Wydanie tymczasowe
OPINIA RZECZNIKA GENERALNEGO
PRIITA PIKAMÄE
przedstawiona w dniu 11 kwietnia 2024 r.(1)
Sprawa C‑768/21
TR
przeciwko
Land Hessen
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy)]
Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 57 ust. 1 lit. a) i f) – Zadania organu nadzorczego – Artykuł 58 ust. 2 – Uprawnienia organu nadzorczego – Artykuł 77 ust. 1 – Prawo wniesienia skargi – Naruszenie ochrony danych osobowych – Obowiązek przyjęcia środków przez organ nadzorczy
I. Wprowadzenie
1. Wniosek o wydanie orzeczenia w trybie prejudycjalnym, przedstawiony przez Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy) na podstawie art. 267 TFUE, dotyczy wykładni art. 57 ust. 1 lit. a) i f), art. 58 ust. 2 oraz art. 77 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)(2) (zwanego dalej „RODO”).
2. Wniosek ten został przedstawiony w ramach sporu pomiędzy TR a Land Hessen (krajem związkowym Hesja, Niemcy), reprezentowanym przez Hessischer Beauftragte für Datenschutz und Informationsfreiheit (inspektora ochrony danych i wolności informacji kraju związkowego Hesja, zwanego dalej „HBDI”), w przedmiocie odmowy podjęcia przez ten ostatni działania przeciwko kasie oszczędnościowej w związku z naruszeniem ochrony danych osobowych. Sąd odsyłający zastanawia się, czy organ nadzorczy, w przypadku stwierdzenia, iż przetwarzanie danych narusza prawa osoby, której dane dotyczą, jest w każdym wypadku zobowiązany do podjęcia działania w ramach uprawnień przyznanych mu na mocy art. 58 ust. 2 RODO, czy też w szczególnym przypadku może on – pomimo naruszenia – zrezygnować z podjęcia działania.
3. Rozpatrywana sprawa dotyczy szeregu nowych zagadnień prawnych, które wymagają dogłębnych rozważań. Trybunał będzie musiał zasadniczo zająć się rolą, jaką zasady legalności i oportunizmu odgrywają w praktyce administracyjnej organów nadzorczych, a w szczególności w realizacji ich zadania polegającego na monitorowaniu stosowania RODO oraz na zapewnianiu jego przestrzegania. Wytyczne interpretacyjne, które wyłonią się z orzecznictwa Trybunału, będą miały wpływ na tę praktykę administracyjną, przyczyniając się tym samym do spójnego stosowania tego rozporządzenia w Unii.
II. Ramy prawne
4. Motywy 129, 141, 148 i 150 RODO mają następujące brzmienie:
„(129) Aby zapewnić spójne monitorowanie i egzekwowanie niniejszego rozporządzenia w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same zadania i faktyczne uprawnienia, w tym uprawnienia do prowadzenia postępowań wyjaśniających, naprawcze, uprawnienia do nakładania kar oraz do udzielania zezwoleń i doradcze, w szczególności w przypadku skarg osób fizycznych, i – bez uszczerbku dla uprawnień organów prokuratorskich na mocy prawa państwa członkowskiego – uprawnienia do zgłaszania naruszeń niniejszego rozporządzenia organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Wśród tych uprawnień powinno być także uprawnienie do wprowadzania czasowego lub definitywnego ograniczenia przetwarzania, w tym zakazania przetwarzania. Państwa członkowskie mogą określić także inne zadania związane z ochroną danych osobowych na mocy niniejszego rozporządzenia. Swoje uprawnienia organy nadzorcze powinny wykonywać zgodnie z odpowiednimi zabezpieczeniami proceduralnymi przewidzianymi w prawie Unii i prawie państwa członkowskiego, bezstronnie, sprawiedliwie i w rozsądnym terminie. W szczególności każdy środek powinien być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia – z uwzględnieniem okoliczności danej sprawy, z poszanowaniem prawa do wysłuchania danej osoby przed zastosowaniem indywidualnego środka, który miałby niekorzystnie na nią wpłynąć, i bez nadmiernych kosztów i niedogodności dla danej osoby. […]
[…]
(141) Każda osoba, której dane dotyczą, powinna mieć prawo wniesienia skargi do jednego organu nadzorczego oraz prawo do skutecznego środka ochrony prawnej przed sądem, zgodnie z art. 47 [Karty praw podstawowych Unii Europejskiej, zwanej dalej „Kartą”], w szczególności w państwie członkowskim, w którym ma miejsce zwykłego pobytu, a jeżeli uzna, że jej prawa wynikające z niniejszego rozporządzenia są naruszane, lub jeżeli organ nadzorczy nie reaguje na skargę, częściowo lub w całości ją odrzuca lub oddala, lub nie podejmuje działania, choć jest to niezbędne do ochrony praw tej osoby. Postępowanie wyjaśniające na podstawie skargi powinno być prowadzone – z zastrzeżeniem kontroli sądowej – w zakresie odpowiadającym konkretnej sprawie. Organ nadzorczy powinien w rozsądnym terminie poinformować osobę, której dane dotyczą, o postępach i wynikach rozpatrywania skargi. […]
[…]
(148) Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte [środki przyjęte] dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. […]
[…]
(150) W celu wzmocnienia i zharmonizowania sankcji administracyjnych za naruszenie niniejszego rozporządzenia każdy organ nadzorczy powinien być uprawniony do nakładania administracyjnych kar pieniężnych. W niniejszym rozporządzeniu należy wymienić rodzaje naruszeń oraz wskazać górną granicę i kryteria ustalania związanych z nimi administracyjnych kar pieniężnych, które właściwy organ nadzorczy powinien określać indywidualnie dla każdego przypadku z uwzględnieniem wszystkich stosownych okoliczności danej sytuacji, z należytym uwzględnieniem w szczególności charakteru, wagi, czasu trwania naruszenia i jego konsekwencji, a także środków podjętych w celu zastosowania się do obowiązków wynikających z niniejszego rozporządzenia oraz w celu zapobieżenia konsekwencjom naruszenia lub w celu zminimalizowania tych konsekwencji. […]”.
5. Artykuł 33 ust. 1 tego rozporządzenia stanowi:
„W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. […]”.
6. Artykuł 34 ust. 1 owego rozporządzenia przewiduje:
„Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”.
7. Artykuł 57 ust. 1 tego samego rozporządzenia stanowi:
„Bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium:
a) monitoruje i egzekwuje stosowanie niniejszego rozporządzenia;
[…]
f) rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym;
[…]”.
8. Zgodnie z art. 58 RODO:
„1. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:
a) nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań;
[…]
2. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:
a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;
b) udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;
c) nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;
d) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;
e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
f) wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
[…]
i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;
[…]”.
9. Artykuł 77 tego rozporządzenia stanowi:
„1. Bez uszczerbku dla innych administracyjnych [środków zaskarżenia] lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
2. Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78”.
10. Artykuł 78 wspomnianego rozporządzenia przewiduje w ust. 1 i 2:
„1. Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej.
2. Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy właściwy zgodnie z art. 55 i 56 nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi wniesionej zgodnie z art. 77”.
11. Artykuł 83 RODO stanowi w ust. 1 i 2:
„1. Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.
2. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)–h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
b) umyślny lub nieumyślny charakter naruszenia;
c) działania podjęte [środki przyjęte] przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
g) kategorie danych osobowych, których dotyczyło naruszenie;
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty”.
III. Okoliczności powstania sporu, postępowanie główne i pytanie prejudycjalne
12. Kasa oszczędnościowa jest komunalnym zakładem prawa publicznego przeprowadzającym między innymi transakcje bankowe i kredytowe. W dniu 15 listopada 2019 r. zgłosiła ona HBDI naruszenie ochrony danych osobowych zgodnie z art. 33 RODO, ponieważ jedna z jej pracownic wielokrotnie, bez upoważnienia uzyskiwała dostęp do danych osobowych TR, jednego z jej klientów. Uznawszy, że nie chodziło o naruszenie ochrony danych osobowych, które mogło powodować wysokie ryzyko dla TR, kasa oszczędnościowa odstąpiła od zawiadomienia także TR na podstawie art. 34 tego rozporządzenia.
13. Po tym, jak TR dowiedział się o tym zdarzeniu, zwrócił się do HBDI pismem z dnia 27 lipca 2020 r., w którym zgłosił naruszenie art. 34 RODO oraz skrytykował krótki, trzymiesięczny okres przechowywania protokołów dostępu kasy oszczędnościowej, a także fakt, że każdy jej pracownik ma szerokie prawa dostępu.
14. W ramach postępowania przed HBDI kasa oszczędnościowa wskazała, że jej inspektor ochrony danych uznał, że nie istniało ryzyko dla TR, ponieważ podjęto środki dyscyplinarne wobec pracownicy, której sprawa dotyczy, a ona potwierdziła na piśmie, że nie kopiowała ani nie przechowywała danych, z którymi się zapoznała, nie przekazała ich osobom trzecim oraz zobowiązała się, że nie zrobi tego również w przyszłości. Ponadto okres przechowywania danych dostępowych miał zostać zbadany.
15. Decyzją z dnia 3 września 2020 r. HBDI poinformował TR, że w rozpatrywanej sprawie kasa oszczędnościowa nie naruszyła art. 34 RODO. Zdaniem tego organu decyzja, którą należy podjąć na podstawie tego przepisu, jest prognostyczna. Z punktu widzenia nadzoru nad ochroną danych należało zbadać, czy ta decyzja była oczywiście błędna. Tymczasem kasa oszczędnościowa wyjaśniła, że dane były wprawdzie przeglądane, ale brak było jakichkolwiek poszlak wskazujących na to, że pracownica, która je przeglądała, przekazała je osobom trzecim lub wykorzystała je na szkodę TR. W związku z tym prawdopodobnie nie zaistniało wysokie ryzyko. Ponadto nakazano kasie oszczędnościowej dłuższe przechowywanie jej protokołu dostępu. Generalna kontrola każdego dostępu nie była – zdaniem HBDI – konieczna, ponieważ co do zasady szerokie prawa dostępu mogą być przyznane, jeżeli zapewniono, że każdy użytkownik został pouczony, na jakich warunkach i do jakich danych mógł uzyskać dostęp.
16. TR wniósł skargę na decyzję z dnia 3 września 2020 r. do Verwaltungsgericht Wiesbaden (sądu administracyjnego w Wiesbaden), sądu odsyłającego, żądając nakazania HBDI podjęcia działania przeciwko kasie oszczędnościowej.
17. Na poparcie swojej skargi TR podnosi, że HBDI nie rozpatrzył jego skargi zgodnie z wymogami RODO. Twierdzi on, że ma prawo do tego, by ta skarga była rozpatrzona, oraz do uzyskania informacji o postępach w jej rozpatrzeniu. HBDI był zobowiązany do ustalenia rzeczywistych okoliczności dla oceny ryzyka dokonanej przez kasę oszczędnościową, bez ograniczania się do środków, o które wyraźnie zawnioskowano, i powinien był nałożyć na kasę oszczędnościową karę pieniężną. Zdaniem TR w przypadku stwierdzonego naruszenia nie ma zastosowania zasada oportunizmu, wobec czego HBDI nie przysługiwał zakres uznania co do podjęcia działania, lecz co najwyżej zakres uznania w przedmiocie wyboru środków, jakie zamierzał zastosować.
18. Sąd odsyłający uściśla, że w rozpatrywanej sprawie HBDI, jako organ nadzorczy, doszedł do wniosku, że chociaż miało miejsce naruszenie przepisów o ochronie danych, działanie na podstawie art. 58 ust. 2 RODO nie było wymagane. Tymczasem takie podejście byłoby zgodne z prawem tylko wtedy, gdyby organ nadzorczy nie był zobowiązany do podjęcia działania nawet w przypadku stwierdzenia naruszenia ochrony danych. Jeśliby zgodzić się ze stanowiskiem TR, zgodnie z którym organowi nadzorczemu nie przysługuje jakikolwiek zakres uznania, powodowałoby to w konsekwencji, że w przypadku stwierdzonego naruszenia istniałoby prawo do żądania podjęcia działania i środków naprawczych, a organ nadzorczy musiałby w każdym wypadku przyjąć jakiś środek. W razie odmowy sąd musiałby zobowiązać organ nadzorczy do przyjęcia środka lub dokonania wyboru środków.
19. Sąd odsyłający wskazuje, że ta argumentacja, która jest również przyjęta przez część doktryny, opiera się na fakcie, że uprawnienia naprawcze zgodnie z art. 58 ust. 2 RODO służą przywróceniu zgodnych z prawem warunków w przypadku stwierdzenia przez obywateli, iż przetwarzanie danych narusza ich prawa. Przepis ten należy zatem rozumieć jako przepis zobowiązujący, który ustanawia prawo obywatela do działania ze strony organów, w sytuacji gdy przedsiębiorstwo lub organ bezprawnie przetwarzały dane osobowe obywatela lub naruszyły prawa w inny sposób. W przypadku stwierdzenia naruszenia ochrony danych organ nadzorczy jest zobowiązany do przyjęcia środków naprawczych, przy czym ma uprawnienia dyskrecjonalne jedynie w przedmiocie wyboru środków, jakie zastosuje.
20. Sąd odsyłający ma jednak wątpliwości co do tej wykładni i uważa ją za zbyt szeroką. Skłania się on raczej ku przyznaniu organowi nadzorczemu marginesu swobody, pozwalającego mu odstąpić od kar również w przypadku stwierdzonych naruszeń. Artykuł 57 ust. 1 lit. f) RODO stanowi bowiem jedynie, że organ nadzorczy rozpatruje skargę, w odpowiednim zakresie prowadzi postępowanie w przedmiocie skargi i w rozsądnym terminie informuje skarżącego o postępach i wynikach postępowania. Organ nadzorczy ma zatem z tego tytułu obowiązek dokonania wnikliwej analizy merytorycznej i badania każdej konkretnej sprawy, ale nie oznacza to, że działanie jest zawsze i bez wyjątku wymagane w przypadku stwierdzenia naruszenia.
21. W tych okolicznościach Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:
„Czy art. 57 ust. 1 lit. a) i f) i art. 58 ust. 2 lit. a)–j) w związku z art. 77 ust. 1 [RODO] należy interpretować w ten sposób, że w przypadku stwierdzenia przez organ nadzorczy, iż przetwarzanie danych narusza prawa osoby, której dane dotyczą, organ ten jest zawsze zobowiązany do podjęcia działania zgodnie z art. 58 ust. 2 [tego rozporządzenia]?”.
IV. Postępowanie przed Trybunałem
22. Postanowienie o wystąpieniu z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym z dnia 10 grudnia 2021 r. wpłynęło do sekretariatu Trybunału w dniu 14 grudnia 2021 r.
23. Strony w postępowaniu głównym, rządy austriacki, portugalski, rumuński i norweski oraz Komisja Europejska złożyły uwagi na piśmie w terminie wyznaczonym zgodnie z art. 23 statutu Trybunału Sprawiedliwości Unii Europejskiej.
24. Na zgromadzeniu ogólnym w dniu 16 stycznia 2024 r. Trybunał postanowił nie przeprowadzać rozprawy.
V. Analiza prawna
A. Uwagi wstępne
25. Po wejściu w życie RODO wiele podmiotów musiało wprowadzić szereg środków w celu zapewnienia zgodności z nowym uregulowaniem w sprawie przetwarzania danych osobowych. W przypadku gdy podmioty nie stosują się do tych środków, grożą im kary, mniej lub bardziej dotkliwe, w zależności od wagi naruszenia. Administracyjne kary pieniężne są kluczowe dla wprowadzonego przez RODO systemu egzekwowania przepisów. Stanowią one skuteczny element możliwości, którymi dysponują organy nadzorcze w celu zapewnienia przestrzegania przepisów, obok innych uprawnień naprawczych przewidzianych w art. 58 ust. 2 RODO. Zważywszy, że rozporządzenie to upoważnia organy nadzorcze do nakładania kar pieniężnych, czasami bardzo wysokich, wydaje się właściwe uściślenie, w interesie pewności prawa, jakie okoliczności uzasadniają stosowanie tego środka naprawczego. Niniejszą opinię należy zatem rozumieć jako wkład w realizację tegoż celu.
26. Opinia w niniejszej sprawie jest niejako kontynuacją tematu poruszanego w mojej opinii w sprawach połączonych C‑26/22 i C‑64/22 (SCHUFA Holding) (zwanymi dalej „sprawami SCHUFA”)(3). Podczas gdy w tych sprawach wyjaśniłem, jakie są obowiązki spoczywające na organie nadzorczym w ramach rozpatrywania skargi wniesionej na podstawie art. 77 RODO, w niniejszej sprawie odniosę się do jego obowiązków w przypadku stwierdzenia naruszenia ochrony danych osobowych, a także do jego uprawnień naprawczych, w szczególności do nakładania administracyjnych kar pieniężnych. Następnie zbadam kwestię, czy RODO przewiduje obowiązek nałożenia przez organ nadzorczy takiej kary pieniężnej we wszystkich przypadkach czy przynajmniej wówczas, gdy skarżący wyraźnie tego żąda. Na podstawie podsumowania mojej analizy udzielę odpowiedzi na przedstawione przez sąd odsyłający pytanie dotyczące możliwości odstąpienia przez organ nadzorczy od przyjęcia środków naprawczych.
B. W przedmiocie dopuszczalności odesłania prejudycjalnego
27. Przed zbadaniem wszystkich tych aspektów należy jednak odnieść się do argumentu TR dotyczącego niedopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym. Dokładniej rzecz ujmując, TR argumentuje, że odpowiedź na zadane pytanie nie jest niezbędna dla rozstrzygnięcia sporu w postępowaniu głównym. Jego skarga zmierza wyłącznie do tego, by sąd odsyłający nakazał HBDI rozstrzygnięcie w przedmiocie zarzutów podniesionych we wniesionej do niego skardze, nie zaś do tego, by nakazał HBDI użycie uprawnień przyznanych na mocy art. 58 ust. 2 RODO.
28. W tym względzie należy przypomnieć, że w ramach współpracy między Trybunałem a sądami krajowymi, ustanowionej na mocy art. 267 TFUE, jedynie do sądu krajowego, przed którym zawisł spór i na którym spoczywa odpowiedzialność za przyszły wyrok, należy, przy uwzględnieniu okoliczności konkretnej sprawy, zarówno ocena, czy dla wydania wyroku niezbędne jest uzyskanie orzeczenia prejudycjalnego, jak również ocena znaczenia pytań, z którymi zwraca się do Trybunału. W związku z tym, jeśli postawione pytania dotyczą wykładni prawa Unii, Trybunał jest co do zasady zobowiązany do wydania orzeczenia(4).
29. Wynika z tego, że pytania dotyczące wykładni prawa Unii, przedstawione przez sąd krajowy w ramach stanu faktycznego i prawnego, za którego ustalenie sąd ten jest odpowiedzialny i którego prawidłowość nie podlega ocenie Trybunału, korzystają z domniemania, że mają znaczenie dla sprawy. Odmowa wydania przez Trybunał orzeczenia w przedmiocie wniosku sądu krajowego jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia prawa Unii, o którą wnioskowano, nie ma żadnego związku ze stanem faktycznym lub przedmiotem sporu przed sądem krajowym, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje elementami stanu faktycznego albo prawnego, które są konieczne do udzielenia użytecznej odpowiedzi na pytania, które zostały mu przedstawione(5).
30. W rozpoznawanej sprawie sąd odsyłający uściślił – wyraźnie przedstawiając powody, dla których ma wątpliwości co do wykładni przepisów prawa Unii, o których mowa w jego pytaniu prejudycjalnym, – że odpowiedź na nie jest decydująca dla rozstrzygnięcia sporu w postępowaniu głównym w zakresie, w jakim TR żądał od HBDI podjęcia działania przeciwko kasie oszczędnościowej. Jak wynika z uzasadnienia zawartego we wniosku o wydanie orzeczenia w trybie prejudycjalnym, TR podnosił „prawo” do żądania takiego działania. W szczególności zdaniem TR „HBDI powinien był nałożyć na kasę oszczędnościową kary pieniężne”. W tym kontekście sąd odsyłający odwołuje się do obliczeń sporządzonych przez TR w celu ustalenia wysokości kar pieniężnych, które miałyby zostać nałożone.
31. Wszystkie te informacje, dostarczone przez sam sąd odsyłający, wyraźnie zaprzeczają twierdzeniom TR w przedmiocie rzekomej niedopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym. W świetle tych okoliczności moim zdaniem nie ma wątpliwości, że odpowiedź na pytanie zadane przez sąd odsyłający jest niezbędna dla rozstrzygnięcia sporu. Wydaje się ono bowiem istotne dla ustalenia zakresu uprawnień organu nadzorczego oraz jego obowiązków wobec skarżącego. W konsekwencji należy stwierdzić dopuszczalność wniosku o wydanie orzeczenia w trybie prejudycjalnym.
C. Analiza pytania prejudycjalnego
32. Jeśli chodzi o istotę, pytanie prejudycjalne zmierza zasadniczo do ustalenia, jakie są obowiązki organu nadzorczego w przypadku stwierdzenia naruszenia ochrony danych osobowych. Taka sytuacja zakłada zasadniczo, że rozpatrywane naruszenie zostało stwierdzone w ramach postępowania wyjaśniającego wszczętego na skutek skargi.
33. Stwierdzenia sądu odsyłającego wskazują na kilka nieścisłości w odniesieniu do obowiązków, jakie RODO nakłada na organ nadzorczy przy rozpatrywaniu skargi, co moim zdaniem można wytłumaczyć faktem, że wniosek o wydanie orzeczenia w trybie prejudycjalnym został przedstawiony przed ogłoszeniem wyroku SCHUFA(6), w którym Trybunał przedstawił szereg istotnych zasad regulujących postępowanie skargowe. Można zatem w sposób rozsądny przypuszczać, że sąd odsyłający nie miał możliwości zapoznania się z tym orzecznictwem.
34. W celu przedstawienia, w sposób możliwie najbardziej kompletny, ram prawnych dotyczących systemu nadzoru ustanowionego w RODO oraz w celu udzielenia użytecznej odpowiedzi sądowi odsyłającemu, wydaje się, że w pierwszej kolejności należy przypomnieć, jakie są zasady mające zastosowanie do postępowania skargowego(7), a w drugiej kolejności wyjaśnić(8), w jaki sposób organ nadzorczy winien postępować w przypadku, gdy stwierdził naruszenie ochrony danych osobowych(9).
1. W przedmiocie obowiązków organu nadzorczego przy rozpatrywaniu skargi
35. Jak wskazał Trybunał w wyroku SCHUFA, zgodnie z art. 8 ust. 3 Karty oraz z art. 51 ust. 1 i z art. 57 ust. 1 lit. a) RODO krajowe organy nadzorcze są odpowiedzialne za kontrolę przestrzegania przepisów Unii dotyczących ochrony osób fizycznych w związku z przetwarzaniem danych osobowych(10).
36. W szczególności zgodnie z art. 57 ust. 1 lit. f) RODO każdy organ nadzorczy jest zobowiązany na swoim terytorium rozpatrzyć skargi, które mogą zostać skierowane zgodnie z art. 77 ust. 1 tego rozporządzenia przez każdą osobę, jeżeli ta sądzi, że przetwarzanie dotyczących jej danych osobowych narusza to rozporządzenie, i przeanalizować w koniecznym zakresie ich przedmiot(11).
37. Organ nadzorczy jest zobowiązany do rozpatrzenia tej skargi z zachowaniem wymaganej staranności. Trybunał wskazał również, że do celów rozpatrywania wniesionych skarg art. 58 ust. 1 RODO przyznaje każdemu organowi nadzorczemu daleko idące uprawnienia w zakresie prowadzonych w tym kontekście postępowań(12).
38. W tym kontekście należy zauważyć, że Trybunał potwierdził wykładnię zaproponowaną przeze mnie w opinii przedstawionej w sprawie SCHUFA, zgodnie z którą postępowanie skargowe, które nie jest zbliżone do postępowania w sprawie petycji, pomyślano jako mechanizm umożliwiający skuteczną ochronę praw i interesów osób, których dane dotyczą(13).
39. Poza tym należy zauważyć, że Trybunał podzielił również moją wykładnię art. 78 ust. 1 RODO, uznawszy, że wydana przez organ nadzorczy decyzja w sprawie skargi podlega pełnej kontroli sądowej(14).
2. W przedmiocie obowiązków organu nadzorczego przy stwierdzeniu naruszenia ochrony danych osobowych
40. W przypadku gdy organ nadzorczy podczas rozpatrywania skargi stwierdzi naruszenie ochrony danych osobowych, powstaje pytanie, jak powinien postępować. Jak wyjaśnię poniżej, takie stwierdzenie ustanawia przede wszystkim dla organu nadzorczego obowiązek podjęcia działań w interesie zasady legalności. Ogólnie rzecz ujmując, chodzi o określenie środka lub środków naprawczych najodpowiedniejszych w celu zaradzenia naruszeniu(15). Ta wykładnia wydaje się uzasadniona, mając na względzie, że art. 57 ust. 1 lit. a) RODO powierza organowi nadzorczemu zadanie „monitorowania i egzekwowania stosowania rozporządzenia”. Byłoby niezgodne z tym zadaniem, gdyby organ nadzorczy mógł zwyczajnie zignorować stwierdzone naruszenie(16).
41. Ponadto uprawnienia przysługujące organowi nadzorczemu w zakresie prowadzonych postępowań na podstawie art. 58 ust. 1 RODO byłyby niewiele warte, gdyby organ nadzorczy był zmuszony ograniczać się do prowadzenia postępowania pomimo stwierdzenia naruszenia praw dotyczących ochrony danych osobowych. Wykonywanie prawa Unii w dziedzinie ochrony danych osobowych stanowi bowiem zasadniczy element pojęcia „kontroli”, o której mowa w art. 16 ust. 2 TFUE i w art. 8 ust. 3 Karty(17). W tym kontekście nie można zapominać, że organ nadzorczy działa również w interesie osoby lub podmiotu, którego prawa zostały naruszone. W tym względzie należy zauważyć, że art. 57 ust. 1 lit. f) i art. 77 ust. 2 RODO nakładają pewne obowiązki wobec skarżącego, a mianowicie „informowania go o postępach i wynikach tych postępowań”.
42. To ostatnie zdanie oznacza, że organ nadzorczy musi również informować o środkach przyjętych w związku ze stwierdzonym przez niego naruszeniem ochrony danych osobowych. Oczywiste jest, że postępowanie skargowe byłoby bezużyteczne, gdyby organ nadzorczy mógł pozostać bierny w obliczu sytuacji prawnej sprzecznej z prawem Unii. Z tego powodu, w celu zapewnienia organowi nadzorczemu skutecznego środka radzenia sobie z tego typu naruszeniami, art. 58 ust. 2 RODO przewiduje katalog środków naprawczych, stopniowanych w zależności od intensywności działania. Obowiązek podjęcia działań w każdym przypadku, niezależnie od wagi naruszenia, oznacza, że organ nadzorczy musi korzystać z tegoż katalogu środków naprawczych w celu przywrócenia stanu zgodnego z prawem Unii(18).
3. W przedmiocie uprawnień naprawczych przysługujących organowi nadzorczemu
43. W tym kontekście należy uściślić, że kwestię, czy organ musi podjąć działanie w przypadku naruszenia ochrony danych osobowych, należy wyraźnie odróżnić od kwestii, w jaki sposób konkretnie musi on działać. Co się tyczy tej drugiej kwestii, istnieje kilka przesłanek wskazujących na to, że organ nadzorczy dysponuje zakresem uznania, z którego musi wszakże korzystać zgodnie z celami RODO oraz w granicach tamże ustalonych. Chociaż przedstawiłem już kilka argumentów na poparcie takiej wykładni w sprawach SCHUFA(19), wydaje się jednak konieczne poruszenie tej kwestii w niniejszej opinii w sposób dogłębny.
44. Na wstępie należy zauważyć, że zgodnie z art. 58 ust. 2 RODO organowi nadzorczemu „przysługują uprawnienia” do przyjęcia wszystkich środków naprawczych wymienionych w tymże przepisie, co oznacza istnienie możliwości, jak słusznie zauważa sąd odsyłający. Ta konotacja jest zresztą widoczna we wszystkich wersjach językowych, które zbadałem w ramach mojej analizy(20).
45. Wykładni art. 58 ust. 2 RODO należy dokonywać w świetle motywu 129 tego rozporządzenia, z którego wynika, że „każdy środek [musi] być odpowiedni, niezbędny i proporcjonalny, aby zapewnić przestrzeganie niniejszego rozporządzenia, z uwzględnieniem okoliczności danej sprawy” (wyróżnienie własne). Innymi słowy, przyznane organowi nadzorczemu „uprawnienie” do korzystania z katalogu środków naprawczych, o którym mowa w tym przepisie, uzależnione jest od spełnienia szeregu warunków, w szczególności tego, by środek przyjęty przez ten organ był „odpowiedni”. Interpretuję to nieostre pojęcie prawne, przyznające organowi zakres uznania, w ten sposób, że wybrany środek musi być w stanie, ze względu na swoje właściwości i swój sposób działania, przywrócić stan zgodny z prawem Unii(21).
46. Wykładnia ta wpisuje się w jednolitą linię orzeczniczą Trybunału, który orzekł, że jeżeli organ nadzorczy stwierdzi, iż przetwarzanie danych osobowych stanowiło naruszenie RODO, „jest on zobowiązany zareagować w odpowiedni sposób, aby zaradzić stwierdzonemu brakowi ochrony”(22). Jak zauważa Komisja, obowiązek wiążący organ nadzorczy dotyczy zatem przede wszystkim rezultatu, który ma zostać osiągnięty, a mianowicie zaradzeniu stwierdzonemu naruszeniu poprzez przyjęcie w tym celu „odpowiedniego” środka. Ponadto należy zauważyć, że decyzja dotycząca środka, który należy przyjąć, zależy od konkretnych okoliczności każdej rozpatrywanej sprawy, co wyraźnie wynika ze wspomnianego motywu 129 RODO. W konsekwencji decyzje podejmowane przez organ nadzorczy w ramach jego praktyki administracyjnej mogą znacznie się różnić w poszczególnych sprawach, w zależności od sytuacji.
47. W zakresie, w jakim art. 58 ust. 2 RODO ogranicza się do wskazania, że każdy organ nadzorczy „dysponuje uprawnieniami” do przyjęcia wszystkich środków naprawczych wymienionych w tymże przepisie, organ nadzorczy korzysta ze swobody wyboru, ponieważ co do zasady może on wybierać spośród tych środków naprawczych w celu zaradzenia stwierdzonemu naruszeniu. Jak podkreślił Trybunał w wyroku wydanym w sprawie C‑311/18 (Facebook Ireland i Schrems), „dokonanie wyboru odpowiedniego i niezbędnego środka należy do organu nadzorczego”, który powinien go dokonać, uwzględniając wszystkie okoliczności konkretnego przypadku(23).
48. Uznanie uprawnień dyskrecjonalnych pociąga również za sobą, moim zdaniem, uznanie uprawnienia do nieprzyjęcia żadnego ze środków naprawczych, o których mowa w art. 58 ust. 2 RODO, jeżeli takie podejście jest uzasadnione szczególnymi okolicznościami danego przypadku. Zważywszy bowiem, że skorzystanie z katalogu środków naprawczych jest również uzależnione od warunku, by dany środek był „niezbędny”, aby zapewnić przestrzeganie tego rozporządzenia, nie można wykluczyć, że podjęcie konkretnego działania przez organ nadzorczy nie spełnia tego warunku, jeżeli na przykład problem w międzyczasie został rozwiązany lub przezwyciężony i naruszenie przestało istnieć. Oczywiste jest, że podjęcie działania przez organ nadzorczy w takich okolicznościach byłoby pozbawione sensu.
49. Podobnie, jak słusznie wskazuje rząd portugalski, zastosowanie środków naprawczych może już nie być uzasadnione, jeżeli poziom naganności zachowania administratora lub podmiotu przetwarzającego jest oczywiście niski lub jeżeli okoliczności sprawy same w sobie są łagodzące, w szczególności ponieważ istnieje pewna współodpowiedzialność ze skarżącym. To zaś zakłada, że organ nadzorczy ma możliwość ustalenia progu, poniżej którego podjęcie działania nie jest uznawane za „niezbędne” w rozumieniu RODO.
50. W tym kontekście pragnę zwrócić uwagę na motyw 141 RODO, który wyraźnie wskazuje możliwość podjęcia przez organ nadzorczy decyzji o niepodejmowaniu działania w przypadkach, w których uzna on, że działanie nie jest „niezbędne” w celu zapewnienia ochrony praw osoby, której dane dotyczą („jeśli nie podejmuje działania, choć jest to niezbędne”) (wyróżnienie własne). Motyw ten uściśla, że decyzja organu nadzorczego podlega kontroli sądowej również w przypadku, gdyby skarżący miał nie podzielać oceny organu nadzorczego co do „niezbędności” podjęcia działania poza sytuacjami wymienionymi tamże, a mianowicie jeżeli prawa przyznane mu przez to rozporządzenie są naruszane lub jeżeli organ nadzorczy nie reaguje na skargę, częściowo lub w całości ją odrzuca lub oddala.
51. Uprawnienia dyskrecjonalne przyznane organowi nadzorczemu na podstawie art. 58 ust. 2 RODO skutkują tym, że jest również możliwe zaradzenie niewielkim naruszeniom za pomocą innych środków, przyjętych przez samych administratorów lub podmioty przetwarzające. Jak pokazują okoliczności rozpatrywanej sprawy, środki naprawcze przyjmowane przez odpowiedzialne przedsiębiorstwa w sposób „niezależny” mogą polegać na podjęciu środków dyscyplinarnych względem pracowników, którzy dopuścili się naruszeń. W okolicznościach, w których odpowiedzialność za naruszenie została uznana i zapewniono, że kolejne naruszenie danych osobowych nie będzie miało miejsca, nałożenie dodatkowych środków naprawczych przez organ nadzorczy może wydawać się zbędne.
52. W pewnych okolicznościach może nawet okazać się, że skorzystanie z uprawnień naprawczych wobec administratora, w przypadku gdy nie jest to ani odpowiednie, ani niezbędne, przynosi efekt przeciwny do zamierzonego. Gdyby organ nadzorczy był zobowiązany do korzystania z uprawnień naprawczych przewidzianych w art. 58 ust. 2 RODO w każdym przypadku naruszenia, skutkowałoby to ograniczeniem dostępnych zasobów przeznaczonych do monitorowania innych spraw i zadań, które zasługują na większą uwagę z punktu widzenia ochrony danych. Z tego względu uważam, że stosowanie „niezależnych” środków, przyjętych przez samego administratora, pozwoliłoby organowi nadzorczemu na skoncentrowanie się na poważnych przypadkach, które zasługują na priorytetowe traktowanie, przy jednoczesnym zapewnieniu ciągłej walki z naruszeniami danych osobowych, jednak w sposób zdecentralizowany, a mianowicie poprzez częściowe delegowanie zadań.
53. Nawet jeśli organ nadzorczy zdecyduje się odstąpić od przyjęcia środków naprawczych, o których mowa w art. 58 ust. 2 RODO, wspierając równocześnie korzystanie z „niezależnych” środków przyjmowanych przez administratorów, wydaje się jednak niezbędne spełnienie pewnych wymogów prawnych. W pierwszej kolejności, w celu zapobieżenia obchodzeniu systemu nadzoru ustanowionego w RODO, organ nadzorczy powinien udzielić swojej wyraźnej zgody na taki środek. W drugiej kolejności, w celu niezwalniania organu nadzorczego z jego odpowiedzialności za zapewnienie przestrzegania rozporządzenia, udzielenie owej zgody powinno zostać poprzedzone skrupulatną analizą sytuacji w świetle warunków, o których mowa w motywie 129 RODO. W trzeciej kolejności porozumienie z podmiotem, który musi wykonać „niezależny” środek, powinno przewidywać prawo organu nadzorczego do podjęcia działania, jeśli jego wytyczne nie są przestrzegane. Jeśli Trybunał miałby się przychylić do tej wykładni i uznać, że takie „niezależne” środki są co do zasady zgodne z RODO, uważam, że Trybunał powinien również podkreślić konieczność przestrzegania wspomnianych wymogów w interesie spójności systemu nadzoru.
54. Ponieważ art. 58 ust. 2 RODO przyznaje organowi nadzorczemu uprawnienia dyskrecjonalne w zakresie wyboru „odpowiedniego” środka naprawczego w konkretnym przypadku, logiczne jest wykluczenie prawa skarżącego do żądania przyjęcia określonego środka. Chociaż bowiem skarżący ma pewne prawa wobec organu nadzorczego w ramach tego postępowania, w szczególności prawo do uzyskania w rozsądnym terminie informacji o postępach i wynikach postępowania, to jednak nie obejmują one prawa do żądania przyjęcia konkretnego środka.
55. Takie prawo nie może również zostać wywiedzione z faktu, że skarżący korzysta z prawa do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu na podstawie art. 78 RODO, ponieważ podstawowy obowiązek tego organu względem niego w ramach postępowania skargowego polega na uzasadnieniu w sposób wystarczająco precyzyjny i szczegółowy swojej decyzji w sprawie podjęcia działania w danym przypadku, przy uwzględnieniu ustaleń poczynionych w ramach przeprowadzonego przez organ postępowania.
56. Ponadto należy zauważyć, że zgodnie z art. 78 ust. 2 RODO środek ochrony prawnej przed sądem może zostać wniesiony ze względu na to, że właściwy organ nadzorczy nie rozpatruje skargi lub nie informuje osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi wniesionej zgodnie z art. 77 tego rozporządzenia. Stwierdzić zaś należy, że żaden z wymienionych względów nie wskazuje, by osoba, której dane dotyczą, miała jakiekolwiek prawo podmiotowe do żądania przyjęcia określonego środka w ramach środka ochrony prawnej przed sądem.
57. To samo odnosi się do przewidzianej w motywie 141 RODO możliwości zakwestionowania, w drodze środka ochrony prawnej przed sądem, oceny dokonanej przez organ nadzorczy co do „niezbędności” podjęcia działania w celu ochrony praw osoby, której dane dotyczą. Nawet jeśli „niezbędność” podjęcia działania w konkretnym przypadku miałaby zostać ostatecznie ustalona przez właściwy sąd, niekoniecznie oznacza to, że określony środek powinien zostać przyjęty przez organ nadzorczy. Ten ostatni byłby raczej zobowiązany do wykonywania swoich uprawnień dyskrecjonalnych w stosownym przypadku przy uwzględnieniu oceny dokonanej przez ów sąd.
58. Niemniej należy uściślić, że nie można wykluczyć, iż organ nadzorczy, jako organ administracyjny, zostanie zmuszony do przyjęcia określonego środka ze względu na szczególne okoliczności danej sprawy, w szczególności gdy istnieje poważne ryzyko naruszenia praw podstawowych osoby, której dane dotyczą. Wspomniałem dokładnie o tym scenariuszu w mojej opinii w sprawach SCHUFA(24). Rozpatrywany wniosek o wydanie orzeczenia w trybie prejudycjalnym daje zatem możliwość rozwinięcia tego tematu.
59. W tym względzie należy przypomnieć przede wszystkim wyrok wydany w sprawie C‑311/18 (Facebook Ireland i Schrems), w którym Trybunał wskazał, że taka sytuacja może rzeczywiście zaistnieć. Dokładniej rzecz ujmując, Trybunał orzekł, że organ nadzorczy jest zobowiązany, w stosownym przypadku, przyjąć niektóre środki wymienione w art. 58 ust. 2 RODO, i to w szczególności, gdy uzna, że nie można zapewnić wymaganej przez unijne prawo ochrony przy pomocy innych środków. W konsekwencji w tym zakresie uprawnienia dyskrecjonalne organu nadzorczego ograniczają się do niektórych, a nawet, w stosownym wypadku, do jednego ze środków, o których mowa w tym przepisie(25).
60. Jak słusznie wskazuje rząd austriacki, może istnieć wiele podobnych przypadków, które wymagają przyjęcia określonego środka naprawczego, takich jak na przykład sytuacja, gdy organ nadzorczy stwierdza w ramach postępowania skargowego, że istnieje obowiązek usunięcia danych, a administrator jeszcze danych nie usunął. W opisanej sytuacji organ nadzorczy będzie zobowiązany w każdym razie zgodnie z art. 58 ust. 2 lit. g) RODO do nakazania ich usunięcia.
61. Przykłady wymienione w powyższych punktach pokazują, że nie można wykluczyć, że w zależności od szczególnych okoliczności danej sprawy przywrócenie stanu zgodnego z prawem Unii może zostać osiągnięte jedynie poprzez przyjęcie określonego środka naprawczego. W szczególności wydaje się, że w okolicznościach, w których w przeciwnym razie istniałoby ryzyko poważnego naruszenia praw osoby, której dane dotyczą, uprawnienia dyskrecjonalne organu nadzorczego mogłyby zostać ograniczone do przyjęcia jedynego, odpowiedniego środka w celu ochrony praw tej osoby.
62. Każda inna wykładnia byłaby, moim zdaniem, niezgodna z obowiązkiem zapewnienia poszanowania praw podstawowych zawartych w Karcie, którymi związane są organy państw członkowskich zgodnie z art. 51 ust. 1 Karty w zakresie, w jakim stosują one prawo Unii. Obowiązek ten spoczywa również na organach nadzorczych, jak to wynika z art. 58 ust. 4 RODO(26). W tym kontekście uzasadnione jest popieranie tezy, że prawo Unii przyznaje osobie, której dane dotyczą, prawo podmiotowe do żądania, by organ przyjął dany środek. Pragnę jednak podkreślić, że w rozpatrywanej sprawie nie widzę żadnych przesłanek, by warunki takiego ograniczenia uprawnień dyskrecjonalnych organu nadzorczego były spełnione.
63. Podsumowując, należy zatem stwierdzić, że organ nadzorczy rozpatrujący skargę na podstawie art. 77 RODO jest zobowiązany, jeżeli stwierdzi naruszenie praw osoby, której dane dotyczą, zareagować w odpowiedni sposób, aby zaradzić stwierdzonemu i ciągłemu brakowi ochrony oraz zapewnić ochronę praw osoby, której dane dotyczą. W przypadku gdy organ nadzorczy podejmuje działanie w tym zakresie, zobowiązany jest do wyboru spośród uprawnień, o których mowa w art. 58 ust. 2 tego rozporządzenia, odpowiedniego, niezbędnego i proporcjonalnego środka. Owe uprawnienia dyskrecjonalne w zakresie wyboru środków są odpowiednio ograniczone, jeżeli wymagana ochrona może zostać zapewniona wyłącznie w drodze przyjęcia określonych środków.
4. W przedmiocie braku obowiązku nałożenia przez organ nadzorczy administracyjnych kar pieniężnych we wszystkich przypadkach
64. Po tym ogólnym przedstawieniu uprawnień naprawczych, jakimi dysponuje organ nadzorczy, należy zbadać kwestię, czy organ nadzorczy jest zobowiązany do nakładania administracyjnych kar pieniężnych we wszystkich przypadkach. Chociaż niektóre aspekty tej kwestii można wyjaśnić na podstawie powyższych uwag, wydaje się, że niezbędnych jest kilka dodatkowych wyjaśnień. Mianowicie, o ile prawodawca Unii zaliczył administracyjne kary pieniężne do „środków naprawczych” zgodnie z art. 58 ust. 2 RODO, o tyle mają one pewne cechy szczególne w porównaniu z pozostałymi środkami. Z tego względu w tej części analizy skupię się na szczegółowych regulacjach, o których mowa w art. 58 ust. 2 lit. i) oraz w art. 83 tego rozporządzenia.
65. Jak to ostatnio przypomniał Trybunał, administracyjna kara pieniężna wpisuje się w system sankcji ustanowiony w RODO, stanowiący zachętę dla administratorów i podmiotów przetwarzających do przestrzegania tego rozporządzenia. Ze względu na swój skutek odstraszający administracyjne kary pieniężne przyczyniają się do wzmocnienia ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, a zatem stanowią kluczowy element dla zagwarantowania poszanowania praw tych osób zgodnie z celem wspomnianego rozporządzenia, jakim jest zapewnienie wysokiego poziomu ochrony takich osób w zakresie przetwarzania danych osobowych(27).
66. Artykuł 83 RODO przewiduje dwupoziomowy system, wyraźnie wskazując, że niektóre naruszenia są poważniejsze niż inne. Pierwszy poziom obejmuje naruszenie artykułów regulujących odpowiedzialność różnych podmiotów (administratora, podmiotu przetwarzającego, podmiotu certyfikującego itd.). Drugi poziom obejmuje naruszenia praw podmiotowych chronionych przez to rozporządzenie, takich jak prawa podstawowe, podstawowe zasady przetwarzania danych, prawa do informacji przysługujące osobom, których dane dotyczą, zasady przekazywania itd. Na obu poziomach należy dokonać dwóch ocen: po pierwsze – w celu podjęcia decyzji, czy należy nałożyć karę pieniężną, a po drugie – w celu podjęcia decyzji o wysokości administracyjnej kary pieniężnej. Przy dokonywaniu obu ocen organy nadzorcze muszą rozważyć wszystkie poszczególne czynniki wymienione w art. 83 ust. 2 wspomnianego rozporządzenia. Wnioski sformułowane na pierwszym etapie mogą jednak zostać wykorzystane na drugim etapie, dotyczącym wysokości kary pieniężnej, aby uniknąć konieczności dokonywania powtórnej oceny na podstawie tych samych kryteriów(28).
67. Po powyższych wstępnych wyjaśnieniach poniżej przeanalizuję kwestię dotyczącą ewentualnego obowiązku nakładania administracyjnych kar pieniężnych we wszystkich przypadkach. W tym względzie należy najpierw zauważyć, że art. 58 ust. 2 lit. i) RODO stanowi, iż organ nadzorczy może nałożyć administracyjną karę pieniężną „zależnie od okoliczności konkretnej sprawy”. Przepis ten należy interpretować w związku z art. 83 ust. 2 tego rozporządzenia, który przewiduje nie tylko to samo ograniczenie w stosowaniu takiego środka naprawczego, lecz sugeruje, że organ nadzorczy może nawet odstąpić od uczynienia tego („decydując, czy nałożyć administracyjną karę pieniężną”) (wyróżnienie własne), jeżeli okoliczności uzasadniają takie podejście. Sformułowanie to występuje – w słowach bardziej lub mniej podobnych – w innych wersjach językowych(29). Podsumowując, samo brzmienie art. 83 ust. 2 RODO wskazuje, że nałożenie administracyjnej kary pieniężnej nie jest obowiązkowe we wszystkich przypadkach.
68. Ponadto należy zauważyć, że przepis ten nakłada na organ nadzorczy obowiązek uwzględniania, w każdym indywidualnym przypadku, szeregu czynników w celu podjęcia decyzji, czy należy nałożyć administracyjną karę pieniężną. Chodzi tu zasadniczo o czynniki – obciążające lub łagodzące – które wpływają na decyzję organu nadzorczego, takie jak charakter, waga i czas trwania naruszenia, ale także czynniki związane z zachowaniem administratora, jak umyślny lub nieumyślny charakter naruszenia(30).
69. W tym kontekście zdania drugie i trzecie motywu 148 RODO wydają mi się istotne dla celów wykładni art. 83 ust. 2 tego rozporządzenia, gdyż zawierają one wskazówki co do okoliczności, które należy uwzględnić przy podejmowaniu decyzji. Skutkiem tego motywu jest wprowadzenie pojęcia „niewielkiego naruszenia”, pociągającego za sobą znaczące konsekwencje dla praktyki administracyjnej organu nadzorczego(31). Stanowią one, między innymi, że „[j]eżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia” (wyróżnienie własne).
70. Moim zdaniem wskazówka ta prowadzi do wniosku, że prawodawca Unii był świadom faktu, że administracyjna kara pieniężna stanowi szczególnie surowy środek naprawczy, którego nie należy stosować we wszystkich przypadkach, gdyż w przeciwnym wypadku zmniejszy się jego skuteczność, lecz jedynie w przypadku gdy wymagają tego okoliczności konkretnej sprawy. Motyw 148 RODO nawiązuje bowiem do zasady proporcjonalności, której organy nadzorcze winny przestrzegać przy stosowaniu tego rozporządzenia, w szczególnym kontekście sankcji, w tym administracyjnych kar pieniężnych. Jak już wskazałem w mojej analizie, zasada ta znajduje odzwierciedlenie w motywie 129 wspomnianego rozporządzenia, który dotyczy ogólnie przyjmowania środków naprawczych(32). System sankcji, do którego ustanowienia dążył prawodawca Unii, jest więc elastyczny i zróżnicowany(33).
71. Z wykładni wspomnianego art. 83 ust. 2 w związku z motywem 148 RODO wynika, że nawet wobec stwierdzenia naruszenia ocena kryteriów wskazanych w tymże przepisie może doprowadzić organ nadzorczy do uznania, że na przykład w konkretnych okolicznościach danej sprawy naruszenie nie stanowi poważnego zagrożenia dla praw osoby, której dane dotyczą, oraz że nie wpływa ono na istotę danego obowiązku. W takich przypadkach kara pieniężna jest czasami – choć nie zawsze – zastępowana udzieleniem upomnienia(34).
72. Należy jednak uściślić, że motyw 148 nie nakłada na organ nadzorczy obowiązku zastąpienia z urzędu kary pieniężnej udzieleniem upomnienia w przypadku niewielkiego naruszenia, lecz daje mu możliwość, by to zrobił po dokonaniu konkretnej oceny wszystkich okoliczności sprawy. Wreszcie, z motywu 148 wynika, że organ nadzorczy może odstąpić od nałożenia kary pieniężnej, nawet jeśli zastosowanie takiego środka naprawczego byłoby a priori niezbędne na podstawie dokonanej przez niego oceny, jeżeli owa kara pieniężna stanowi dla osoby fizycznej nieproporcjonalne obciążenie(35).
73. A zatem okoliczności konkretnej sprawy, o których mowa w art. 83 ust. 2 RODO, ostatecznie decydują o tym, czy należy nałożyć karę pieniężną, a w razie odpowiedzi twierdzącej – o jej wysokości. Wszystkie te wskazówki potwierdzają moje stanowisko, że w rezultacie decyzja ta stanowi dyskrecjonalną decyzję organu nadzorczego(36). Ten ostatni jest odpowiedzialny za wykonywanie, w sposób sumienny i zgodny z wymogami RODO, przyznanych mu uprawnień dyskrecjonalnych. Ograniczenia tychże uprawnień dyskrecjonalnych wynikają z zasad ogólnych prawa Unii oraz z prawa państw członkowskich, w szczególności z zasady równego traktowania. Wynika stąd konieczność wypracowania praktyki administracyjnej nakładania kar pieniężnych, która traktuje podobne przypadki w porównywalny sposób.
74. Chciałbym również zaznaczyć, że w przypadku kumulatywnego nakładania sankcji pieniężnych o charakterze karnym istnieje wręcz ryzyko naruszenia zasady „ne bis in idem”, zgodnie z jej wykładnią dokonaną przez Trybunał, jak to wynika z motywu 149 RODO. Tymczasem zasada ta stanowi prawo podstawowe, które podlega ochronie na mocy art. 50 Karty i może być ograniczone wyłącznie pod ścisłymi warunkami, o których mowa w art. 52 Karty. Innymi słowy, bariery o charakterze prawnym mogą również stanowić przeszkodę w nakładaniu administracyjnych kar pieniężnych.
5. W przedmiocie braku obowiązku nałożenia przez organ nadzorczy administracyjnych kar pieniężnych, w przypadku gdy skarżący wyraźnie tego żąda
75. Ostatni aspekt, który należy zbadać, dotyczy kwestii, czy organ nadzorczy jest zobowiązany do nałożenia administracyjnych kar pieniężnych, w przypadku gdy skarżący wyraźnie tego żąda. Jak zaznaczałem przy badaniu dopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym, z akt sprawy wynika, że TR wystąpił do HBDI z żądaniem podjęcia działania przeciwko kasie oszczędnościowej i nałożenia na nią administracyjnych kar pieniężnych. Na poparcie swego żądania TR wykonał obliczenia w celu określenia wysokości kar pieniężnych, które miałyby być nałożone(37). Żądanie to najwyraźniej opiera się na przeświadczeniu, że skarżącemu przysługuje względem organu nadzorczego prawo podmiotowe do żądania podjęcia konkretnego środka. Jednakże, jak wyjaśnię poniżej, uważam, że stanowisko to pozbawione jest jakiejkolwiek podstawy prawnej.
76. Po pierwsze, moja analiza wykazała, że organowi nadzorczemu przysługują uprawnienia dyskrecjonalne w zakresie dokonania wyboru odpowiedniego środka w każdym indywidualnym przypadku. Z zastrzeżeniem szczególnych okoliczności mogących prowadzić do ograniczenia tychże uprawnień dyskrecjonalnych, takich jak waga lub uporczywe skutki naruszenia danych osobowych – które nie wydają się występować w niniejszej sprawie – organ nadzorczy zachowuje te uprawnienia dyskrecjonalne. Biorąc pod uwagę fakt, że administracyjne kary pieniężne należą do środków naprawczych, które może przyjmować organ nadzorczy na podstawie art. 58 ust. 2 RODO, logiczne jest wyciągnięcie wniosku, że owe uprawnienia dyskrecjonalne rozciągają się również na nie. Wynika z tego, że nie istnieje jakikolwiek obowiązek organu nadzorczego do działania w interesie skarżącego w drodze przyjęcia określonego środka naprawczego.
77. Po drugie, nawet w sytuacji, gdyby okoliczności rozpatrywanej sprawy były na tyle odmienne, że uzasadniałyby przyjęcie konkretnego środka naprawczego, wydaje się, że nie można byłoby skutecznie podnosić, iż nałożenie administracyjnej kary pieniężnej byłoby niezbędne. Podobnie jak rząd austriacki uważam, że należy uwzględnić cele różnych środków naprawczych wymienionych w art. 58 ust. 2 RODO, a w szczególności administracyjnej kary pieniężnej. Dokładniej rzecz ujmując, wydaje się, że jej charakter prawny sprzeciwia się uznaniu prawa podmiotowego osoby, której dane dotyczą, w wyżej wymienionym znaczeniu, ponieważ jednym z celów tego środka jest ukaranie za zachowanie uznane za sprzeczne z prawem Unii. Uważam, że ze względu na jej funkcję represyjną, przynajmniej w niektórych sytuacjach(38), oraz biorąc pod uwagę wysoki stopień surowości, jaki może wykazywać, administracyjna kara pieniężna może mieć charakter karny(39). Tymczasem należy przypomnieć, że prawo do karania („ius puniendi”) należy wyłącznie do państwa i do jego organów.
78. W tym kontekście należy zauważyć, że art. 83 ust. 1 RODO wymaga między innymi, by kary pieniężne były w każdym indywidualnym przypadku „skuteczne, proporcjonalne i odstraszające”. Ocena kwestii, czy planowana kara pieniężna spełnia te warunki w danym przypadku, należy do organu nadzorczego, który działa na własną odpowiedzialność. Na nim spoczywa obowiązek podjęcia decyzji, czy zastosowanie instrumentu w postaci administracyjnej kary pieniężnej jest w danym przypadku właściwe. W tym celu prawodawca Unii dostarcza mu szczegółowe ramy prawne. W rezultacie art. 83 RODO ustanawia ogólne warunki nakładania takich kar pieniężnych, które uzupełniane są wytycznymi w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów RODO, opracowanymi przez EROD, zgodnie z art. 70 ust. 1 lit. k) rozporządzenia. W tym względzie należy zauważyć, że żaden z tych przepisów i żadna z tych wytycznych nie pozwalają na wyciągnięcie wniosku, że skarżący, którego prawa zostały naruszone, korzysta ze szczególnego statusu prawnego pozwalającego mu na żądanie, by organ nadzorczy nałożył administracyjną karę pieniężną na podmiot, który dopuścił się naruszenia.
79. Wprawdzie niektóre kryteria, o których mowa w art. 83 ust. 2 RODO – takie jak rozmiar poniesionej szkody – sugerują, że organ nadzorczy przy podejmowaniu decyzji musi również uwzględnić sytuację osoby, której dane dotyczą. Jednakże owe kryteria same w sobie nie stanowią przesłanki wystarczającej do ustalenia istnienia prawa podmiotowego do żądania nałożenia kary pieniężnej. Jak wynika z wykładni tego przepisu, rozpatrywanego w świetle motywu 75 tego rozporządzenia, celem wspomnianych kryteriów jest dostarczenie organowi nadzorczemu użytecznych elementów pozwalających mu na ocenę charakteru, wagi i czasu trwania naruszenia oraz na dokonanie wyboru odpowiedniego środka naprawczego(40). W konsekwencji, w zależności od każdej konkretnej sprawy, organ nadzorczy może rozważać różne środki naprawcze – a nie jedynie administracyjną karę pieniężną – przy czym osoba, której dane dotyczą, nie może żądać przyjęcia określonego środka. Wyłącznie do organu nadzorczego należy decyzja, czy należy przyjąć środek w celu przywrócenia przestrzegania przepisów lub ukarania za bezprawne zachowanie.
80. Po trzecie, innego wniosku nie można również wyciągnąć z faktu, że prawodawca Unii określił rolę organu nadzorczego w systemie kar pieniężnych stworzonym przez RODO, wzorując się na uprawnieniach, które posiada Komisja w dziedzinie prawa konkurencji(41). W tym względzie należy przypomnieć, że uprawnienia tej instytucji do nakładania grzywien na przedsiębiorstwa, które dopuściły się naruszeń w rozumieniu art. 101 i 102 TFUE, stanowią jeden z instrumentów przyznanych jej w celu umożliwienia realizacji zadań kontrolnych, które zostały jej powierzone przez prawo Unii(42). Jednakże należy zaznaczyć, że Komisja dysponuje uprawnieniami dyskrecjonalnymi, których wykonywanie jest ograniczone jedynie przestrzeganiem ogólnych zasad prawa Unii, w tym zasad proporcjonalności i równego traktowania(43). Ponadto należy zauważyć, że rozporządzenie (WE) nr 1/2003 w sprawie wprowadzenia w życie reguł konkurencji(44)nie przewiduje prawa do żądania nałożenia grzywien na podstawie art. 23 dla wnioskodawców lub osób trzecich, na których interesy może mieć wpływ decyzja w ramach postępowania administracyjnego wszczętego przez Komisję(45), przy czym na podstawie art. 27 tego rozporządzenia ta ostatnia jest jedynie zobowiązana do uwzględniania ewentualnych wniosków o wysłuchanie, przedstawionych przez nich przed przyjęciem decyzji.
81. Na podstawie przedstawionych okoliczności uważam, że w obecnym stanie rozwoju prawa Unii nie jest możliwe stwierdzenie, że skarżący, którego prawa zostały naruszone, ma prawo podmiotowe do żądania nałożenia administracyjnej kary pieniężnej. Pozostaje to bez uszczerbku dla możliwości zaproponowania zastosowania takiego środka naprawczego przy okazji przedstawienia argumentów i dowodów na poparcie swojego stanowiska. Ostateczna decyzja objęta jest jednak uprawnieniami dyskrecjonalnymi organu nadzorczego.
D. Podsumowanie analizy pytania prejudycjalnego
82. Z powyższej analizy wynika, że organ nadzorczy ma obowiązek podjęcia działania w przypadku stwierdzenia, w ramach rozpatrywania skargi, naruszenia danych osobowych. W szczególności jest on zobowiązany do określenia środka lub środków naprawczych najodpowiedniejszych dla zaradzenia naruszeniu i zapewnienia przestrzegania praw osoby, której dane dotyczą. W tym względzie RODO wymaga, pozostawiając pewne uprawnienia dyskrecjonalne organowi nadzorczemu, by środki były odpowiednie, niezbędne i proporcjonalne. Pod pewnymi warunkami organ nadzorczy może zrezygnować ze środków, o których mowa w art. 58 ust. 2 tego rozporządzenia, na rzecz „niezależnych” środków podejmowanych przez samego administratora. W każdym razie osoba, której dane dotyczą, nie ma prawa żądania przyjęcia określonego środka. Zasady te mają zastosowanie również do systemu administracyjnych kar pieniężnych.
VI. Wnioski
83. W świetle powyższych rozważań proponuję, aby na pytanie prejudycjalne przedstawione przez Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy) Trybunał udzielił następującej odpowiedzi:
Artykuł 57 ust. 1 lit. a) i f) i art. 58 ust. 2 lit. a)–j) w związku z art. 77 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)
należy interpretować w ten sposób, że:
w przypadku stwierdzenia przez organ nadzorczy, iż przetwarzanie danych narusza prawa osoby, której dane dotyczą, jest on zobowiązany do podjęcia działania zgodnie z art. 58 ust. 2 rozporządzenia 2016/679 w zakresie, w jakim jest to niezbędne dla zapewnienia pełnego przestrzegania tego rozporządzenia. W tym względzie jest on zobowiązany do wyboru, z uwzględnieniem konkretnych okoliczności danego przypadku, środka odpowiedniego, niezbędnego i proporcjonalnego, w szczególności w celu zaradzenia naruszeniu i zapewnienia przestrzegania praw osoby, której dane dotyczą.