dnia 26 września 2024 r.

Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 57 ust. 1 lit. a) i f) – Zadania organu nadzorczego – Artykuł 58 ust. 2 – Uprawnienia naprawcze – Administracyjna kara pieniężna – Zakres uznania, jakim dysponuje organ nadzorczy – Granice

W sprawie C-768/21

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy) postanowieniem z dnia 10 grudnia 2021 r., które wpłynęło do Trybunału w dniu 14 grudnia 2021 r., w postępowaniu:

TR

przeciwko

Land Hessen,

TRYBUNAŁ (pierwsza izba),

w składzie: A. Arabadjiev, prezes izby, T. von Danwitz, P.G. Xuereb, A. Kumin (sprawozdawca) i I. Ziemele, sędziowie,

rzecznik generalny: P. Pikamäe,

sekretarz: A. Calot Escobar,

uwzględniając pisemny etap postępowania,

rozważywszy uwagi, które przedstawili:

–        w imieniu TR – F. Wittmaack, Rechtsanwalt,

–        w imieniu Land Hessen – M. Kottmann i G. Ziegenhorn, Rechtsanwälte,

–        w imieniu rządu austriackiego – J. Schmoll i M.-T. Rappersberger, w charakterze pełnomocników,

–        w imieniu rządu portugalskiego – P. Barros da Costa, J. Ramos i C. Vieira Guerra, w charakterze pełnomocników,

–        w imieniu rządu rumuńskiego – L.-E. Baţagoi i E. Gane, w charakterze pełnomocników,

–        w imieniu rządu norweskiego – S.-E. Jahr Dahl, L.M. Moen Jünge i M. Munthe-Kaas, w charakterze pełnomocników,

–        w imieniu Komisji Europejskiej – A. Bouchagiar, M. Heller i H. Kranenborg, w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 11 kwietnia 2024 r.,

wydaje następujący

Wyrok

1        Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 57 ust. 1 lit. a) i f), art. 58 ust. 2 oraz art. 77 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).

2        Wniosek ten został złożony w ramach sporu pomiędzy TR a Land Hessen (krajem związkowym Hesja, Niemcy) w przedmiocie odstąpienia przez Hessischer Beauftragte für Datenschutz und Informationsfreiheit (inspektora ochrony danych i wolności informacji kraju związkowego Hesja, Niemcy, zwanego dalej „inspektorem ochrony danych kraju związkowego”) od wykonania uprawnień naprawczych wobec Sparkasse X (kasy oszczędnościowej X, zwanej dalej „kasą oszczędnościową”).

 Ramy prawne

3        Zgodnie z motywami 6, 7, 10, 129 i 148 RODO:

„(6)      Szybki postęp techniczny i globalizacja przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Skala zbierania i wymiany danych osobowych znacząco wzrosła. […]

(7)      Przemiany te wymagają stabilnych, spójniejszych ram ochrony danych w Unii [Europejskiej] oraz zdecydowanego ich egzekwowania, gdyż ważna jest budowa zaufania, które pozwoli na rozwój gospodarki cyfrowej na rynku wewnętrznym. […]

[…]

(10)      Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. […]

[…]

(129)      […] Swoje uprawnienia organy nadzorcze powinny wykonywać zgodnie z odpowiednimi zabezpieczeniami proceduralnymi przewidzianymi w prawie Unii i prawie państwa członkowskiego, bezstronnie, sprawiedliwie i w rozsądnym terminie. W szczególności każdy środek powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia – z uwzględnieniem okoliczności danej sprawy, z poszanowaniem prawa do wysłuchania[bycia wysłuchanym] danej osoby przed zastosowaniem indywidualnego środka, który miałby niekorzystnie na nią wpłynąć, i bez nadmiernych kosztów i niedogodności dla danej osoby. […]

[…]

(148)      Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające [oraz wszelkie inne okoliczności obciążające lub łagodzące. […]”

4        Artykuł 5 tego rozporządzenia ma następujące brzmienie:

„1.      Dane osobowe muszą być:

a)      przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);

b)      zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami […]; (»ograniczenie celu«);

c)      adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);

d)      prawidłowe i w razie potrzeby uaktualniane […] (»prawidłowość«);

e)      przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane […] (»ograniczenie przechowywania«);

f)      przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych […] (»integralność i poufność«).

2.      Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność [odpowiedzialność]«)”.

5        Artykuł 24 ust. 1 owego rozporządzenia przewiduje:

„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.

6        Artykuł 33 tego rozporządzenia brzmi następująco:

„1.      W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. […]

[…]

3.      Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

a)      opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

b)      zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c)      opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

d)      opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

[…]”.

7        Artykuł 34 ust. 1 RODO stanowi:

„Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”.

8        Rozdział VI tego rozporządzenia, zatytułowany „Niezależne organy nadzorcze”, zawiera art. 51–59 tego rozporządzenia.

9        Artykuł 51 ust. 1 tej dyrektywy ma następujące brzmienie:

„Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii (zwany dalej »organem nadzorczym«)”.

10      Artykuł 57 RODO, zatytułowany „Zadania”, przewiduje w ust. 1:

„Bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium:

a)      monitoruje i egzekwuje stosowanie niniejszego rozporządzenia;

[…]

f)      rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym;

[…]”.

11      Artykuł 58 tego rozporządzenia, zatytułowany „Uprawnienia”, stanowi w ust. 1 i 2:

„1.      Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia [naprawcze] w zakresie prowadzonych postępowań:

a)      nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań;

[…]

2.      Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:

a)      wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;

b)      udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;

c)      nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;

d)      nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;

e)      nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

f)      wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

[…]

i)      zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;

[…]”.

12      Artykuł 77 wspomnianego rozporządzenia ma następujące brzmienie:

„1.      Bez uszczerbku dla innych administracyjnych [środków zaskarżenia] lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

2.      Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78”.

13      Artykuł 83 ust. 1 i 2 tego rozporządzenia przewiduje:

„1.      Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

2.      Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

a)      charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b)      umyślny lub nieumyślny charakter naruszenia;

c)      działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d)      stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e)      wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f)      stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g)      kategorie danych osobowych, których dotyczyło naruszenie;

h)      sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i)      jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;

j)      stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz

k)      wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty”.

 Postępowanie główne i pytanie prejudycjalne

14      Kasa oszczędnościowa jest gminnym podmiotem prawa publicznego, która przeprowadza między innymi transakcje bankowe i kredytowe. W dniu 15 listopada 2019 r. kasa ta zgłosiła, zgodnie z art. 33 RODO, do inspektora ochrony danych kraju związkowego naruszenie ochrony danych osobowych, który sprowadzał się do faktu uzyskania przez jedną z jej pracownic wielokrotnego, nieuprawnionego dostępu do danych osobowych TR – jednego z klientów kasy. Kasa oszczędnościowa odstąpiła od poinformowania TR o naruszeniu jego danych osobowych.

15      Po tym, jak TR przypadkowo dowiedział się, że jego dane osobowe zostały udostępnione w sposób nieuzasadniony, w dniu 27 lipca 2020 r. złożył, na podstawie art. 77 RODO, skargę do inspektora ochrony danych kraju związkowego. W skardze tej podniósł, że nie został poinformowany o naruszeniu dotyczących go danych osobowych, co jest sprzeczne z art. 34 tego rozporządzenia. Krytycznie odniósł się on również do długości okresu przechowywania rejestru dostępu kasy oszczędnościowej, który został ustalony na zaledwie trzy miesiące, oraz do szerokiego prawa dostępu, z którego korzystali członkowie tej kasy i jej pracownicy.

16      W następstwie skargi wniesionej przez TR inspektor ochrony danych kraju związkowego zapoznał się ze stanowiskiem kasy oszczędnościowej przedstawionym na piśmie oraz wysłuchał jej wyjaśnień w przedmiocie postawionych jej zarzutów. W trakcie wysłuchania kasa oszczędnościowa wskazała, że odstąpiła od zawiadomienia w trybie art. 34 RODO, ponieważ jej inspektor ochrony danych uznał, że nie zachodziło wysokie ryzyko naruszenia praw i wolności TR. Wobec odpowiedzialnej za naruszenie pracownicy wyciągnięto konsekwencje dyscyplinarne, a ona sama potwierdziła na piśmie, że nie skopiowała ani nie przechowywała danych osobowych, że nie przekazała ich osobom trzecim i nie zrobi tego w przyszłości. Ponadto, z uwagi na fakt, że inspektor ochrony danych kraju związkowego odniósł się krytycznie do zbyt krótkiego okresu przechowywania rejestrów dostępu, kasa oszczędnościowa poinformowała go, że kwestia ta będzie przedmiotem ponownej kontroli.

17      Decyzją z dnia 3 września 2020 r. inspektor ochrony danych kraju związkowego poinformował TR, że kasa oszczędnościowa nie naruszyła art. 34 RODO, ponieważ dokonana przez kasę oszczędnościową ocena, zgodnie z którą naruszenie [prawa do ochrony] danych osobowych, którego się dopuściła, nie mogło spowodować wysokiego ryzyka dla praw i wolności TR w rozumieniu tego artykułu, nie nosiła znamion oczywistego błędna. Otóż, nawet jeśli pracownica zapoznała się z danymi, nic nie wskazywało na to, że przekazała je osobom trzecim lub wykorzystała je na szkodę TR. Ponadto inspektor ochrony danych kraju związkowego wskazał, że wezwał kasę oszczędnościową do przechowywania rejestru dostępu przez okres dłuższy niż trzy miesiące. Wreszcie w odniesieniu do kwestii dostępu pracowników kasy oszczędnościowej do danych osobowych inspektor ochrony danych kraju związkowego oddalił skargę wniesioną przez TR, podkreślając, że szerokie prawo dostępu może co do zasady zostać przyznane, jeżeli istnieje pewność, że każdy użytkownik zostanie poinformowany o warunkach, na jakich może uzyskać dostęp do danych. Tym samym zdaniem inspektora ochrony danych kraju związkowego zasadnicza kontrola każdego dostępu nie jest konieczna.

18      TR wniósł skargę na tę decyzję do Verwaltungsgericht Wiesbaden (sądu administracyjnego w Wiesbaden, Niemcy), sądu odsyłającego i zażądał nakazania inspektorowi ochrony danych kraju związkowego podjęcia działania przeciwko kasie oszczędnościowej.

19      W uzasadnieniu skargi TR podniósł, że inspektor ochrony danych kraju związkowego nie rozpatrzył jego skargi zgodnie z wymogami RODO, tj. z uwzględnieniem wszystkich okoliczności faktycznych, i dodał, że organ ten powinien był zastosować wobec kasy oszczędnościowej karę pieniężną, biorąc pod uwagę liczne naruszenia przepisów tego rozporządzenia, w szczególności jego: art. 5, art. 12 ust. 3, art. 15 ust. 1 lit. c), art. 33 ust. 1 i 3, których się dopuściła. Zdaniem TR w przypadku stwierdzonego naruszenia, jak w rozpatrywanej sprawie, nie ma zastosowania zasada oportunizmu, wobec czego inspektorowi ochrony danych kraju związkowego przysługiwał wybór nie tyle co do podjęcia działania lub ich zaniechania, lecz co najwyżej co do środków, jakie zamierzał podjąć.

20      W tym względzie sąd odsyłający rozważa co do zasady, czy w przypadku stwierdzonego naruszenia przepisów dotyczących ochrony danych osobowych, przepisy RODO należy interpretować w ten sposób, że organ nadzorczy ma obowiązek wykonania uprawnień naprawczych na podstawie art. 58 ust. 2 tego rozporządzenia, takich jak zastosowanie administracyjnej kary pieniężnej, czy też w ten sposób, że organ ten dysponuje zakresem uznania, które w zależności od okoliczności, zezwala mu na odstąpienie od wykonania tych uprawnień.

21      Sąd odsyłający wyjaśnia, że pierwsza wykładnia, za którą opowiadają się TR, jak również część doktryny, opiera się na okoliczności, że uprawnienia organu nadzorczego do wykonania uprawnień naprawczych mają na celu przywróceniu stanu zgodnego z prawem, gdy obywatele mają do czynienia z przetwarzaniem danych, które narusza ich prawa. Artykuł 58 ust. 2 RODO należy zatem rozumieć jako przepis stanowiący źródło obowiązku, który jest podstawą prawa obywatela do działania ze strony organów, w sytuacji gdy przedsiębiorstwo lub organ przetwarzają dane osobowe obywatela w sposób niezgodny z prawem lub naruszyły prawo w inny sposób. W przypadku stwierdzonego naruszenia ochrony danych organ nadzorczy ma obowiązek wykonania uprawnień naprawczych, a jedyne uprawnienie dyskrecjonalne, które mu pozostaje, to wybrać które z przewidzianych uprawnień wykona.

22      Sąd odsyłający ma jednak wątpliwości co do zasadności tej wykładni, którą uważa za zbyt szeroką i skłania się raczej do przyznania organowi nadzorczemu zakresu uznania pozwalającego mu – w niektórych przypadkach – na odstąpienie od wykonania uprawnień naprawczych, w szczególności od zastosowania sankcji w przypadku stwierdzonego naruszenia. Nawet jeśli organ nadzorczy ma na podstawie art. 57 ust. 1 lit. f) RODO obowiązek przeprowadzenia wnikliwej analizy skarg co do istoty i do zbadania każdego konkretnego przypadku, to nie ma on jednak obowiązku przyjęcia w każdej sytuacji środka naprawczego. Tym samym organ nadzorczy nie podlegałby podobnemu obowiązkowi, w przypadku gdyby przepisy dotyczące ochrony danych osobowych zostały naruszone w przeszłości, po czym administrator wykonał uprawnienia, które pozwalały mu przypuszczać, że naruszenie ochrony danych się nie powtórzy.

23      W tych okolicznościach Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:

„Czy art. 57 ust. 1 lit. a) i f), art. 58 ust. 2 lit. a)–j) w związku z art. 77 ust. 1 [RODO] należy interpretować w ten sposób, że w przypadku stwierdzenia przez organ nadzorczy, iż przetwarzanie danych narusza prawa osoby, której dane dotyczą, organ ten ma zawsze obowiązek podjęcia działań zgodnie z art. 58 ust. 2 [tego rozporządzenia]?”.

 W przedmiocie dopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym

24      Nie kwestionując w sposób wyraźny dopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym, TR podnosi, że odpowiedź na przedłożone pytanie nie jest niezbędna dla rozstrzygnięcia sporu w postępowaniu głównym. Jego skarga zmierzała wyłącznie do tego, by sąd odsyłający nakazał inspektorowi ochrony danych kraju związkowego rozstrzygnięcie w przedmiocie zarzutów wniesionej do niego skargi, zgodnie z art. 57 ust. 1 lit. f) RODO, nie zaś do tego, by nakazał mu skorzystanie z uprawnień przyznanych mu na mocy art. 58 ust. 2 tego rozporządzenia.

25      W tym względzie należy przypomnieć, że w ramach ustanowionej w art. 267 TFUE współpracy między Trybunałem i sądami krajowymi wyłącznie do sądu krajowego, przed którym zawisł spór i który powinien przyjąć na siebie odpowiedzialność za mające zapaść orzeczenie sądowe, należy dokonanie oceny, w świetle szczególnych okoliczności sprawy, zarówno konieczności wydania orzeczenia w trybie prejudycjalnym po to, aby tenże sąd krajowy był w stanie wydać swoje orzeczenie, jak i znaczenia dla sprawy pytań zadanych Trybunałowi. W konsekwencji, jeżeli zadane pytania dotyczą wykładni prawa Unii, Trybunał jest co do zasady zobowiązany do wydania orzeczenia (wyrok z dnia 30 listopada 2023 r., Ministero dell’Istruzione i INPS, C‑270/22, EU:C:2023:933, pkt 33 i przytoczone tam orzecznictwo).

26      Wynika stąd, że pytania dotyczące wykładni prawa Unii, przedstawione przez sąd krajowy w ramach stanu faktycznego i prawnego, za którego ustalenie sąd ten jest odpowiedzialny i którego prawidłowość nie podlega ocenie Trybunału, korzystają z domniemania, że mają znaczenie dla sprawy. Odrzucenie przez Trybunał wniosku sądu krajowego jest możliwe tylko wtedy, gdy jest oczywiste, że wykładnia prawa Unii, o którą wnioskowano, nie ma żadnego związku ze stanem faktycznym lub przedmiotem sporu przed sądem krajowym, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje elementami stanu faktycznego albo prawnego, które są konieczne do udzielenia użytecznej odpowiedzi na pytania, które zostały mu przedstawione (wyrok z dnia 30 listopada 2023 r., Ministero dell’Istruzione i INPS, C‑270/22, EU:C:2023:933, pkt 34 i przytoczone tam orzecznictwo).

27      W niniejszej sprawie sąd odsyłający podkreśla, że TR powołuje się na prawo inspektora ochrony danych kraju związkowego do podjęcia działań, i twierdzi, że organ ten miał obowiązek zastosowania wobec kasy oszczędnościowej kary pieniężnej.

28      W związku z tym nie jest oczywiste, że wykładnia prawa Unii, o którą się zwrócono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem sporu w postępowaniu głównym.

29      Z powyższego wynika, że wniosek o wydanie orzeczenia w trybie prejudycjalnym jest dopuszczalny.

 W przedmiocie pytania prejudycjalnego

30      W celu udzielenia odpowiedzi na przedłożone pytanie należy na wstępie przypomnieć, że wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, lecz także kontekstu, w jaki się on wpisuje, oraz celów realizowanych przez akt, którego jest on częścią [wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding(Zwolnienie z pozostałej części długu), C‑26/22 i C‑64/22, EU:C:2023:958, pkt 48 i przytoczone tam orzecznictwo].

31      Należy jednocześnie przypomnieć, że zgodnie z art. 8 ust. 3 Karty praw podstawowych Unii Europejskiej oraz z art. 51 ust. 1 i art. 57 ust. 1 lit. a) RODO krajowe organy nadzorcze są odpowiedzialne za kontrolę przestrzegania przepisów Unii dotyczących ochrony osób fizycznych w związku z przetwarzaniem danych osobowych [zob. wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding(Zwolnienie z pozostałej części długu), C‑26/22 i C‑64/22, EU:C:2023:958, pkt 55 i przytoczone tam orzecznictwo].

32      W szczególności zgodnie z art. 57 ust. 1 lit. f) RODO każdy organ nadzorczy ma obowiązek na swoim terytorium rozpatrywać skargi, które może wnieść zgodnie z art. 77 ust. 1 tego rozporządzenia każda osoba, jeżeli sądzi, że przetwarzanie dotyczących jej danych osobowych narusza to rozporządzenie i przeanalizować w koniecznym zakresie ich przedmiot oraz poinformować w rozsądnym terminie osobę wnoszącą skargę o postępach i wynikach tych postępowań. Organ nadzorczy ma obowiązek rozpatrzenia tej skargi z zachowaniem wymaganej staranności [zob. podobnie wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding(Zwolnienie z pozostałej części długu), C‑26/22 i C‑64/22, EU:C:2023:958, pkt 56 i przytoczone tam orzecznictwo].

33      Do celów rozpatrywania wniesionych skarg art. 58 ust. 1 RODO przyznaje każdemu organowi nadzorczemu daleko idące uprawnienia w zakresie prowadzonych w tym kontekście postępowań. Jeżeli organ taki po zakończeniu postępowania stwierdzi naruszenie przepisów tego rozporządzenia, ma on obowiązek zareagować w odpowiedni sposób, aby usunąć stwierdzone uchybienie, przy czym każdy środek, jak wskazano w motywie 129 tego rozporządzenia musi być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia, z uwzględnieniem okoliczności danej sprawy. W tym względzie w art. 58 ust. 2 tego rozporządzenia zostały wymienione różnego rodzaju uprawnienia naprawcze, które mogą zostać wykonane przez organ nadzorczy [zob. podobnie wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding(Zwolnienie z pozostałej części długu), C‑26/22 i C‑64/22, EU:C:2023:958, pkt 57 i przytoczone tam orzecznictwo].

34      I tak zgodnie z art. 58 ust. 2 RODO każdemu organowi nadzorczemu przysługują uprawnienia naprawcze, w szczególności organ nadzorczy jest uprawniony do udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów tego rozporządzenia poprzez operacje przetwarzania [lit. b)], nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy tego rozporządzenia [lit. c)], nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów tego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu [lit. d)], lub wreszcie zastosowanie, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy [lit. i)].

35      Wynika stąd, że postępowanie skargowe pomyślano jako mechanizm umożliwiający skuteczną ochronę praw i interesów osób, których dane dotyczą [wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu) (C‑26/22 i C‑64/22, EU:C:2023:958, pkt 58).

36      W niniejszym przypadku z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, że inspektor ochrony danych kraju związkowego zbadał co do istoty skargę wniesioną przez skarżącego w postępowaniu głównym i poinformował go o wyniku postępowania przygotowawczego. Dokładniej rzecz ujmując, inspektor ochrony danych kraju związkowego potwierdził fakt naruszenia ochrony danych osobowych przez kasę oszczędnościową, polegający na nieuprawnionym dostępie do tych danych jednej z jego pracownic. Jednakże w zakresie prawa pracowników kasy oszczędnościowej do wglądu w dane inspektor ochrony danych kraju związkowego oddalił skargę wniesioną przez skarżącego w postępowaniu głównym. Ponadto doszedł do wniosku, że nie ma potrzeby podjęcia działań przeciwko kasie oszczędnościowej zgodnie z art. 58 ust. 2 RODO.

37      W tym względzie należy zauważyć, że RODO pozostawia organowi nadzorczemu zakres uznania co do sposobu, w jaki powinien on usunąć stwierdzone uchybienie, ponieważ art. 58 ust. 2 przyznaje temu organowi uprawnienie do wykonywania różnych uprawnień naprawczych. Trybunał miał już okazję orzec, że dokonanie wyboru odpowiedniego i skutecznego środka należy do organu nadzorczego, a organ ten powinien go dokonać z uwzględnieniem wszystkich okoliczności danej sprawy, to jednak organ ten ma obowiązek wywiązać się z należytą starannością z powierzonego mu zadania, polegającego na ścisłym przestrzeganiu przepisów RODO (zob. podobnie wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 112).

38      Ten zakres uznania jest jednak ograniczony koniecznością zapewnienia spójnego i wysokiego stopnia ochrony danych osobowych poprzez rygorystyczne stosowanie przepisów, jak wynika z motywów 7 i 10 RODO.

39      Co się tyczy w szczególności administracyjnych kar pieniężnych, o których mowa w art. 58 ust. 2 lit. i) RODO, z art. 83 ust. 2 tego rozporządzenia wynika, że stosuje się je, w zależności od okoliczności każdego przypadku, w uzupełnieniu lub w miejsce innych środków, o których mowa w tym art. 58 ust. 2. Ponadto ten sam art. 83 ust. 2 uściśla, że podejmując decyzję o zastosowaniu administracyjnej kary pieniężnej oraz podejmując decyzję o jej wysokości, organ nadzorczy musi w każdym przypadku należycie uwzględnić elementy wymienione w lit. a)–k) tego przepisu, takie jak charakter, waga i czas trwania naruszenia.

40      W ten sposób przewidziany przez prawodawcę Unii system sankcji umożliwia organom nadzorczym stosowanie najbardziej odpowiednich sankcji w zależności od okoliczności danego przypadku (zob. podobnie wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, pkt 75, 78), z uwzględnieniem konieczności, jak przypomniano w pkt 37 i 38 niniejszego wyroku, zapewnienia pełnego przestrzegania RODO i wysokiego stopnia ochrony danych osobowych poprzez rygorystyczne stosowanie przepisów.

41      W związku z tym ani z art. 58 ust. 2 RODO, ani z jego art. 83 nie można wywieść, że na organie nadzorczym spoczywa obowiązek wykonania uprawnień naprawczych w każdym przypadku, w którym stwierdzi on naruszenie ochrony danych osobowych, w szczególności administracyjnej kary pieniężnej, ponieważ jego obowiązkiem jest w takich okolicznościach zareagowanie we właściwy sposób w celu usunięcia stwierdzonego uchybienia. W tych okolicznościach, jak zauważył rzecznik generalny w pkt 81 opinii, autorowi skargi, którego prawa zostały naruszone, nie przysługuje prawo podmiotowe do nałożenia przez organ nadzorczy administracyjnej kary pieniężnej na administratora danych.

42      Organ nadzorczy ma natomiast obowiązek podjęcia działań, jeżeli wykonanie co najmniej jednego z uprawnień naprawczych przewidzianych w art. 58 ust. 2 RODO, przy uwzględnieniu wszystkich okoliczności konkretnej sprawy, jest odpowiednie, niezbędne i proporcjonalne, aby usunąć stwierdzone uchybienie i zapewnić pełną zgodność z tym rozporządzeniem.

43      W tym względzie nie jest wykluczone, że w drodze wyjątku i biorąc pod uwagę szczególne okoliczności konkretnego przypadku, organ nadzorczy może odstąpić od wykonania uprawnień naprawczych pomimo stwierdzenia naruszenia ochrony danych osobowych. Może tak być w szczególności w przypadku, gdy stwierdzone naruszenie nie było długotrwałe, na przykład gdy administrator, który co do zasady zastosował odpowiednie środki techniczne i organizacyjne w rozumieniu art. 24 RODO, od chwili powzięcia wiadomości o tym naruszeniu podjął odpowiednie i niezbędne środki, aby to naruszenie ustało i się nie powtórzyło, biorąc pod uwagę w szczególności ciążące na nim obowiązki na mocy art. 5 ust. 2 i art. 24 tego rozporządzenia.

44      Wykładnia, zgodnie z którą w przypadku stwierdzenia naruszenia ochrony danych osobowych organ nadzorczy nie ma obowiązku wykonania w każdym przypadku uprawnień naprawczych na podstawie art. 58 ust. 2 RODO, znajduje potwierdzenie w celach realizowanych, odpowiednio, poprzez ten art. 58 ust. 2 oraz poprzez art. 83 tego rozporządzenia.

45      Jeśli chodzi o cel realizowany przez art. 58 ust. 2 RODO, z motywu 129 tego rozporządzenia wynika, że przepis ten zmierza do zapewnienia zgodności przetwarzania danych osobowych z tym rozporządzeniem oraz usuwania jego naruszeń, tak aby dostosować się do prawa Unii, dzięki podjęmowaniu działań przez krajowe organy nadzorcze (wyrok z dnia 14 marca 2024 r., Újpesti Polgármesteri Hivatal, C‑46/23, EU:C:2024:239, pkt 40).

46      Wynika stąd, że wykonanie uprawnień naprawczych może wyjątkowo nie być niezbędne, zważywszy na szczególne okoliczności konkretnego przypadku, pod warunkiem że sytuacja naruszenia przepisów RODO została już usunięta a administrator danych zapewnił zgodność przetwarzania danych osobowych z tym rozporządzeniem, a takie zaniechanie po stronie organu nadzorczego nie narusza wymogu rygorystycznego stosowania przepisów, przypomnianego w pkt 38 niniejszego wyroku.

47      Co się tyczy celu art. 83 RODO, dotyczącego stosowania administracyjnych kar pieniężnych, to zgodnie z motywem 148 tego rozporządzenia polega on na skuteczniejszym egzekwowaniu jego przepisów. Podobnie tenże motyw 148 wspomnianego rozporządzenia stanowi między innymi, że organy nadzorcze mogą, jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, odstąpić od stosowania administracyjnej kary pieniężnej i zamiast tego udzielić upomnienia (zob. podobnie wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, pkt 76).

48      W niniejszej sprawie z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, że kasa oszczędnościowa zgłosiła inspektorowi ochrony danych kraju związkowego, zgodnie z art. 33 RODO, naruszenie danych osobowych skarżącego w postępowaniu głównym wynikające z nieuprawnionego dostępu do tych danych jednej z jej pracownic. Ponadto wskazała ona, że wobec tej pracownicy zostały podjęte środki dyscyplinarne i że okres przechowywania rejestru dostępu zostanie poddany przeglądowi. W tych okolicznościach inspektor ochrony danych kraju związkowego odstąpił od wykonania uprawnień naprawczych na podstawie art. 58 ust. 2 RODO, a w szczególności nie zastosował administracyjnej kary pieniężnej.

49      Ponieważ wydane przez organ nadzorczy decyzje w przedmiocie skargi podlegają pełnej kontroli sądowej [wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie z pozostałej części długu), C‑26/22 i C‑64/22, EU:C:2023:958, pkt 70], do sądu odsyłającego należy zbadanie, czy inspektor ochrony danych kraju związkowego rozpatrzył daną skargę z należytą starannością i czy, wydając decyzję będącą przedmiotem postępowania głównego, organ ten zachował granice zakresu uznania przyznanego mu w art. 58 ust. 2 RODO [zob. analogicznie wyrok z dnia 7 grudnia 2023 r., SCHUFA Holding (Zwolnienie zaległego zadłużenia), C‑26/22 i C‑64/22, EU:C:2023:958, pkt 68, 69 i przytoczone tam orzecznictwo].

50      Biorąc pod uwagę całość powyższych rozważań, na przedłożone pytanie należy odpowiedzieć, że art. 57 ust. 1 lit. a) i f), art. 58 ust. 2 i art. 77 ust. 1 RODO należy interpretować w ten sposób, iż w przypadku stwierdzenia naruszenia ochrony danych osobowych na organie nadzorczym nie spoczywa, zgodnie z tymże art. 58 ust. 2, obowiązek wykonania uprawnienia naprawczego, w szczególności zastosowania administracyjnej kary pieniężnej, jeżeli podjęcie takiego działania nie jest odpowiednie, niezbędne lub proporcjonalne do usunięcia stwierdzonego uchybienia i zapewnienia pełnego przestrzegania tego rozporządzenia.

 W przedmiocie kosztów

51      Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (pierwsza izba) orzeka, co następuje:

Artykuł 57 ust. 1 lit. a) i f), art. 58 ust. 2 lit. a)–j) i art. 77 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

w przypadku stwierdzenia naruszenia ochrony danych osobowych na organie nadzorczym nie spoczywa, zgodnie z wymienionym art. 58 ust. 2, obowiązek wykonania uprawnienia naprawczego, w szczególności zastosowania administracyjnej kary pieniężnej, jeżeli takie działanie nie jest odpowiednie, niezbędne lub proporcjonalne do usunięcia stwierdzonego uchybienia i zapewnienia pełnego przestrzegania tego rozporządzenia.