Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 62021CJ0768

Presuda Suda (prvo vijeće) od 26. rujna 2024.
TR protiv Land Hessen.
Zahtjev za prethodnu odluku – Zaštita pojedinaca u vezi s obradom osobnih podataka – Uredba (EU) 2016/679 – Članak 57. stavak 1. točke (a) i (f) – Nadležnost nadzornog tijela – Članak 58. stavak 2. – Korektivne mjere – Upravna novčana kazna – Margina prosudbe nadzornog tijela – Granice.
Predmet C-768/21.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2024:785

Predmet C-768/21

TR

protiv

Land Hessen

(zahtjev za prethodnu odluku koji je uputio Verwaltungsgericht Wiesbaden)

Presuda Suda (prvo vijeće) od 26. rujna 2024.

„Zahtjev za prethodnu odluku – Zaštita pojedinaca u vezi s obradom osobnih podataka – Uredba (EU) 2016/679 – Članak 57. stavak 1. točke (a) i (f) – Nadležnost nadzornog tijela – Članak 58. stavak 2. – Korektivne mjere – Upravna novčana kazna – Margina prosudbe nadzornog tijela – Granice”

  1. Zaštita pojedinaca u vezi s obradom osobnih podataka – Uredba 2016/679 – Nacionalna nadzorna tijela – Ovlasti – Poduzimanje korektivnih mjera, uključujući administrativne novčane kazne – Margina prosudbe – Granice

    (Uredba 2016/679 Europskog parlamenta i Vijeća, uv. izj. 129. i 148. te čl. 57. st. 1. t. (a) i (f), čl. 58. st. 1. i 2., čl. 77. st. 1. i čl. 83.)

    (t. 33., 37.-47., 50. i izreka)

  2. Zaštita pojedinaca u vezi s obradom osobnih podataka – Uredba 2016/679 – Pravna sredstva – Sudski pravni lijek protiv odluke o pritužbi koju je donijelo nadzorno tijelo – Sudski nadzor – Doseg – Granice – Nepostojanje

    (Uredba 2016/679 Europskog parlamenta i Vijeća, čl. 58. st. 2. i čl. 78.)

    (t. 49.)

Kratak prikaz

Nakon što mu je Verwaltungsgericht Wiesbaden (Upravni sud u Wiesbadenu, Njemačka) uputio zahtjev za prethodnu odluku, Sud odlučuje o margini prosudbe kojom nadzorno tijelo raspolaže u svrhu izricanja korektivnih mjera u slučaju dokazane povrede odredbi o zaštiti osobnih podataka, uključujući, među ostalim, upravne novčane kazne.

Zaposlenica Štedionice, lokalne ustanove javnog prava koja obavlja, među ostalim, bankarske i kreditne poslove, u više je navrata neovlašteno pristupila osobnim podacima osobe TR, jednog od klijenata te institucije. Nakon što je slučajno saznala za te pristupe, osoba TR podnijela je pritužbu nadležnom nadzornom tijelu, odnosno Hessischer Beauftragteu für Datenschutz und Informationsfreiheit (službenik za zaštitu podataka i slobodu informiranja savezne zemlje Hessen, Njemačka) (u daljnjem tekstu: HBDI). U toj je pritužbi prijavila činjenicu da je Štedionica nije obavijestila o povredi njezinih podataka.

Odlukom od 3. rujna 2020. HBDI je obavijestio osobu TR da, time što joj nije priopćila povredu njezinih osobnih podataka, Štedionica nije povrijedila OUZP ( 1 ) jer ta povreda nije mogla dovesti do visokog rizika za prava i slobode osobe TR. Osim toga, HBDI je smatrao da u pogledu te institucije nije potrebno odrediti korektivne mjere.

Osoba TR podnijela je protiv te odluke tužbu sudu koji je uputio zahtjev kojom je od tog suda tražila da naloži HBDI-ju da poduzme radnje protiv Štedionice. U prilog svojoj tužbi istaknula je, među ostalim, da HBDI nije postupao s njezinom pritužbom kao što se to zahtijeva OUZP-om i da je HBDI trebao Štedionici izreći novčanu kaznu.

Budući da je imao dvojbe u pogledu obveze tog nadzornog tijela da donese korektivne mjere u ovom slučaju, sud koji je uputio zahtjev pitao je Sud o tumačenju OUZP-a ( 2 ).

Ocjena Suda

Najprije, Sud naglašava da OUZP nadzornom tijelu ostavlja marginu prosudbe u pogledu načina na koji treba ispraviti utvrđeni nedostatak jer se tom uredbom tom tijelu dodjeljuje ovlast donošenja različitih korektivnih mjera ( 3 ). Naime, odabir prikladnog i nužnog sredstva je u nadležnosti nadzornog tijela, koje mora uzeti u obzir sve okolnosti konkretnog slučaja i s dužnom pažnjom ispuniti svoju zadaću osiguravanja punog poštovanja OUZP-a ( 4 ). Međutim, ta je margina prosudbe ograničena potrebom da se odlučnom provedbom pravila osigura postojana i visoka razina zaštite osobnih podataka.

Nadalje, što se tiče, konkretnije, upravnih novčanih kazni ( 5 ), Sud ističe da se one izriču, ovisno o značajkama svakog slučaja, kao dopuna ili umjesto drugih korektivnih mjera. Usto, pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o njezinu iznosu, u svakom pojedinom slučaju nadzorno tijelo mora posvećivati dužnu pozornost različitim elementima, kao što su priroda, težina i trajanje povrede ( 6 ).

Tako sustav sankcija koji je predvidio zakonodavac Unije nadzornim tijelima omogućuje izricanje najprikladnijih i najopravdanijih sankcija ovisno o okolnostima svakog slučaja, uzimajući u obzir potrebu da se osigura puno poštovanje OUZP-a i da se zajamči postojana i visoka razina zaštite osobnih podataka. Stoga se iz OUZP-a ne može zaključiti da postoji obveza nadzornog tijela da u svakom slučaju kada utvrdi povredu osobnih podataka donese korektivnu mjeru, posebice upravnu novčanu kaznu, s obzirom na to da je njegova obveza da u takvim okolnostima reagira na odgovarajući način kako bi se ispravio utvrđeni nedostatak. U tim okolnostima, podnositelj pritužbe čija su prava povrijeđena nema subjektivno pravo zahtijevati da nadzorno tijelo voditelju obrade izrekne upravnu novčanu kaznu.

Naposljetku, Sud precizira da je nadzorno tijelo ipak dužno intervenirati kada je donošenje jedne ili više korektivnih mjera, s obzirom na sve okolnosti konkretnog slučaja, prikladno, nužno i proporcionalno kako bi se ispravio utvrđeni nedostatak i zajamčilo puno poštovanje OUZP-a. U tom pogledu nije isključeno da se, iznimno i uzimajući u obzir posebne okolnosti konkretnog slučaja, nadzorno tijelo može suzdržati od donošenja korektivne mjere iako je utvrđena povreda osobnih podataka. To bi mogao biti slučaj, među ostalim, kada utvrđena povreda nije trajala, primjerice kada je voditelj obrade, koji je u načelu proveo odgovarajuće tehničke i organizacijske mjere ( 7 ), čim je saznao za tu povredu poduzeo odgovarajuće i potrebne mjere kako bi se navedena povreda okončala i kako se ne bi ponovila, uzimajući u obzir obveze koje ima na temelju OUZP-a ( 8 ).

S obzirom na prethodna razmatranja, Sud je zaključio da nadzorno tijelo, u slučaju da utvrdi postojanje povrede osobnih podataka, nije obvezno odrediti korektivnu mjeru, uključujući i upravnu novčanu kaznu, ako takva intervencija nije prikladna, nužna ili proporcionalna kako bi se ispravio utvrđeni nedostatak i zajamčilo puno poštovanje te uredbe.

( 1 ) Na temelju članka 34. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL 2016., L 119, str. 1. te ispravci SL 2018., L 127, str. 2. i SL 2021., L 74, str. 35.; u daljnjem tekstu: OUZP).

( 2 ) Članka 57. stavka 1. točaka (a) i (f), članka 58. stavka 2. i članka 77. stavka 1. OUZP-a

( 3 ) Na temelju članka 58. stavka 2. OUZP-a

( 4 ) Vidjeti, u tom smislu, presudu od 16. srpnja 2020., Facebook Ireland i Schrems (C-311/18, EU:C:2020:559, t. 112.).

( 5 ) Iz članka 58. stavka 2. točke (i) i članka 83. OUZP-a

( 6 ) U skladu s člankom 83. stavkom 2. OUZP-a

( 7 ) U smislu članka 24. OUZP-a

( 8 ) Posebice na temelju članka 5. stavka 2. i članka 24. OUZP-a

Top