EU-domstolens dom av 26. september 2024.
Det følgende omtaler kun de deler av dommen som er relevant for personvernforordningen (GDPR).
Sentrale artikler behandlet:
– Artikkel 57(1)(a)
– Artikkel 57(1)(f)
– Artikkel 58(2)
Hovedpunkter
- Saken gjaldt en ansatt i bank som hadde aksessert opplysninger om en kunde urettmessig. Banken hadde gitt reprimande til den ansatte, som hadde bekreftet at denne ikke skulle avstå fra dette videre og at uvedkommende hadde ikke fått tilgang til opplysningene. Banken hadde også gjort andre tiltak for å utbedre bruddet.
- Tilsynsmyndigheten valgte derfor å ikke ilegge overtredelsesgebyr, hvilket den registrerte mente var feil, og klagde beslutningen inn for domstolene.
- Domstolen kom til at GDPR må forstås slik at ved personvernbrudd er ikke tilsynsmyndighet pålagt å gi pålegg, og spesielt ikke å gi overtredelsesgebyr dersom dette ikke er passende, nødvendig eller forholdmessig for å utbedre bruddet eller sikre at forordningen følges.
Bakgrunn
En sparebank varsles datatilsynet i Hessen om et personvernbrudd ved at en ansatt hadde ved flere tilfeller aksessert opplysninger om en av bankens kunder. Banken hadde ikke varslet kunden om forholdet.
Kunden klaget inn det at vedkommende ikke var varslet om bruddet til datatilsynet, samt det at bankens logger for tilgang ble kun oppbevart for tre måneder og at bankens ansatte hadde ubegrenset adgang til data.
Ved behandlingen av saken for datatilsynet ble det avklart at varsel ikke ble gjort for det var vurdert at det ikke var høy risiko for personvernet til kunden, det var iverksatt disiplinærtiltak mot den ansatte som hadde aksessert informasjonen, som også hadde bekreftet at hendelsen skulle ikke skje igjen, data var slettet og ingen andre hadde fått tilgang. Banken revurderte også loggføringen.
Datatilsynet kom til at det ikke var brudd på varslingsplikten, data var ikke kommet uvedkommende til kunnskap, loggene var revurdert og tilgang for ansatte var nødvendig. Det ble derfor ikke ilagt overtredelsesgebyr.
Den registrerte (kunden) mente at tilsynet ikke hadde behandlet saken riktig ved at det forelå brudd på flere regler i GDPR og at tilsynet skulle ilagt banken et overtredelsesgebyr.
Spørsmålet EU-domstolen skulle vurdere var da om en tilsynsmyndighet er pålagt å utøve myndighet etter GDPR, som å ilegge et overtredelsesgebyr, eller om tilsynet kan velge å ikke gjøre dette.
GDPR artikkel 57(1)(a) og (f) og 58(2)
Det følger av GDPR artikkel 57(1)(a) at en tilsynsmyndighet har plikt til å føre tilsyn med og håndheve anvendelsen av GDPR på sitt territorium. Tilsynsmyndigheten skal behandle klager som er inngitt og undersøke, i den grad det er hensiktsmessig, det som klagen baserer seg på. Tilsynsmyndigheten må behandle klager og undersøke saken med tilstrekkelig grundighet, i følge tidligere dommer fra EU-domstolen. Avdekkes det brudd på GDPR, må tilsynet reagere hensiktsmessig for å utbedre forholdet for å sikre overholdelse av forordningen.
GDPR artikkel 58(2) lister opp de tiltak som en tilsynsmyndighet kan benytte, og klageordningen med saksbehandling er derfor utformet for å sikre rettighetene til de registrerte.
I denne saken var det klart at tilsynet hadde undersøkt klagen og informert den registrerte i henhold til artikkel 57(1)(f). Det var klart at det forelå et brudd på GDPR fra bankens side, men tilsynet hadde konkludert med at det var ikke nødvendig med ytterligere tiltak mot banken etter artikkel 58(2).
Siden artikkel 58(2) gir tilsynsmyndigheten rett til å velge mellom de ulike tiltakene etter artikkel 58(2), får tilsynsmyndigheten en frihet til å velge tiltak i tilfelle overtredelse av regelverket. Tilsynsmyndigheten må derfor kunne velge hvilke tiltak som er tilstrekkelige og nødvendige i den enkelte sak.
37 In that regard, it should be noted that the GDPR leaves the supervisory authority a discretion as to the manner in which it must remedy the shortcoming found, since Article 58(2) thereof confers on that authority the power to adopt various corrective measures. Thus, the Court has already held that the supervisory authority must determine which action is appropriate and necessary, and must do so taking into consideration all the circumstances of the specific case and executing its responsibility for ensuring that the GDPR is fully enforced with all due diligence (…)
Etter artikkel 83(2) skal også bøter avhenge situasjonen i den enkelte sak, og ikke de øvrige tiltak som følger av artikkel 58(2). Systemet under GDPR er derfor at tilsynsmyndigheten skal ilegge den sanksjon som er mest passende og rimelig avhengig av den individuelle sak, men da allikevel sikre ensartet praktisering og hyt nivå av beskyttelse gjennom streng håndhevelse av reglene.
Derfor kan det ikke sluttes ut fra artikkel 58(2) eller artikkel 83(2) at en tilsynsmyndighet er forpliktet til å bøter som sanksjon i alle saker hvor det foreligger brudd på GDPR for å sørge for korrigende tiltak.
41 Therefore, it cannot be inferred either from Article 58(2) of the GDPR or from Article 83 thereof that the supervisory authority is under an obligation to exercise, in all cases where it finds a breach of personal data, a corrective power, in particular the power to impose an administrative fine, its obligation being, in such circumstances, to react appropriately in order to remedy the shortcoming found. In those circumstances, as the Advocate General observed in point 81 of his Opinion, a complainant whose rights have been infringed does not have a subjective right to seek the imposition by the supervisory authority of an administrative fine on the controller.
En tilsynsmyndighet kan derfor avstå fra korrigerende tiltak selv om det er fastslått at det foreligger et personvernbrudd. Dette kan f.eks. være i tilfeller hvor det er implementert tilstrekkelige tekniske og organisatoriske tiltak etter GDPR artikkel 24 så snart man er klar over bruddet, og iverksatt passende og tilstrekklige tiltak for å sørge for at bruddet opphører og ikke oppstår senere. Dette følger også av fortalepunkt 129:
129 (…) For å sikre samsvar med denne forordning bør hvert tiltak være egnet, nødvendig og forholdsmessig, idet det tas hensyn til omstendighetene i hvert enkelt tilfelle, samt respektere enhver persons rett til å bli hørt før det treffes individuelle tiltak som kan påvirke vedkommende negativt, og være utformet slik at overflødige kostnader og for store ulemper for de berørte personene unngås. (…)
Så derfor – i enkelte tilfeller og hensyntatt forholdene i den konkrete sak – bør det ikke være påkrevet at tilsynsmyndighet ilegger korrigerende tiltak, forutsatt at bruddet er utbedret og det sikres at behandlingen av personopplysninger er i henhold til forordningen, samt at dette ikke kan føre til at forordningen ikke håndheves tilstrekkelig strengt.
46 It follows that the exercise of a corrective power may, exceptionally and in the light of the particular circumstances of the specific case, not be required, provided that the situation in which the GDPR was infringed has already been made good and that the processing of personal data by the controller thereof in compliance with that regulation is ensured, and that such non-exercise on the part of the supervisory authority is not liable to undermine the requirement of strong enforcement of the rules, as recalled in paragraph 38 of the present judgment.
Det følger også av fortalepunkt 148 at irettesettelse kan gis ved mindre overtredelser i stedet for overtredelsesgebyr:
148 (…) Ved mindre overtredelser eller dersom overtredelsesgebyret som kan bli ilagt, vil utgjøre en uforholdsmessig stor byrde for en fysisk person, kan det gis en irettesettelse i stedet for et overtredelsesgebyr.
Retten konkluderte derfor med at GDPR må forstås slik at ved personvernbrudd er ikke tilsynsmyndighet pålagt å gi pålegg, og spesielt ikke å gi overtredelsesgebyr dersom dette ikke er passende, nødvendig eller forholdmessig for å utbedre bruddet eller sikre at forordningen følges.
