Tilsynsmyndigheders forpligtelser ved brud på persondatasikkerheden: Skøn og korrigerende foranstaltninger

Domstolen behandlede en anmodning om præjudiciel afgørelse fra Verwaltungsgericht Wiesbaden vedrørende fortolkningen af databeskyttelsesforordningen (GDPR), nærmere bestemt artikel 57, stk. 1, litra a) og f), artikel 58, stk. 2, og artikel 77, stk. 1. Sagen omhandler TR mod Land Hessen, hvor TR klagede over, at Hessischer Beauftragte für Datenschutz und Informationsfreiheit (HBDI) undlod at træffe korrigerende foranstaltninger over for Sparkasse X efter et brud på persondatasikkerheden.

Sparkasse havde anmeldt et brud på persondatasikkerheden til HBDI, da en medarbejder uberettiget havde tilgået TR's personoplysninger. TR klagede til HBDI over manglende underretning om bruddet og kritiserede Sparkasses opbevaringsperiode for adgangsprotokoller samt de omfattende adgangsrettigheder for medarbejderne. HBDI fandt ikke grundlag for at gribe ind over for Sparkasse, da de vurderede, at bruddet ikke medførte en høj risiko for TR's rettigheder, og at Sparkasse ville forlænge opbevaringsperioden for adgangsprotokoller.

TR anlagde herefter sag ved Verwaltungsgericht Wiesbaden og argumenterede for, at HBDI burde have pålagt Sparkasse en bøde. Den forelæggende ret spurgte Domstolen, om databeskyttelsesforordningen skal fortolkes således, at tilsynsmyndigheden har pligt til at vedtage korrigerende foranstaltninger, eller om den har et skøn til at undlade dette.

Domstolen bemærkede, at tilsynsmyndigheden har pligt til at reagere passende på tilsidesættelser af databeskyttelsesforordningen, men at forordningen overlader et skøn til tilsynsmyndigheden vedrørende valg af foranstaltninger. Domstolen fastslog, at der ikke er en generel forpligtelse til at vedtage en korrigerende foranstaltning, herunder en administrativ bøde, i alle tilfælde, hvor der konstateres et brud på persondatasikkerheden. Tilsynsmyndigheden skal vurdere, om en sådan indgriben er passende, nødvendig og forholdsmæssig.

Afgørelse

Domstolen fastslår, at databeskyttelsesforordningens artikel 57, stk. 1, litra a) og f), artikel 58, stk. 2, og artikel 77, stk. 1, skal fortolkes således, at en tilsynsmyndighed ikke er forpligtet til at vedtage en korrigerende foranstaltning, herunder en administrativ bøde, i tilfælde af et brud på persondatasikkerheden, hvis en sådan foranstaltning ikke er passende, nødvendig eller forholdsmæssig for at afhjælpe manglen og sikre overholdelse af forordningen.

Domstolen understreger, at tilsynsmyndigheden har et skøn, men dette skøn er begrænset af behovet for at sikre et ensartet og højt beskyttelsesniveau for personoplysninger. Domstolen bemærker, at klageafgørelser truffet af en tilsynsmyndighed er underlagt fuld domstolsprøvelse, og det er op til den forelæggende ret at efterprøve, om tilsynsmyndigheden har overholdt grænserne for sit skøn.

Retlige Principper

• Tilsynsmyndighedens skøn: Databeskyttelsesforordningen giver tilsynsmyndigheder et skøn vedrørende valg af foranstaltninger til at afhjælpe konstaterede mangler.
• Effektiv håndhævelse: Skønnet er dog begrænset af kravet om effektiv håndhævelse og et ensartet, højt beskyttelsesniveau for personoplysninger.
• Proportionalitet: Enhver foranstaltning skal være passende, nødvendig og forholdsmæssig.
• Klageproceduren: Klageproceduren er en mekanisme til effektivt at beskytte registreredes rettigheder og interesser.
• Domstolsprøvelse: Klageafgørelser truffet af en tilsynsmyndighed er underlagt fuld domstolsprøvelse.
• Ingen subjektiv ret til bøde: En klager har ikke en subjektiv ret til at kræve, at tilsynsmyndigheden pålægger en administrativ bøde.