Obligatoryjność nałożenia przez organ nadzorczy administracyjnej kary pieniężnej (art. 58 ust. 2 RODO i art. 83 RODO)

Art. 57 ust. 1 lit. a) i f), art. 58 ust. 2 i art. 77 ust. 1 RODO należy interpretować w ten sposób, iż w przypadku stwierdzenia naruszenia ochrony danych osobowych na organie nadzorczym nie spoczywa, zgodnie z tymże art. 58 ust. 2, obowiązek wykonania uprawnienia naprawczego, w szczególności zastosowania administracyjnej kary pieniężnej, jeżeli podjęcie takiego działania nie jest odpowiednie, niezbędne lub proporcjonalne do usunięcia stwierdzonego uchybienia i zapewnienia pełnego przestrzegania tego rozporządzenia.

Przewidziany przez prawodawcę Unii system sankcji umożliwia organom nadzorczym stosowanie najbardziej odpowiednich sankcji w zależności od okoliczności danego przypadku (zob. podobnie wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C-683/21), z uwzględnieniem konieczności zapewnienia pełnego przestrzegania RODO i wysokiego stopnia ochrony danych osobowych poprzez rygorystyczne stosowanie przepisów.

Ani z art. 58 ust. 2 RODO, ani z jego art. 83 nie można wywieść, że na organie nadzorczym spoczywa obowiązek wykonania uprawnień naprawczych w każdym przypadku, w którym stwierdzi on naruszenie ochrony danych osobowych, w szczególności administracyjnej kary pieniężnej, ponieważ jego obowiązkiem jest w takich okolicznościach zareagowanie we właściwy sposób w celu usunięcia stwierdzonego uchybienia. W tych okolicznościach, autorowi skargi, którego prawa zostały naruszone, nie przysługuje prawo podmiotowe do nałożenia przez organ nadzorczy administracyjnej kary pieniężnej na administratora danych.

Organ nadzorczy ma obowiązek podjęcia działań, jeżeli wykonanie co najmniej jednego z uprawnień naprawczych przewidzianych w art. 58 ust. 2 RODO, przy uwzględnieniu wszystkich okoliczności konkretnej sprawy, jest odpowiednie, niezbędne i proporcjonalne, aby usunąć stwierdzone uchybienie i zapewnić pełną zgodność z tym rozporządzeniem.

Nie jest wykluczone, że w drodze wyjątku i biorąc pod uwagę szczególne okoliczności konkretnego przypadku, organ nadzorczy może odstąpić od wykonania uprawnień naprawczych pomimo stwierdzenia naruszenia ochrony danych osobowych. Może tak być w szczególności w przypadku, gdy stwierdzone naruszenie nie było długotrwałe, na przykład gdy administrator, który co do zasady zastosował odpowiednie środki techniczne i organizacyjne w rozumieniu art. 24 RODO, od chwili powzięcia wiadomości o tym naruszeniu podjął odpowiednie i niezbędne środki, aby to naruszenie ustało i się nie powtórzyło, biorąc pod uwagę w szczególności ciążące na nim obowiązki na mocy art. 5 ust. 2 i art. 24 tego rozporządzenia.

Wykonanie uprawnień naprawczych może wyjątkowo nie być niezbędne, zważywszy na szczególne okoliczności konkretnego przypadku, pod warunkiem że sytuacja naruszenia przepisów RODO została już usunięta a administrator danych zapewnił zgodność przetwarzania danych osobowych z tym rozporządzeniem, a takie zaniechanie po stronie organu nadzorczego nie narusza wymogu rygorystycznego stosowania przepisów.

Motyw 148 RODO stanowi między innymi, że organy nadzorcze mogą, jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, odstąpić od stosowania administracyjnej kary pieniężnej i zamiast tego udzielić upomnienia (zob. podobnie wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C‑683/21).

Wyrok TSUE z dnia 26 września 2024 r., C-768/21

Standard: 83978 (pełna treść orzeczenia)