Organy nadzorcze nie muszą automatycznie nakładać grzywien za naruszenia ochrony danych. Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) mają one raczej swobodę decydowania o naprawieniu wszelkich stwierdzonych niedociągnięć. Wynika to z niedawnego orzeczenia Europejskiego Trybunału Sprawiedliwości (ETS) (sprawa nr: C-768/21 z 26.09.2024 r.).

W tym przypadku pracownik kasy oszczędnościowej uzyskał dostęp do danych klienta bez upoważnienia i bez poinformowania go o tym. Inspektor ochrony danych kasy oszczędnościowej nie był w stanie rozpoznać żadnego zagrożenia dla klienta, ponieważ pracownik nie skopiował ani nie zapisał danych. Kasa oszczędności podjęła również działania dyscyplinarne przeciwko pracownikowi i poinformowała państwowego inspektora ochrony danych. Zainteresowany klient również się z nim skontaktował. Kiedy państwowy inspektor ochrony danych, po wysłuchaniu banku oszczędnościowego, również uznał, że dalsze środki nie są konieczne, klient złożył pozew i chciał zobowiązać państwowego inspektora ochrony danych do nałożenia grzywny na bank oszczędnościowy.

Sąd Administracyjny w Wiesbaden skierował sprawę do ETS w celu wyjaśnienia. Teraz sąd ponownie wyjaśnił, że nie można nakładać kar, jeśli wszystkie niezbędne środki zostaną podjęte niezwłocznie po powzięciu wiadomości o naruszeniu w celu zapobieżenia ponownemu naruszeniu ochrony danych. Zgodnie z komunikatem prasowym ETS, swoboda decyzyjna władz jest „ograniczona potrzebą zapewnienia spójnego i wysokiego poziomu ochrony danych osobowych w wyraźnie egzekwowalnych ramach prawnych RODO“. O tym, czy Państwowy Inspektor Ochrony Danych przestrzegał tych ograniczeń, musi teraz ponownie zadecydować Sąd Administracyjny w Wiesbaden.

Osobą kontaktową we wszystkich kwestiach związanych z ochroną danych i dostępem do informacji w naszej praktyce jest Rechtsanwalt. Dr Dominik Lück.