Trybunał Sprawiedliwości UE orzekł w czwartek, że krajowe urzędy ochrony danych nie muszą nakładać kar, w tym pieniężnych, za każde naruszenie RODO, zwłaszcza jeśli instytucje, w których doszło do naruszeń same podjęły odpowiednie środki naprawcze.
Chodzi o sytuację z Niemiec, gdzie jedna z pracownic tamtejszej kasy oszczędnościowej wielokrotnie i bez uprawnień zaglądała do danych osobowych jednego z klientów kasy.
Pracownica przyznała się, że naruszyła prywatność klienta i potwierdziła na piśmie, że nie skopiowała ani nie przechowywała danych, nie przekazała ich osobom trzecim oraz że nie zrobi tego w przyszłości. Kasa oszczędnościowa wyciągnęła wobec niej konsekwencje dyscyplinarne, ale nie poinformowała o zaistniałej sytuacji klienta wychodząc z założenia, że nie było wysokiego ryzyka naruszenia jego praw. Poinformowała jednak o naruszeniu inspektora ochrony danych kraju związkowego Hesja.
Klient przez przypadek dowiedział się jednak o sytuacji i złożył skargę do tego samego krajowego inspektora ochrony danych; ten jednak uznał, że nie ma konieczności wyciągania konsekwencji wobec kasy oszczędnościowej. Klient wniósł więc sprawę do sądu, żądając, żeby urząd ochrony danych ukarał kasę i nałożył na nią karę pieniężną.
Sąd niemiecki zwrócił się do TSUE o wykładnię przepisów RODO w tym zakresie.
W czwartkowym orzeczeniu Trybunał uznał, że urząd nie ma obowiązku nakładania kar, w szczególności pieniężnych, w przypadku naruszenia przez jakąś instytucję ochrony danych osobowych, jeśli takie działanie nie jest niezbędne do usunięcia naruszeń i zapewnienia pełnego przestrzegana RODO i zwłaszcza jeśli administrator danych już podjął odpowiednie działania. W tym przypadku kasa oszczędnościowa wyciągnęła konsekwencje dyscyplinarne wobec pracownicy oraz zobowiązała ją do podpisania oświadczenia.
Jak przypomniał Trybunał, zapisy RODO pozostawiają organom nadzorczym uznanie, jak należy usuwać uchybienia by zapewnić wysoką ochronę danych osobowych i rygorystyczne stosowanie przepisów. Teraz sąd niemiecki będzie musiał zbadać czy krajowy inspektor danych przestrzegał tych wytycznych.