Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku z 26 września 2024 r. (sygn. C-768/21) orzekł, że organ ochrony danych osobowych nie musi nakładać kary finansowej, nawet jeśli stwierdzi naruszenie RODO przez administratora. Sąd, rozpatrujący tę sprawę, skierował do TSUE pytanie prejudycjalne, wskazując na różne opinie w doktrynie dotyczące obowiązku nakładania sankcji z art. 58 ust. 2 RODO w sytuacji stwierdzenia naruszenia.
TSUE podkreślił, że ochrona obywateli jest głównym celem RODO, dlatego organy muszą podejmować działania zmierzające do usunięcia naruszeń. Jeśli zostanie stwierdzone naruszenie przepisów rozporządzenia, to musi on odpowiednio zareagować aby usunąć stwierdzone uchybienie. Niemniej jednak, środki te powinny być odpowiednie, niezbędne i proporcjonalne, a ich wybór zależy od okoliczności sprawy. Nie zawsze oznacza to konieczność nakładania kary. W pewnych przypadkach, jeśli naruszenie było krótkotrwałe i administrator szybko podjął działania naprawcze, sankcje mogą być nieuzasadnione i bezcelowe.
W analizowanej sprawie kasa oszczędnościowa sama zgłosiła naruszenie i podjęła środki zapobiegawcze, w tym działania dyscyplinarne wobec pracownicy. Ponadto, administrator zapowiedział przegląd procedur dotyczących dostępu do danych.
