Zakres uznania, jakim dysponuje organ nadzorczy; swoboda wyboru odpowiedniego i skutecznego środka

Uprawnienia organu nadzorczego (art. 58 RODO)

RODO pozostawia organowi nadzorczemu zakres uznania co do sposobu, w jaki powinien on usunąć stwierdzone uchybienie, ponieważ art. 58 ust. 2 przyznaje temu organowi uprawnienie do wykonywania różnych uprawnień naprawczych.

Dokonanie wyboru odpowiedniego i skutecznego środka należy do organu nadzorczego, a organ ten powinien go dokonać z uwzględnieniem wszystkich okoliczności danej sprawy, to jednak organ ten ma obowiązek wywiązać się z należytą starannością z powierzonego mu zadania, polegającego na ścisłym przestrzeganiu przepisów RODO (zob. podobnie wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C-311/18).

Zakres uznania jest jednak ograniczony koniecznością zapewnienia spójnego i wysokiego stopnia ochrony danych osobowych poprzez rygorystyczne stosowanie przepisów, jak wynika z motywów 7 i 10 RODO.

Przewidziany przez prawodawcę Unii system sankcji umożliwia organom nadzorczym stosowanie najbardziej odpowiednich sankcji w zależności od okoliczności danego przypadku (zob. podobnie wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C-683/21, z uwzględnieniem konieczności zapewnienia pełnego przestrzegania RODO i wysokiego stopnia ochrony danych osobowych poprzez rygorystyczne stosowanie przepisów.

Nie jest wykluczone, że w drodze wyjątku i biorąc pod uwagę szczególne okoliczności konkretnego przypadku, organ nadzorczy może odstąpić od wykonania uprawnień naprawczych pomimo stwierdzenia naruszenia ochrony danych osobowych. Może tak być w szczególności w przypadku, gdy stwierdzone naruszenie nie było długotrwałe, na przykład gdy administrator, który co do zasady zastosował odpowiednie środki techniczne i organizacyjne w rozumieniu art. 24 RODO, od chwili powzięcia wiadomości o tym naruszeniu podjął odpowiednie i niezbędne środki, aby to naruszenie ustało i się nie powtórzyło, biorąc pod uwagę w szczególności ciążące na nim obowiązki na mocy art. 5 ust. 2 i art. 24 tego rozporządzenia.

Wykonanie uprawnień naprawczych może wyjątkowo nie być niezbędne, zważywszy na szczególne okoliczności konkretnego przypadku, pod warunkiem że sytuacja naruszenia przepisów RODO została już usunięta a administrator danych zapewnił zgodność przetwarzania danych osobowych z tym rozporządzeniem, a takie zaniechanie po stronie organu nadzorczego nie narusza wymogu rygorystycznego stosowania przepisów.

Wyrok TSUE z dnia 26 września 2024 r., C-768/21

Standard: 83977 (pełna treść orzeczenia)

Serwis wykorzystuje pliki cookies. Korzystając z serwisu akceptujesz politykę prywatności i cookies.