Υπόθεση C-768/21

TR

κατά

Land Hessen

(αίτηση του Verwaltungsgericht Wiesbaden για την έκδοση προδικαστικής αποφάσεως)

Απόφαση του Δικαστηρίου (πρώτο τμήμα) της 26ης Σεπτεμβρίου 2024

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 57, παράγραφος 1, στοιχεία αʹ και στʹ – Καθήκοντα της εποπτικής αρχής – Άρθρο 58, παράγραφος 2 – Διορθωτικά μέτρα – Διοικητικό πρόστιμο – Περιθώριο εκτιμήσεως της εποπτικής αρχής – Όρια»

1. Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός 2016/679 – Εθνικές εποπτικές αρχές – Εξουσίες – Λήψη διορθωτικών μέτρων, περιλαμβανομένης της επιβολής διοικητικών προστίμων – Περιθώριο εκτιμήσεως – Όρια

   (Κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, αιτιολογικές σκέψεις 129 και 148 και άρθρα 57 § 1, στοιχεία αʹ και στʹ, 58 §§ 1 και 2, 77 § 1 και 83)

   (βλ. σκέψεις 33, 37-47, 50, και διατακτ.)

2. Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός 2016/679 – Ένδικα μέσα ή βοηθήματα – Ένδικη προσφυγή κατά αποφάσεως εποπτικής αρχής ληφθείσας επί καταγγελίας – Δικαστικός έλεγχος – Περιεχόμενο – Όρια – Δεν υφίστανται

   (Κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, άρθρα 58 § 2 και 78)

   (βλ. σκέψη 49)

Σύνοψη

Επιληφθέν αιτήσεως προδικαστικής αποφάσεως του Verwaltungsgericht Wiesbaden (διοικητικού πρωτοδικείου Wiesbaden, Γερμανία), το Δικαστήριο αποφαίνεται επί του περιθωρίου εκτιμήσεως που διαθέτει μια εποπτική αρχή στο πλαίσιο λήψεως διορθωτικών μέτρων, περιλαμβανομένης, μεταξύ άλλων, της επιβολής διοικητικού προστίμου, σε περίπτωση αποδεδειγμένης παράβασης διατάξεων σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα.

Υπάλληλος ταμιευτηρίου, τοπικού ιδρύματος δημοσίου δικαίου που διενεργεί, μεταξύ άλλων, τραπεζικές και πιστωτικές εργασίες, είχε επανειλημμένως πρόσβαση, χωρίς να διαθέτει τη σχετική εξουσιοδότηση, σε δεδομένα προσωπικού χαρακτήρα του TR, πελάτη του εν λόγω ιδρύματος. Ο TR, έχοντας λάβει παρεμπιπτόντως γνώση της εν λόγω πρόσβασης, υπέβαλε καταγγελία στην αρμόδια εποπτική αρχή, ήτοι στον Hessischer Beauftragte für Datenschutz und Informationsfreiheit (επίτροπο προστασίας δεδομένων και ελεύθερης πληροφόρησης του ομόσπονδου κράτους της Έσσης, Γερμανία) (στο εξής: HBDI). Συγκεκριμένα κατήγγειλε ότι το ταμιευτήριο δεν του γνωστοποίησε την παραβίαση των δεδομένων προσωπικού χαρακτήρα που τον αφορούσαν.

Με απόφαση της 3ης Σεπτεμβρίου 2020, ο HBDI ενημέρωσε τον TR ότι η παράλειψη του ταμιευτηρίου να του κοινοποιήσει την παραβίαση των δεδομένων προσωπικού χαρακτήρα που τον αφορούσαν δεν συνιστούσε παράβαση του ΓΚΠΔ ( 1 ), διότι δεν έθετε σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του TR. Επιπλέον, ο HBDI έκρινε ότι δεν απαιτούνταν να λάβει διορθωτικά μέτρα έναντι του συγκεκριμένου ιδρύματος.

Ο TR άσκησε ένδικη προσφυγή κατά της ανωτέρω αποφάσεως ενώπιον του αιτούντος δικαστηρίου, ζητώντας να υποχρεωθεί ο HBDI να παρέμβει λάβει μέτρα κατά του ταμιευτηρίου. Προς στήριξη της προσφυγής του, ο TR υποστήριξε, μεταξύ άλλων, ότι ο HBDI δεν εξέτασε την υποβληθείσα καταγγελία κατά τον τρόπο που απαιτεί ο ΓΚΠΔ και τόνισε ότι ο HBDI όφειλε να επιβάλει πρόστιμο στο ταμιευτήριο.

Διατηρώντας αμφιβολίες ως προς την υποχρέωση της εποπτικής αρχής να λάβει διορθωτικά μέτρα εν προκειμένω, το αιτούν δικαστήριο υπέβαλε προδικαστικό ερώτημα στο Δικαστήριο σχετικά με την ερμηνεία του ΓΚΠΔ ( 2 ).

Εκτίμηση του Δικαστηρίου

Κατ’ αρχάς, το Δικαστήριο επισημαίνει ότι ο ΓΚΠΔ καταλείπει στην εποπτική αρχή περιθώριο εκτιμήσεως ως προς τον τρόπο με τον οποίο οφείλει να θεραπεύσει τη διαπιστωθείσα ανεπάρκεια, δεδομένου ότι ο κανονισμός απονέμει στην εν λόγω αρχή πλείονες διορθωτικές εξουσίες ( 3 ). Συγκεκριμένα, η επιλογή του κατάλληλου και αναγκαίου μέσου εμπίπτει στην αρμοδιότητα της εποπτικής αρχής, η οποία οφείλει να λάβει υπόψη όλες τις περιστάσεις της συγκεκριμένης περίπτωσης και να εκπληρώσει με όλη την απαιτούμενη επιμέλεια την αποστολή της που συνίσταται στη μέριμνα για την πλήρη τήρηση του ΓΚΠΔ ( 4 ). Εντούτοις, το περιθώριο εκτιμήσεως περιορίζεται από την ανάγκη διασφάλισης συνεκτικής και υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα, μέσω αυστηρής εφαρμογής των κανόνων.

Όσον αφορά, ειδικότερα, τα διοικητικά πρόστιμα ( 5 ), το Δικαστήριο τονίζει ότι αυτά επιβάλλονται, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιπρόσθετα ή αντί των λοιπών διορθωτικών μέτρων. Επιπλέον, η εποπτική αρχή, κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου καθώς και σχετικά με το ύψος του διοικητικού προστίμου, λαμβάνει δεόντως υπόψη για κάθε μεμονωμένη περίπτωση πλείονα στοιχεία, όπως η φύση, η βαρύτητα και η διάρκεια της παράβασης ( 6 ).

Συνεπώς, ο νομοθέτης της Ένωσης έχει προβλέψει σύστημα κυρώσεων το οποίο παρέχει στις εποπτικές αρχές τη δυνατότητα να επιβάλλουν τις πλέον κατάλληλες κυρώσεις ανάλογα με τις περιστάσεις κάθε περίπτωσης, λαμβάνοντας υπόψη την ανάγκη πλήρους τήρησης του ΓΚΠΔ καθώς και συνεκτικής και υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα. Επομένως, από τον ΓΚΠΔ δεν μπορεί να συναχθεί ότι η εποπτική αρχή, εφόσον διαπιστώσει παραβίαση δεδομένων προσωπικού χαρακτήρα, είναι σε κάθε περίπτωση υποχρεωμένη να λάβει διορθωτικό μέτρο, ιδίως δε να επιβάλει διοικητικό πρόστιμο, αλλά, απεναντίας, ότι η εποπτική αρχή είναι υποχρεωμένη, υπό τέτοιες περιστάσεις, να ενεργήσει προσηκόντως προκειμένου να θεραπεύσει τη διαπιστωθείσα ανεπάρκεια. Υπό τις συνθήκες αυτές, ο καταγγέλλων, ο οποίος έχει υποστεί προσβολή των δικαιωμάτων του, δεν δικαιούται να αξιώσει από την εποπτική αρχή να επιβάλει διοικητικό πρόστιμο στον υπεύθυνο της επεξεργασίας.

Τέλος, το Δικαστήριο επισημαίνει ότι η εποπτική αρχή είναι, πάντως, υποχρεωμένη να παρέμβει όταν η λήψη ενός ή πλειόνων διορθωτικών μέτρων είναι, λαμβανομένων υπόψη όλων των περιστάσεων της συγκεκριμένης περίπτωσης, κατάλληλη, αναγκαία και αναλογική προκειμένου να θεραπευθεί η διαπιστωθείσα ανεπάρκεια και να διασφαλιστεί πλήρης συμμόρφωση με τον ΓΚΠΔ. Συναφώς, δεν αποκλείεται, κατ’ εξαίρεση και λαμβανομένων υπόψη των ιδιαιτέρων περιστάσεων της συγκεκριμένης περίπτωσης, το ενδεχόμενο να μην είναι αναγκαίο να προβεί η εποπτική αρχή στη λήψη διορθωτικού μέτρου παρά τη διαπίστωση παραβίασης δεδομένων προσωπικού χαρακτήρα. Τούτο θα ίσχυε, μεταξύ άλλων, στην περίπτωση που η διαπιστωθείσα παράβαση δεν συνεχίστηκε, για παράδειγμα όταν ο υπεύθυνος επεξεργασίας, ο οποίος είχε κατ’ αρχήν εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα ( 7 ), έλαβε, μόλις απέκτησε γνώση της παράβασης, τα κατάλληλα και αναγκαία μέτρα ώστε η παράβαση να παύσει και να μην επαναληφθεί, επί τη βάσει των υποχρεώσεων που υπέχει από τον ΓΚΠΔ ( 8 ).

Κατόπιν των ανωτέρω σκέψεων, το Δικαστήριο κρίνει ότι, όταν διαπιστωθεί παραβίαση δεδομένων προσωπικού χαρακτήρα, η εποπτική αρχή δεν υπέχει υποχρέωση να λάβει διορθωτικό μέτρο, περιλαμβανομένης της επιβολής διοικητικού προστίμου, στην περίπτωση που μια τέτοια παρέμβαση δεν είναι κατάλληλη, αναγκαία ή αναλογική ώστε να θεραπευθεί η διαπιστωθείσα ανεπάρκεια και να διασφαλιστεί πλήρης συμμόρφωση με τον εν λόγω κανονισμό.

( 1 ) Βάσει του άρθρου 34 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, στο εξής: ΓΚΠΔ).

( 2 ) Άρθρο 57, παράγραφος 1, στοιχεία αʹ και στʹ, άρθρο 58, παράγραφος 2, και άρθρο 77, παράγραφος 1, του ΓΚΠΔ.

( 3 ) Κατά το άρθρο 58, παράγραφος 2, του ΓΚΠΔ.

( 4 ) Πρβλ. απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems (C‑311/18, EU:C:2020:559, σκέψη 112).

( 5 ) Κατά τα προβλεπόμενα στο άρθρο 58, παράγραφος 2, στοιχείο θʹ, και στο άρθρο 83 του ΓΚΠΔ.

( 6 ) Κατά το άρθρο 83, παράγραφος 2, του ΓΚΠΔ.

( 7 ) Κατά την έννοια του άρθρου 24 του ΓΚΠΔ.

( 8 ) Ιδίως από το άρθρο 5, παράγραφος 2, και το άρθρο 24 του ΓΚΠΔ.