W czwartek, 26 września, Trybunał Sprawiedliwości UE (TSUE) odpowiedział na pytanie sądu niemieckiego, rozstrzygającego spór w tej sprawie. Trybunał  uznał, że urząd nie ma obowiązku nakładania kar, w szczególności pieniężnych, w przypadku naruszenia przez jakąś instytucję ochrony danych osobowych, jeśli takie działanie nie jest niezbędne do usunięcia naruszeń i zapewnienia pełnego przestrzegana RODO i jeśli administrator danych już podjął odpowiednie działania. W tym przypadku kasa oszczędnościowa wyciągnęła konsekwencje dyscyplinarne wobec pracownicy oraz zobowiązała ją do podpisania oświadczenia.

Trybunał podkreślił, że zapisy RODO pozostawiają organom nadzorczym uznanie, jak należy usuwać uchybienia, by zapewnić wysoką ochronę danych osobowych i rygorystyczne stosowanie przepisów. Teraz sąd niemiecki będzie musiał zbadać, czy krajowy inspektor danych przestrzegał tych wytycznych.

Czytaj w LEX: Zakres przetwarzania danych osobowych, podstawy przetwarzania danych oraz retencja danych w procesie zgłaszania naruszeń prawa - ujęcie podmiotowe i przedmiotowe >

Na czym polegał wyciek danych 

W tym konkretnym wypadku pracownica kasy oszczędnościowej przyznała się, że naruszyła prywatność klienta i potwierdziła na piśmie, że nie skopiowała ani nie przechowywała danych, nie przekazała ich osobom trzecim oraz że nie zrobi tego w przyszłości. Kasa oszczędnościowa wyciągnęła wobec niej konsekwencje dyscyplinarne, ale nie poinformowała o zaistniałej sytuacji klienta, wychodząc z założenia, że nie było wysokiego ryzyka naruszenia jego praw. Poinformowała jednak o naruszeniu inspektora ochrony danych kraju związkowego Hesja.