Věc C‑768/21

TR

v.

Land Hessen

(žádost o rozhodnutí o předběžné otázce, kterou podal Verwaltungsgericht Wiesbaden)

Rozsudek Soudního dvora (prvního senátu) ze dne 26. září 2024

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 57 odst. 1 písm. a) a f) – Úkoly dozorového úřadu – Článek 58 odst. 2 – Nápravná opatření – Správní pokuta – Prostor dozorového úřadu pro uvážení – Meze“

  1. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Vnitrostátní dozorové úřady – Pravomoci – Přijetí nápravných opatření, včetně správních pokut – Prostor pro uvážení – Meze

    [Nařízení Evropského parlamentu a Rady 2016/679, body 129 a 148 odůvodnění a čl. 57 odst. 1 písm. a) a f), čl. 58 odst. 1 a 2, čl. 77 odst. 1 a článek 83]

    (viz body 33, 37–47, 50, výrok)

  2. Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Právní ochrana – Prostředek soudní ochrany proti rozhodnutí dozorového úřadu o stížnosti – Soudní přezkum – Rozsah – Meze – Neexistence

    (Nařízení Evropského parlamentu a Rady 2016/679, čl. 58 odst. 2 a článek 78)

    (viz bod 49)

Shrnutí

Soudní dvůr, kterému Verwaltungsgericht Wiesbaden (Správní soud ve Wiesbadenu, Německo) předložil žádost o rozhodnutí o předběžné otázce, se vyjádřil k tomu, jaký prostor pro uvážení má dozorový úřad při přijímání nápravných opatření, včetně mimo jiné správní pokuty, v případě prokázaného porušení ustanovení týkajících se ochrany osobních údajů.

Zaměstnankyně Sparkasse, komunální veřejnoprávní instituce provádějící mimo jiné bankovní a úvěrové operace, opakovaně bez oprávnění nahlížela do osobních údajů TR, jednoho z klientů této instituce. Poté, co se TR o tomto nahlížení náhodně dozvěděl, podal stížnost k příslušnému dozorovému úřadu, a sice Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Hesenský pověřenec pro ochranu údajů a svobodu informací, Německo) (dále jen „HBDI“). V této stížnosti poukazoval na to, že ho Sparkasse neinformovala, že došlo k porušení zabezpečení jeho údajů.

Rozhodnutím ze dne 3. září 2020 HBDI informoval TR, že Sparkasse tím, že mu neoznámila porušení zabezpečení jejích osobních údajů, neporušila GDPR ( 1 ), neboť toto porušení nemohlo způsobit vysoké riziko pro práva a svobody TR. HBDI měl dále za to, že není třeba přijímat vůči této instituci nápravná opatření.

TR podal proti tomuto rozhodnutí žalobu k předkládajícímu soudu a domáhal se toho, aby byla HBDI uložena povinnost zasáhnout proti Sparkasse. Na podporu své žaloby mimo jiné uvedl, že HBDI se jeho stížností nezabýval, jak vyžaduje GDPR, a že HBDI měl uložit Sparkasse pokutu.

Vzhledem k tomu, že předkládající soud měl pochybnosti o povinnosti tohoto dozorového úřadu přijmout v projednávané věci nápravná opatření, položil Soudnímu dvoru otázku týkající se výkladu GDPR ( 2 ).

Závěry Soudního dvora

Soudní dvůr nejprve zdůraznil, že GDPR ponechává dozorovému úřadu prostor pro uvážení, pokud jde o způsob, jakým má napravit zjištěné nedostatky, neboť GDPR svěřuje tomuto úřadu různé nápravné pravomoci ( 3 ). Volba vhodného a nezbytného prostředku totiž přísluší dozorovému úřadu, který musí přihlédnout ke všem okolnostem konkrétního případu a s veškerou náležitou péčí zajistit plné dodržování GDPR ( 4 ). Tento prostor pro uvážení je však omezen nutností zajistit soudržnou a vysokou úroveň ochrany osobních údajů důsledným vymáháním práva.

Dále, pokud jde konkrétně o správní pokuty ( 5 ), uvedl Soudní dvůr, že tyto pokuty se ukládají podle okolností každého jednotlivého případu kromě či namísto nápravných opatření. Kromě toho při rozhodování o tom, zda uložit správní pokutu, a při rozhodování o výši správní pokuty v jednotlivých případech musí dozorový úřad řádně zohlednit různé okolnosti, jako je povaha, závažnost a délka trvání porušení ( 6 ).

Systém sankcí upravený unijním normotvůrcem tedy umožňuje dozorovým úřadům ukládat sankce, jež jsou nejvhodnější a odůvodněné podle okolností každého případu, a přihlíží k nezbytnosti zajistit plné dodržování GDPR a zaručit soudržnou a vysokou úroveň ochrany osobních údajů. Z GDPR tedy nelze dovodit, že by dozorový úřad měl povinnost přijmout ve všech případech, pokud konstatuje porušení zabezpečení osobních údajů, nápravné opatření, včetně správní pokuty, jelikož jeho povinností je za takových okolností vhodným způsobem reagovat za účelem nápravy zjištěného nedostatku. Za těchto podmínek nemá stěžovatel, jehož práva byla porušena, subjektivní právo na to, aby dozorový úřad uložil správci správní pokutu.

Nakonec Soudní dvůr upřesnil, že dozorový úřad je nicméně povinen zasáhnout, pokud je přijetí jednoho nebo více nápravných opatření s ohledem na všechny okolnosti konkrétního případu vhodné, nezbytné a přiměřené k nápravě zjištěného nedostatku a k zajištění plného dodržování GDPR. V tomto ohledu není vyloučeno, že dozorový úřad může výjimečně a s ohledem na zvláštní okolnosti konkrétního případu upustit od přijetí nápravného opatření, i když bylo zjištěno porušení zabezpečení osobních údajů. Tak by tomu mohlo být zejména v případě, kdy zjištěné porušení nepokračovalo, například pokud správce, který v zásadě zavedl vhodná technická a organizační opatření ( 7 ), přijal, jakmile se o tomto porušení dozvěděl, vhodná a nezbytná opatření k tomu, aby uvedené porušení bylo ukončeno a neopakovalo se, s ohledem na povinnosti, které pro něj vyplývají z GDPR ( 8 ).

S ohledem na tyto úvahy dospěl Soudní dvůr k závěru, že je-li zjištěno porušení zabezpečení osobních údajů, není dozorový úřad povinen přijmout nápravné opatření, včetně správní pokuty, pokud takový zásah není vhodný, nezbytný nebo přiměřený k nápravě zjištěného nedostatku a k zajištění plného dodržování tohoto nařízení.

( 1 ) – Na základě článku 34 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „GDPR“).

( 2 ) – Článek 57 odst. 1 písm. a) a f), čl. 58 odst. 2 a čl. 77 odst. 1 GDPR.

( 3 ) – Na základě čl. 58 odst. 2 GDPR.

( 4 ) – V tomto smyslu viz rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems (C‑311/18, EU:C:2020:559, bod 112).

( 5 ) – Upravené v čl. 58 odst. 2 písm. i) a článku 83 GDPR.

( 6 ) – Podle čl. 83 odst. 2 GDPR.

( 7 ) – Ve smyslu článku 24 GDPR.

( 8 ) – Zejména na základě čl. 5 odst. 2 a článku 24 GDPR.