CJUE: Autoritățile de supraveghere nu sunt obligate să aplice sancțiuni de fiecare dată când se încalcă prevederile GDPR

CJUE a pronunțat azi decizia în cazul C-768/21, oferind astfel o clarificare deosebit de importantă în ceea ce privește rolul autorităților de supraveghere și control în materia protecției datelor (la noi - ANSPDCP). Cazul a avut la bază o plângere formulată de un individ (TR) legată de o încălcare a prevederilor GDPR de către o casă de economii care ar fi accesat fără autorizație datele sale personale. Casa de economii a notificat incidentul către autoritatea germană de supraveghere, dar nu a informat direct pe TR despre încălcarea datelor, invocând inexistența unui risc semnificativ la adresa drepturilor acestuia.

În urma acestei situații, TR a depus o plângere la autoritatea de supraveghere, care a decis că entitatea pârâtă nu a procedat greșit, argumentând că evaluarea casei de economii privind lipsa riscurilor era justificată. TR a contestat această hotărâre în instanță (mai precis, decizia autorității de a nu sancționa casa de economii pentru că nu a notificat pe TR), instanța trimițând în contextul procesului o întrebare preliminară către CJUE: în cazul unei încălcări confirmate a GDPR, autoritatea de control este obligată să ia măsuri corective, cum ar fi impunerea unei amenzi administrative, sau are o marjă de apreciere în acest sens?

În decizia sa, CJUE a subliniat că, deși autoritățile de supraveghere au responsabilitatea de a proteja drepturile persoanelor, ele nu sunt obligate să impună automat măsuri corective în toate cazurile de încălcare a GDPR. Curtea a stabilit că, în funcție de circumstanțele specifice ale fiecărui caz, autoritățile de control pot decide să nu impună măsuri dacă acestea nu sunt considerate „potrivite, necesare sau proporționale”. În situații în care operatorul de date a luat măsuri imediate și eficiente pentru a corecta încălcarea și a preveni reapariția acesteia, autoritatea poate decide să nu impună sancțiuni suplimentare.

Chiar dacă nu impune sancțiuni, autoritatea de supraveghere trebuie totuși să examineze cu atenție plângerile și să asigure că drepturile persoanelor vizate sunt protejate.

Companiile trebuie să aibă politici și proceduri solide pentru protecția datelor personale, iar în cazul unei încălcări, acțiunile rapide și eficiente pot influența decizia autorității de a nu impune sancțiuni. Notificarea promptă a autorităților și cooperarea cu acestea pot fi „circumstanțe atenuante” în evaluarea unei încălcări. În fine, păstrarea unei evidențe detaliate a măsurilor luate în urma unei încălcări este esențială pentru a demonstra conformitatea și responsabilitatea.