΄Εχουν την δυνατότητα οι εποπτικής αρχές να μην επιβάλλουν διοικητικό πρόστιμο
ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (πρώτο τμήμα)
της 26ης Σεπτεμβρίου 2024 (*)
« Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 57, παράγραφος 1, στοιχεία αʹ και στʹ – Καθήκοντα της εποπτικής αρχής – Άρθρο 58, παράγραφος 2 – Διορθωτικά μέτρα – Διοικητικό πρόστιμο – Περιθώριο εκτιμήσεως της εποπτικής αρχής – Όρια »
Στην υπόθεση C‑768/21,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Verwaltungsgericht Wiesbaden (διοικητικό πρωτοδικείο Wiesbaden, Γερμανία) με απόφαση της 10ης Δεκεμβρίου 2021, η οποία περιήλθε στο Δικαστήριο στις 14 Δεκεμβρίου 2021, στο πλαίσιο της δίκης
TR
κατά
Land Hessen,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (πρώτο τμήμα),
συγκείμενο από τους A. Arabadjiev, πρόεδρο τμήματος, T. von Danwitz, P. G. Xuereb, A. Kumin (εισηγητή) και I. Ziemele, δικαστές,
γενικός εισαγγελέας: P. Pikamäe
γραμματέας: A. Calot Escobar
έχοντας υπόψη την έγγραφη διαδικασία,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– ο TR, εκπροσωπούμενος από τον F. Wittmaack, Rechtsanwalt,
– το Land Hessen, εκπροσωπούμενο από τους M. Kottmann και G. Ziegenhorn, Rechtsanwälte,
– η Αυστριακή Κυβέρνηση, εκπροσωπούμενη από τις J. Schmoll και M.‑T. Rappersberger,
– η Πορτογαλική Κυβέρνηση, εκπροσωπούμενη από τις P. Barros da Costa, M. J. Ramos και C. Vieira Guerra,
– η Ρουμανική Κυβέρνηση, εκπροσωπούμενη από τις L.‑E. Baţagoi και E. Gane,
– η Νορβηγική Κυβέρνηση, εκπροσωπούμενη από τον S.‑E. Jahr Dahl, καθώς και από τις L. M. Moen Jünge και M. Munthe Kaas,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τον A. Μπουχάγιαρ, την M. Heller και τον H. Kranenborg,
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 11ης Απριλίου 2024,
εκδίδει την ακόλουθη
Απόφαση
1 Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 57, παράγραφος 1, σημεία αʹ και στʹ, του άρθρου 58, παράγραφος 2, καθώς και του άρθρου 77, παράγραφος 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, στο εξής: ΓΚΠΔ).
2 Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ του TR και του Land Hessen (ομόσπονδου κράτους της Έσσης, Γερμανία) σχετικά με την απόφαση του Hessischer Beauftragte für Datenschutz und Informationsfreiheit (επιτρόπου προστασίας δεδομένων και ελεύθερης πληροφόρησης του ομόσπονδου κράτους της Έσσης, Γερμανία) (στο εξής: HBDI) να μη λάβει διορθωτικά μέτρα έναντι του Sparkasse X (ταμιευτηρίου Χ, στο εξής: ταμιευτήριο).
Το νομικό πλαίσιο
3 Κατά τις αιτιολογικές σκέψεις 6, 7, 10, 129 και 148 του ΓΚΠΔ:
«(6) Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. […]
(7) Οι εξελίξεις αυτές απαιτούν ένα ισχυρό και πιο συνεκτικό πλαίσιο προστασίας των δεδομένων στην [Ευρωπαϊκή] Ένωση, υποστηριζόμενο από αυστηρή εφαρμογή της νομοθεσίας, δεδομένου ότι είναι σημαντικό να δημιουργηθεί η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς. […]
[…]
(10) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. […]
[…]
(129) […] Οι εξουσίες των εποπτικών αρχών θα πρέπει να ασκούνται σύμφωνα με τις κατάλληλες διαδικαστικές διασφαλίσεις που ορίζονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών, αμερόληπτα, δίκαια και σε εύλογο χρονικό διάστημα. Ιδίως, κάθε μέτρο θα πρέπει να είναι κατάλληλο, αναγκαίο και αναλογικό, ώστε να διασφαλίζει συμμόρφωση με τον παρόντα κανονισμό, λαμβάνοντας υπόψη τις περιστάσεις κάθε ατομικής περίπτωσης, να σέβεται το δικαίωμα ακρόασης κάθε προσώπου προτού ληφθεί μεμονωμένο μέτρο εις βάρος του και να μην προκαλεί περιττά έξοδα και υπέρμετρες επιβαρύνσεις για τα ενδιαφερόμενα πρόσωπα. […]
[…]
(148) Προκειμένου να ενισχυθεί η επιβολή των κανόνων του παρόντος κανονισμού, κυρώσεις, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να επιβάλλονται για κάθε παράβαση του παρόντος κανονισμού, επιπρόσθετα ή αντί των κατάλληλων μέτρων που επιβάλλονται από την εποπτική αρχή σύμφωνα με τον παρόντα κανονισμό. Σε περίπτωση παράβασης ελάσσονος σημασίας ή αν το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση σε φυσικό πρόσωπο, θα μπορούσε να επιβληθεί επίπληξη αντί προστίμου. Θα πρέπει ωστόσο να λαμβάνονται δεόντως υπόψη η φύση, η σοβαρότητα και η διάρκεια της παράβασης, ο εσκεμμένος χαρακτήρας της παράβασης, οι δράσεις που αναλήφθηκαν για τον μετριασμό της ζημίας, ο βαθμός της ευθύνης ή τυχόν άλλες σχετικές προηγούμενες παραβάσεις, ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, η συμμόρφωση με τα μέτρα κατά του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, η τήρηση κώδικα δεοντολογίας και κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο. […]»
4 Το άρθρο 5 του ΓΚΠΔ έχει ως εξής:
«1. Τα δεδομένα προσωπικού χαρακτήρα:
α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (“νομιμότητα, αντικειμενικότητα και διαφάνεια”),
β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς […] (“περιορισμός του σκοπού”),
γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία (“ελαχιστοποίηση των δεδομένων”),
δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται […] (“ακρίβεια”),
ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα […] (“περιορισμός της περιόδου αποθήκευσης”),
στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα […] (“ακεραιότητα και εμπιστευτικότητα”).
2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”).»
5 Το άρθρο 24, παράγραφος 1, του ΓΚΠΔ προβλέπει τα ακόλουθα:
«Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.»
6 Το άρθρο 33 του ΓΚΠΔ ορίζει τα εξής:
«1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. […]
[…]
3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 1 κατ’ ελάχιστο:
α) περιγράφει τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, όπου είναι δυνατό, των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του κατά προσέγγιση αριθμού των επηρεαζόμενων αρχείων δεδομένων προσωπικού χαρακτήρα,
β) ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,
γ) περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,
δ) περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.
[…]»
7 Το άρθρο 34, παράγραφος 1, του ΓΚΠΔ έχει ως εξής:
«Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.»
8 Το κεφάλαιο VI του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Ανεξάρτητες εποπτικές αρχές», περιλαμβάνει τα άρθρα 51 έως 59 του ΓΚΠΔ.
9 Κατά το άρθρο 51, παράγραφος 1, του ΓΚΠΔ:
«Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση (“εποπτική αρχή”).»
10 Το άρθρο 57 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Καθήκοντα», προβλέπει στην παράγραφο 1 τα εξής:
«Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, κάθε εποπτική αρχή στο έδαφός της:
α) παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού,
[…]
στ) χειρίζεται τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων ή από φορέα ή οργάνωση ή ένωση σύμφωνα με το άρθρο 80 και ερευνά, στο μέτρο που ενδείκνυται, το αντικείμενο της καταγγελίας και ενημερώνει τον καταγγέλοντα για την πρόοδο και για την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος, ιδίως εάν απαιτείται περαιτέρω έρευνα ή συντονισμός με άλλη εποπτική αρχή,
[…]».
11 Το άρθρο 58 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Εξουσίες», ορίζει στις παραγράφους 1 και 2 τα ακόλουθα:
«1. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:
α) να δίνει εντολή στον υπεύθυνο επεξεργασίας και στον εκτελούντα την επεξεργασία και, όπου συντρέχει περίπτωση, στον εκπρόσωπο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία να παράσχουν κάθε πληροφορία την οποία απαιτεί για την εκτέλεση των καθηκόντων της,
[…]
2. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:
α) να απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν διατάξεις του παρόντος κανονισμού,
β) να απευθύνει επιπλήξεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του παρόντος κανονισμού,
γ) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,
δ) να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,
ε) να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων,
στ) να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας,
[…]
θ) να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης,
[…]».
12 Το άρθρο 77 του ΓΚΠΔ έχει ως εξής:
«1. Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει τον παρόντα κανονισμό.
2. Η εποπτική αρχή στην οποία έχει υποβληθεί καταγγελία ενημερώνει τον καταγγέλλοντα για την πρόοδο και για την έκβαση της καταγγελίας, καθώς και για τη δυνατότητα άσκησης δικαστικής προσφυγής σύμφωνα με το άρθρο 78.»
13 Κατά το άρθρο 83, παράγραφοι 1 και 2, του ΓΚΠΔ:
«1. Κάθε εποπτική αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος κανονισμού που αναφέρονται στις παραγράφους 4, 5 και 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική.
2. Τα διοικητικά πρόστιμα, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιβάλλονται επιπρόσθετα ή αντί των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 στοιχεία α) έως η) και στο άρθρο 58 παράγραφος 2 στοιχείο ι). Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα:
α) η φύση, η βαρύτητα και η διάρκεια της παράβασης, λαμβάνοντας υπόψη τη φύση, την έκταση ή το σκοπό της σχετικής επεξεργασίας, καθώς και τον αριθμό των υποκειμένων των δεδομένων που έθιξε η παράβαση και το βαθμό ζημίας που υπέστησαν,
β) ο δόλος ή η αμέλεια που προκάλεσε την παράβαση,
γ) οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων,
δ) ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 25 και 32,
ε) τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία,
στ) ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της,
ζ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση,
η) ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση,
θ) σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα,
ι) η τήρηση εγκεκριμένων κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα με το άρθρο 42 και
ια) κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση.»
Η διαφορά της κύριας δίκης και το προδικαστικό ερώτημα
14 Το ταμιευτήριο είναι τοπικό ίδρυμα δημοσίου δικαίου το οποίο διενεργεί, μεταξύ άλλων, τραπεζικές και πιστωτικές εργασίες. Στις 15 Νοεμβρίου 2019 γνωστοποίησε στον HBDI, κατά το άρθρο 33 του ΓΚΠΔ, παραβίαση δεδομένων προσωπικού χαρακτήρα λόγω του γεγονότος ότι υπάλληλος του ταμιευτηρίου είχε επανειλημμένως πρόσβαση, χωρίς να έχει εξουσιοδοτηθεί προς τούτο, σε δεδομένα προσωπικού χαρακτήρα του TR, ενός εκ των πελατών του. Το ταμιευτήριο δεν γνωστοποίησε στον TR την παραβίαση των προσωπικών δεδομένων του.
15 Έχοντας λάβει γνώση, παρεμπιπτόντως, της παράτυπης πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν, ο TR υπέβαλε, στις 27 Ιουλίου 2020, καταγγελία ενώπιον του HBDI βάσει του άρθρου 77 του ΓΚΠΔ. Ο TR κατήγγειλε την παράλειψη γνωστοποίησης σε αυτόν της παραβίασης των δεδομένων προσωπικού χαρακτήρα που τον αφορούσαν, κατά παράβαση του άρθρου 34 του ΓΚΠΔ. Επέκρινε επίσης τη διάρκεια της διατήρησης από το ταμιευτήριο των αρχείων καταγραφής πρόσβασης, η οποία οριζόταν σε τρεις μόνον μήνες, καθώς και τα εκτεταμένα δικαιώματα πρόσβασης στα δεδομένα αυτά υπέρ των μελών του προσωπικού του.
16 Κατόπιν της καταγγελίας που υπέβαλε ο TR, ο HBDI εξέτασε το ταμιευτήριο σχετικά με τις εις βάρος του αιτιάσεις στο πλαίσιο τόσο έγγραφης όσο και προφορικής διαδικασίας. Κατά τη διάρκεια της προφορικής διαδικασίας, το ταμιευτήριο δήλωσε ότι δεν προέβη στην προβλεπόμενη στο άρθρο 34 του ΓΚΠΔ ανακοίνωση, διότι ο υπεύθυνος του ταμιευτηρίου για την προστασία των δεδομένων έκρινε ότι δεν συνέτρεχε υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες του TR. Συγκεκριμένα, είχαν ληφθεί πειθαρχικά μέτρα σε βάρος της εν λόγω υπαλλήλου, η οποία είχε επιβεβαιώσει εγγράφως ότι δεν είχε αντιγράψει ή αποθηκεύσει τα δεδομένα προσωπικού χαρακτήρα ούτε τα είχε διαβιβάσει σε τρίτους και δεν θα το έπραττε στο μέλλον. Επιπλέον, αφότου ο HBDI επέκρινε την υπερβολικά σύντομη διάρκεια διατήρησης των αρχείων καταγραφής πρόσβασης, το ταμιευτήριο τον διαβεβαίωσε ότι το ζήτημα αυτό θα επανεξεταζόταν.
17 Με απόφαση της 3ης Σεπτεμβρίου 2020, ο HBDI ενημέρωσε τον TR ότι το ταμιευτήριο δεν είχε παραβεί το άρθρο 34 του ΓΚΠΔ, καθόσον η εκτίμηση του ταμιευτηρίου ότι η διαπραχθείσα παραβίαση δεδομένων προσωπικού χαρακτήρα δεν έθετε σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες του TR κατά την έννοια του συγκεκριμένου άρθρου δεν ήταν προδήλως εσφαλμένη. Συγκεκριμένα, μολονότι η υπάλληλος είχε κάνει χρήση της πρόσβασης στα δεδομένα, εντούτοις από κανένα στοιχείο δεν προέκυπτε ότι τα είχε διαβιβάσει σε τρίτους ή τα είχε χρησιμοποιήσει εις βάρος του TR. Επιπλέον, ο HBDI ενημέρωνε τον καταγγέλοντα ότι είχε ζητήσει από το ταμιευτήριο να διατηρεί στο εξής τα αρχεία καταγραφής πρόσβασης για χρονικό διάστημα μεγαλύτερο των τριών μηνών. Τέλος, όσον αφορά το ζήτημα της πρόσβασης των υπαλλήλων του ταμιευτηρίου στα δεδομένα προσωπικού χαρακτήρα, ο HBDI απέρριψε την καταγγελία του TR, υπογραμμίζοντας ότι είναι δυνατό, κατ’ αρχήν, να παρέχονται εκτεταμένα δικαιώματα πρόσβασης εφόσον είναι βέβαιο ότι κάθε χρήστης γνωρίζει τις προϋποθέσεις υπό τις οποίες δύναται να αξιοποιήσει την πρόσβαση στα οικεία δεδομένα. Κατά τον HBDI, δεν είναι αναγκαίο να ελέγχεται, κατ’ αρχήν, κάθε πρόσβαση.
18 Ο TR άσκησε ένδικη προσφυγή κατά της ανωτέρω αποφάσεως ενώπιον του Verwaltungsgericht Wiesbaden (διοικητικού πρωτοδικείου Wiesbaden, Γερμανία), το οποίο είναι το αιτούν δικαστήριο, ζητώντας να υποχρεωθεί ο HBDI να παρέμβει κατά του ταμιευτηρίου.
19 Προς στήριξη της προσφυγής του, ο TR υποστηρίζει ότι ο HBDI δεν εξέτασε την υποβληθείσα καταγγελία κατά τον τρόπο που απαιτεί ο ΓΚΠΔ, ήτοι λαμβάνοντας υπόψη το σύνολο των πραγματικών περιστάσεων, τονίζει δε επίσης ότι ο HBDI όφειλε να επιβάλει πρόστιμο στο ταμιευτήριο λόγω επανειλημμένων παραβάσεων των διατάξεων του κανονισμού, συγκεκριμένα του άρθρου 5, του άρθρου 12, παράγραφος 3, του άρθρου 15, παράγραφος 1, στοιχείο γʹ, του άρθρου 33, παράγραφος 1, και του άρθρου 33, παράγραφος 3, του ΓΚΠΔ. Κατά τον TR, σε περίπτωση αποδεδειγμένης παράβασης του κανονισμού, όπως εν προκειμένω, δεν έχει εφαρμογή η αρχή της σκοπιμότητας, οπότε ο HBDI δεν είχε τη δυνατότητα να αποφασίσει αν θα ενεργήσει ή δεν θα ενεργήσει αλλά, μόνον, να επιλέξει τα μέτρα που επρόκειτο να λάβει.
20 Συναφώς, το αιτούν δικαστήριο διερωτάται κατ’ ουσίαν αν, σε περίπτωση αποδεδειγμένης παράβασης διατάξεων σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα, ο ΓΚΠΔ έχει την έννοια ότι η εποπτική αρχή υποχρεούται να λάβει διορθωτικά μέτρα δυνάμει του άρθρου 58, παράγραφος 2, του κανονισμού αυτού, όπως η επιβολή διοικητικού προστίμου, ή αν έχει την έννοια ότι η εν λόγω αρχή διαθέτει εξουσία εκτιμήσεως που της επιτρέπει, αναλόγως των περιστάσεων, να απόσχει από τη λήψη τέτοιων μέτρων.
21 Το αιτούν δικαστήριο εξηγεί ότι η πρώτη ερμηνεία, την οποία υποστηρίζει ο TR καθώς και μέρος της θεωρίας, στηρίζεται στη γνώμη ότι οι εξουσίες της εποπτικής αρχής να λαμβάνει διορθωτικά μέτρα δυνάμει του άρθρου 58, παράγραφος 2, του ΓΚΠΔ σκοπούν στην αποκατάσταση της νομιμότητας όταν η επεξεργασία δεδομένων προσβάλλει δικαιώματα των πολιτών. Επομένως, το άρθρο 58, παράγραφος 2, του ΓΚΠΔ πρέπει να νοηθεί ως πηγή υποχρέωσης η οποία θεμελιώνει δικαίωμα του πολίτη να αξιώσει τη λήψη μέτρου εκ μέρους των αρχών όταν μια επιχείρηση ή μια αρχή έχει επεξεργαστεί παρανόμως δεδομένα προσωπικού χαρακτήρα του πολίτη ή έχει προσβάλει κατ’ άλλον τρόπο δικαιώματα. Συνακόλουθα, σε περίπτωση αποδεδειγμένης παραβίασης της προστασίας δεδομένων, η εποπτική αρχή υποχρεούται να λάβει διορθωτικά μέτρα, η μόνη δε διακριτική ευχέρεια την οποία διαθέτει συναφώς εξαντλείται στην επιλογή του προβλεπόμενου μέτρου.
22 Εντούτοις, το αιτούν δικαστήριο διατηρεί αμφιβολίες ως προς το βάσιμο της ερμηνείας αυτής, την οποία κρίνει ως υπερβολικά ευρεία, και τείνει μάλλον να αναγνωρίσει στην εποπτική αρχή περιθώριο εκτιμήσεως το οποίο της επιτρέπει, σε περίπτωση αποδεδειγμένης παράβασης, να απόσχει ενίοτε από τη λήψη διορθωτικού μέτρου, όπως η επιβολή κυρώσεως. Παρά την υποχρέωση την οποία υπέχει η εποπτική αρχή από το άρθρο 57, παράγραφος 1, στοιχείο στʹ, του ΓΚΠΔ να διενεργεί προσεκτικό επί της ουσίας έλεγχο των καταγγελιών και να εξετάζει κάθε συγκεκριμένη περίπτωση, εντούτοις δεν υποχρεούται να λαμβάνει πάντοτε διορθωτικά μέτρα. Συνεπώς, δεν υπέχει τέτοια υποχρέωση όταν διαπιστώνονται παραβάσεις των κανόνων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα οι οποίες διαπράχθηκαν κατά το παρελθόν, αλλά ο υπεύθυνος επεξεργασίας έχει λάβει μέτρα από τα οποία προκύπτει ότι δεν θα ανακύψει παραβίαση της προστασίας των δεδομένων στο μέλλον.
23 Υπό τις συνθήκες αυτές, το Verwaltungsgericht Wiesbaden (διοικητικό πρωτοδικείο Wiesbaden) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο το ακόλουθο προδικαστικό ερώτημα:
«Έχουν το άρθρο 57, παράγραφος 1, στοιχεία αʹ και στʹ, και το άρθρο 58, παράγραφος 2, στοιχεία αʹ έως ιʹ, σε συνδυασμό με το άρθρο 77, παράγραφος 1, του [ΓΚΠΔ], την έννοια ότι η εποπτική αρχή οφείλει να παρεμβαίνει πάντοτε, δυνάμει του άρθρου 58, παράγραφος 2, του [κανονισμού αυτού], όταν διαπιστώνει επεξεργασία δεδομένων που προσβάλλει τα δικαιώματα του υποκειμένου των δεδομένων;»
Επί του παραδεκτού της αιτήσεως προδικαστικής αποφάσεως
24 Χωρίς να αμφισβητεί ρητώς το παραδεκτό της αιτήσεως προδικαστικής αποφάσεως, ο TR υποστηρίζει ότι η απάντηση στο προδικαστικό ερώτημα δεν είναι αναγκαία για την επίλυση της διαφοράς της κύριας δίκης. Με την προσφυγή του ζητεί από το αιτούν δικαστήριο μόνο να υποχρεώσει τον HBDI να αποφανθεί, κατά το άρθρο 57, παράγραφος 1, στοιχείο στʹ, του ΓΚΠΔ, επί των αιτιάσεων που προβλήθηκαν με την καταγγελία και όχι να υποχρεώσει τον HBDI να κάνει χρήση των εξουσιών που του παρέχει το άρθρο 58, παράγραφος 2, του ΓΚΠΔ.
25 Συναφώς, υπενθυμίζεται ότι, στο πλαίσιο της προβλεπόμενης από το άρθρο 267 ΣΛΕΕ συνεργασίας μεταξύ του Δικαστηρίου και των εθνικών δικαστηρίων, εναπόκειται αποκλειστικώς στο εθνικό δικαστήριο, το οποίο έχει επιληφθεί της διαφοράς και φέρει την ευθύνη της δικαστικής αποφάσεως που πρόκειται να εκδοθεί, να εκτιμήσει, λαμβάνοντας υπόψη τις ιδιαιτερότητες της υπόθεσης, τόσο την ανάγκη έκδοσης προδικαστικής αποφάσεως για την έκδοση της δικής του αποφάσεως όσο και τη λυσιτέλεια των ερωτημάτων που υποβάλλει στο Δικαστήριο. Κατά συνέπεια, αφ’ ης στιγμής τα υποβληθέντα ερωτήματα αφορούν την ερμηνεία του δικαίου της Ένωσης, το Δικαστήριο υποχρεούται κατ’ αρχήν να απαντήσει (απόφαση της 30ής Νοεμβρίου 2023, Ministero dell’Istruzione και INPS, C‑270/22, EU:C:2023:933, σκέψη 33 και εκεί μνημονευόμενη νομολογία).
26 Επομένως, θεωρούνται κατά τεκμήριο λυσιτελή τα ερωτήματα που αφορούν την ερμηνεία του δικαίου της Ένωσης και υποβάλλονται από τον εθνικό δικαστή εντός του νομικού και πραγματικού πλαισίου το οποίο αυτός ορίζει με δική του ευθύνη, χωρίς το Δικαστήριο να οφείλει να ελέγξει κατά πόσον αυτό είναι ακριβές. Το Δικαστήριο μπορεί να απορρίψει αίτηση εθνικού δικαστηρίου για την έκδοση προδικαστικής αποφάσεως μόνον όταν προκύπτει προδήλως ότι η ζητούμενη ερμηνεία του δικαίου της Ένωσης ουδεμία σχέση έχει με το υποστατό ή με το αντικείμενο της διαφοράς της κύριας δίκης, όταν το πρόβλημα είναι υποθετικής φύσεως ή, ακόμη, όταν το Δικαστήριο δεν έχει στη διάθεσή του τα πραγματικά και νομικά στοιχεία που του είναι αναγκαία για να δώσει χρήσιμη απάντηση στα υποβληθέντα ερωτήματα (απόφαση της 30ής Νοεμβρίου 2023, Ministero dell’Istruzione και INPS, C‑270/22, EU:C:2023:933, σκέψη 34 και εκεί μνημονευόμενη νομολογία).
27 Εν προκειμένω, το αιτούν δικαστήριο υπογραμμίζει ότι ο TR επικαλείται δικαίωμα να αξιώσει παρέμβαση εκ μέρους του HBDI και ισχυρίζεται ότι ο HBDI υπείχε υποχρέωση να επιβάλει πρόστιμο στο ταμιευτήριο.
28 Εξ αυτού δεν προκύπτει προδήλως ότι η ζητούμενη ερμηνεία του δικαίου της Ένωσης δεν έχει καμία σχέση με το υποστατό ή με το αντικείμενο της διαφοράς της κύριας δίκης.
29 Συνεπώς, η αίτηση προδικαστικής αποφάσεως είναι παραδεκτή.
Επί του προδικαστικού ερωτήματος
30 Προκειμένου να δοθεί απάντηση στο προδικαστικό ερώτημα, υπενθυμίζεται, προκαταρκτικώς, ότι για την ερμηνεία διάταξης του δικαίου της Ένωσης πρέπει να λαμβάνεται υπόψη όχι μόνον το γράμμα της, αλλά και το πλαίσιο στο οποίο αυτή εντάσσεται, καθώς και οι σκοποί που επιδιώκονται με την πράξη της οποίας αποτελεί μέρος [απόφαση της 7ης Δεκεμβρίου 2023, SCHUFA Holding (Πτωχευτική απαλλαγή), C‑26/22 και C‑64/22, EU:C:2023:958, σκέψη 48 και εκεί μνημονευόμενη νομολογία].
31 Επίσης, υπενθυμίζεται ότι, σύμφωνα με το άρθρο 8, παράγραφος 3, του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης καθώς και με το άρθρο 51, παράγραφος 1, και το άρθρο 57, παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ, οι εθνικές εποπτικές αρχές έχουν επιφορτιστεί με τον έλεγχο της τήρησης των κανόνων της Ένωσης σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα [απόφαση της 7ης Δεκεμβρίου 2023, SCHUFA Holding (Πτωχευτική απαλλαγή), C‑26/22 και C‑64/22, EU:C:2023:958, σκέψη 55 και εκεί μνημονευόμενη νομολογία].
32 Ειδικότερα, βάσει του άρθρου 57, παράγραφος 1, στοιχείο στʹ, του ΓΚΠΔ, κάθε εποπτική αρχή υποχρεούται, στην εδαφική περιοχή για την οποία είναι αρμόδια, αφενός, να εξετάζει τις καταγγελίες τις οποίες κάθε υποκείμενο δεδομένων δικαιούται, σύμφωνα με το άρθρο 77, παράγραφος 1, του ίδιου κανονισμού, να υποβάλλει όταν θεωρεί ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν συνιστά παράβαση του κανονισμού αυτού και, αφετέρου, να ερευνά το αντικείμενό τους στο μέτρο του αναγκαίου, ενημερώνει δε σχετικά τον καταγγέλλοντα για την πρόοδο και την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος. Η εποπτική αρχή οφείλει να εξετάζει μια τέτοια καταγγελία με τη δέουσα επιμέλεια [απόφαση της 7ης Δεκεμβρίου 2023, SCHUFA Holding (Πτωχευτική απαλλαγή), C‑26/22 και C‑64/22, EU:C:2023:958, σκέψη 56 και εκεί μνημονευόμενη νομολογία].
33 Για την εξέταση των οικείων καταγγελιών, το άρθρο 58, παράγραφος 1, του ΓΚΠΔ απονέμει σε κάθε εποπτική αρχή σημαντικές εξουσίες έρευνας. Όταν μια τέτοια αρχή διαπιστώσει, κατά το πέρας της έρευνάς της, παράβαση των διατάξεων του κανονισμού αυτού, οφείλει να αντιδράσει προσηκόντως προκειμένου να θεραπεύσει τη διαπιστωθείσα ανεπάρκεια ενώ, παράλληλα, κάθε μέτρο πρέπει, όπως διευκρινίζεται στην αιτιολογική σκέψη 129 του κανονισμού, να είναι κατάλληλο, αναγκαίο και αναλογικό, ώστε να διασφαλίζει συμμόρφωση με τον ίδιο κανονισμό, λαμβάνοντας υπόψη τις περιστάσεις κάθε ατομικής περίπτωσης. Προς τούτο, το άρθρο 58, παράγραφος 2, του κανονισμού απαριθμεί τις διάφορες διορθωτικές εξουσίες της εποπτικής αρχής [πρβλ. απόφαση της 7ης Δεκεμβρίου 2023, SCHUFA Holding (Πτωχευτική απαλλαγή), C‑26/22 και C‑64/22, EU:C:2023:958, σκέψη 57 και εκεί μνημονευόμενη νομολογία].
34 Συνεπώς, δυνάμει του άρθρου 58, παράγραφος 2, του ΓΚΠΔ, η εποπτική αρχή έχει την εξουσία, μεταξύ άλλων, να απευθύνει επίπληξη στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του κανονισμού (στοιχείο βʹ), να δώσει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφωθεί προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον κανονισμό (στοιχείο γʹ), να δώσει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καταστήσουν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας (στοιχείο δʹ) ή, ακόμη, να επιβάλει διοικητικό πρόστιμο δυνάμει του άρθρου 83 του κανονισμού, επιπλέον ή αντί των μέτρων που αναφέρονται στο εν λόγω άρθρο 58, παράγραφος 2, του κανονισμού, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης (σημείο θʹ).
35 Επομένως, η διαδικασία υποβολής καταγγελίας δημιουργήθηκε ως μηχανισμός ικανός να προστατεύει με αποτελεσματικό τρόπο τα δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων [απόφαση της 7ης Δεκεμβρίου 2023, SCHUFA Holding (Πτωχευτική απαλλαγή), C‑26/22 και C‑64/22, EU:C:2023:958, σκέψη 58].
36 Εν προκειμένω, από την αίτηση προδικαστικής αποφάσεως προκύπτει ότι ο HBDI εξέτασε επί της ουσίας την υποβληθείσα από τον προσφεύγοντα της κύριας δίκης καταγγελία και τον ενημέρωσε για την έκβαση της έρευνας. Ειδικότερα, ο HBDI επιβεβαίωσε ότι το ταμιευτήριο είχε παραβιάσει τα δεδομένα προσωπικού χαρακτήρα του προσφεύγοντος λόγω της μη εξουσιοδοτημένης πρόσβασης σε αυτά από υπάλληλό του. Εντούτοις, απέρριψε την καταγγελία που υπέβαλε ο προσφεύγων της κύριας δίκης σχετικά με τα δικαιώματα πρόσβασης των μελών του προσωπικού του ταμιευτηρίου. Επιπλέον, κατέληξε στο συμπέρασμα ότι δεν συνέτρεχε λόγος να παρέμβει κατά του ταμιευτηρίου δυνάμει του άρθρου 58, παράγραφος 2, του ΓΚΠΔ.
37 Συναφώς, επισημαίνεται ότι ο ΓΚΠΔ καταλείπει στην εποπτική αρχή περιθώριο εκτιμήσεως ως προς τον τρόπο με τον οποίο οφείλει να θεραπεύσει τη διαπιστωθείσα ανεπάρκεια αφού το άρθρο 58, παράγραφος 2, του ΓΚΠΔ απονέμει στην εν λόγω αρχή πλείονες διορθωτικές εξουσίες. Κατά συνέπεια, το Δικαστήριο έχει κρίνει ότι η επιλογή του κατάλληλου και αναγκαίου μέσου εμπίπτει στην αρμοδιότητα της εποπτικής αρχής, η οποία οφείλει να προβαίνει στην επιλογή αυτή λαμβάνοντας υπόψη όλες τις περιστάσεις της συγκεκριμένης περίπτωσης και εκπληρώνοντας με όλη την απαιτούμενη επιμέλεια την αποστολή της που συνίσταται στο να μεριμνά για την πλήρη τήρηση του ΓΚΠΔ (πρβλ. απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems, C‑311/18, EU:C:2020:559, σκέψη 112).
38 Εντούτοις, το περιθώριο αυτό εκτιμήσεως περιορίζεται από την ανάγκη διασφάλισης συνεκτικής και υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα μέσω αυστηρής εφαρμογής των κανόνων, όπως προκύπτει από τις αιτιολογικές σκέψεις 7 και 10 του ΓΚΠΔ.
39 Όσον αφορά, ειδικότερα, τα διοικητικά πρόστιμα του άρθρου 58, παράγραφος 2, στοιχείο θʹ, του ΓΚΠΔ, από το άρθρο 83, παράγραφος 2, του κανονισμού αυτού προκύπτει ότι τα εν λόγω πρόστιμα επιβάλλονται, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης, επιπρόσθετα ή αντί των μέτρων του άρθρου 58, παράγραφος 2. Επιπλέον, το ίδιο άρθρο 83, παράγραφος 2, διευκρινίζει ότι, κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου καθώς και σχετικά με το ύψος του διοικητικού προστίμου, η εποπτική αρχή λαμβάνει δεόντως υπόψη για κάθε μεμονωμένη περίπτωση τα στοιχεία που απαριθμούνται στα σημεία αʹ έως ιαʹ της διάταξης αυτής, όπως η φύση, η βαρύτητα και η διάρκεια της παράβασης.
40 Συνεπώς, ο νομοθέτης της Ένωσης προέβλεψε σύστημα κυρώσεων το οποίο παρέχει στις εποπτικές αρχές τη δυνατότητα να επιβάλλουν τις πλέον κατάλληλες κυρώσεις ανάλογα με τις περιστάσεις κάθε περίπτωσης (πρβλ. απόφαση της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, σκέψεις 75 και 78), λαμβάνοντας υπόψη, όπως υπενθυμίζεται στις σκέψεις 37 και 38 της παρούσας αποφάσεως, την ανάγκη διασφάλισης μέριμνας για την πλήρη τήρηση του ΓΚΠΔ καθώς και συνεκτικής και υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα μέσω αυστηρής εφαρμογής των κανόνων.
41 Επομένως, δεν μπορεί να συναχθεί ούτε από το άρθρο 58, παράγραφος 2, του ΓΚΠΔ ούτε από το άρθρο 83 του κανονισμού αυτού ότι υφίσταται υποχρέωση της εποπτικής αρχής να λαμβάνει, σε κάθε περίπτωση, εφόσον διαπιστώνει παραβίαση δεδομένων προσωπικού χαρακτήρα, διορθωτικό μέτρο, ιδίως δε να επιβάλλει διοικητικό πρόστιμο, διότι η υποχρέωσή της είναι, υπό τέτοιες περιστάσεις, να αντιδράσει προσηκόντως προκειμένου να θεραπεύσει τη διαπιστωθείσα ανεπάρκεια. Υπό τις συνθήκες αυτές, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 81 των προτάσεών του, ο καταγγέλλων ο οποίος έχει υποστεί προσβολή των δικαιωμάτων του δεν δικαιούται να ζητήσει από την εποπτική αρχή να επιβάλει διοικητικό πρόστιμο στον υπεύθυνο της επεξεργασίας.
42 Απεναντίας, η εποπτική αρχή υποχρεούται να παρέμβει όταν η λήψη ενός ή πλειόνων μέτρων από τα προβλεπόμενα στο άρθρο 58, παράγραφος 2, του ΓΚΠΔ διορθωτικά μέτρα είναι, λαμβανομένων υπόψη όλων των περιστάσεων της συγκεκριμένης περίπτωσης, κατάλληλη, αναγκαία και αναλογική προκειμένου να θεραπευθεί η διαπιστωθείσα ανεπάρκεια και να διασφαλιστεί πλήρης συμμόρφωση με τον ΓΚΠΔ.
43 Συναφώς, δεν αποκλείεται, κατ’ εξαίρεση και λαμβανομένων υπόψη των ιδιαιτέρων περιστάσεων της συγκεκριμένης περίπτωσης, η εποπτική αρχή να δύναται να απόσχει από τη λήψη διορθωτικού μέτρου παρά τη διαπίστωση παραβίασης δεδομένων προσωπικού χαρακτήρα. Τούτο θα ίσχυε, μεταξύ άλλων, στην περίπτωση που η διαπιστωθείσα παράβαση δεν συνεχίστηκε, για παράδειγμα όταν ο υπεύθυνος επεξεργασίας, ο οποίος είχε κατ’ αρχήν εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα κατά την έννοια του άρθρου 24 του ΓΚΠΔ, έλαβε, μόλις απέκτησε γνώση της παράβασης αυτής, τα κατάλληλα και αναγκαία μέτρα ώστε η παράβαση να παύσει και να μην επαναληφθεί, επί τη βάσει των υποχρεώσεων που υπέχει, μεταξύ άλλων, από το άρθρο 5, παράγραφος 2, και το άρθρο 24 του κανονισμού.
44 Η ερμηνεία κατά την οποία η εποπτική αρχή, στην περίπτωση που διαπιστώσει παραβίαση δεδομένων προσωπικού χαρακτήρα, δεν υποχρεούται να λάβει σε κάθε περίπτωση διορθωτικό μέτρο δυνάμει του άρθρου 58, παράγραφος 2, του ΓΚΠΔ επιρρωννύεται από τους σκοπούς τους οποίους επιδιώκουν, αντιστοίχως, το εν λόγω άρθρο 58, παράγραφος 2, και το άρθρο 83 του κανονισμού αυτού.
45 Όσον αφορά τον σκοπό τον οποίον επιδιώκει το άρθρο 58, παράγραφος 2, του ΓΚΠΔ, από την αιτιολογική σκέψη 129 του κανονισμού αυτού προκύπτει ότι η συγκεκριμένη διάταξη αποσκοπεί στη διασφάλιση της σύμφωνης προς τον κανονισμό επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και της αποκατάστασης περιπτώσεων παραβάσεώς του προκειμένου αυτές να καταστούν σύμφωνες με το δίκαιο της Ένωσης μέσω των παρεμβάσεων των εθνικών εποπτικών αρχών (απόφαση της 14ης Μαρτίου 2024, Újpesti Polgármesteri Hivatal, C‑46/23, EU:C:2024:239, σκέψη 40).
46 Επομένως, η λήψη διορθωτικού μέτρου μπορεί, κατ’ εξαίρεση και λαμβανομένων υπόψη των ιδιαιτέρων περιστάσεων της συγκεκριμένης περίπτωσης, να μην επιβάλλεται, εφόσον έχει αποκατασταθεί η παραβίαση του ΓΚΠΔ και έχει διασφαλιστεί σύμφωνη προς τον ΓΚΠΔ επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τον υπεύθυνο επεξεργασίας, η δε απόφαση αυτή της εποπτικής αρχής να μη λάβει διορθωτικό μέτρο δεν είναι ικανή να θίξει την απαίτηση περί αυστηρής εφαρμογής των κανόνων, όπως υπομνήσθηκε στη σκέψη 38 της παρούσας αποφάσεως.
47 Όσον αφορά τον σκοπό του άρθρου 83 του ΓΚΠΔ, με το οποίο διέπει την επιβολή διοικητικών προστίμων, αυτός συνίσταται, κατά την αιτιολογική σκέψη 148 του εν λόγω κανονισμού, στην ενίσχυση της επιβολής των κανόνων του. Εντούτοις, η ίδια αιτιολογική σκέψη 148 αναφέρει, μεταξύ άλλων, ότι οι εποπτικές αρχές μπορούν, σε περίπτωση παράβασης ελάσσονος σημασίας ή αν το διοικητικό πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση για φυσικό πρόσωπο, να μην επιβάλλουν διοικητικό πρόστιμο και να απευθύνουν, αντ’ αυτού, επίπληξη (πρβλ. απόφαση της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, σκέψη 76).
48 Εν προκειμένω, από την αίτηση προδικαστικής αποφάσεως προκύπτει ότι το ταμιευτήριο γνωστοποίησε στον HBDI, κατά τα οριζόμενα στο άρθρο 33 του ΓΚΠΔ, την παραβίαση των δεδομένων προσωπικού χαρακτήρα του προσφεύγοντος της κύριας δίκης, η οποία συνίστατο στη μη εξουσιοδοτημένη πρόσβαση μιας υπαλλήλου του ταμιευτηρίου στα δεδομένα αυτά. Επιπλέον, επισήμανε ότι είχαν ληφθεί πειθαρχικά μέτρα σε βάρος της εν λόγω υπαλλήλου καθώς και ότι η διάρκεια διατήρησης των αρχείων καταγραφής πρόσβασης θα επανεξεταζόταν. Υπό τις συνθήκες αυτές, ο HBDI αποφάσισε να μη λάβει διορθωτικό μέτρο δυνάμει του άρθρου 58, παράγραφος 2, του ΓΚΠΔ και, ιδίως, να μην επιβάλει διοικητικό πρόστιμο.
49 Δεδομένου ότι οι αποφάσεις επί καταγγελιών, τις οποίες εκδίδει εποπτική αρχή, υπόκεινται σε πλήρη δικαστικό έλεγχο [απόφαση της 7ης Δεκεμβρίου 2023, SCHUFA Holding (Πτωχευτική απαλλαγή), C‑26/22 και C‑64/22, EU:C:2023:958, σκέψη 70], εναπόκειται στο αιτούν δικαστήριο να εξακριβώσει αν ο HBDI προέβη στην εξέταση της υποβληθείσας καταγγελίας με όλη την απαιτούμενη επιμέλεια και αν, κατά την έκδοση της επίμαχης στην κύρια δίκη αποφάσεως, ο HBDI τήρησε τα όρια του περιθωρίου εκτιμήσεως που του παρέχει το άρθρο 58, παράγραφος 2, του ΓΚΠΔ [βλ., κατ’ αναλογίαν, απόφαση της 7ης Δεκεμβρίου 2023, SCHUFA Holding (Πτωχευτική απαλλαγή), C‑26/22 και C‑64/22, EU:C:2023:958, σκέψεις 68 και 69 και εκεί μνημονευόμενη νομολογία].
50 Λαμβανομένου υπόψη του συνόλου των ανωτέρω σκέψεων, στο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 57, παράγραφος 1, στοιχεία αʹ και στʹ, το άρθρο 58, παράγραφος 2, και το άρθρο 77, παράγραφος 1, του ΓΚΠΔ έχουν την έννοια ότι, όταν διαπιστώνεται παραβίαση δεδομένων προσωπικού χαρακτήρα, η εποπτική αρχή δεν υπέχει υποχρέωση να λάβει διορθωτικό μέτρο, ιδίως δε να επιβάλει διοικητικό πρόστιμο, δυνάμει του άρθρου 58, παράγραφος 2, του κανονισμού αυτού, στην περίπτωση που μια τέτοια παρέμβαση δεν είναι κατάλληλη, αναγκαία ή αναλογική ώστε να θεραπευθεί η διαπιστωθείσα ανεπάρκεια και να διασφαλιστεί πλήρης συμμόρφωση με τον εν λόγω κανονισμό.
Επί των δικαστικών εξόδων
51 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (πρώτο τμήμα) αποφαίνεται:
Το άρθρο 57, παράγραφος 1, στοιχεία αʹ και στʹ, το άρθρο 58, παράγραφος 2, και το άρθρο 77, παράγραφος 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),
έχουν την έννοια ότι:
όταν διαπιστώνεται παραβίαση δεδομένων προσωπικού χαρακτήρα, η εποπτική αρχή δεν υπέχει υποχρέωση να λάβει διορθωτικό μέτρο, ιδίως δε να επιβάλει διοικητικό πρόστιμο, δυνάμει του άρθρου 58, παράγραφος 2, του κανονισμού αυτού, στην περίπτωση που μια τέτοια παρέμβαση δεν είναι κατάλληλη, αναγκαία ή αναλογική ώστε να θεραπευθεί η διαπιστωθείσα ανεπάρκεια και να διασφαλιστεί πλήρης συμμόρφωση με τον εν λόγω κανονισμό.
(υπογραφές)
