Wyrok TSUE w sprawie C-46/23 Újpesti Polgármesteri Hivatal
Organ nadzorczy państwa członkowskiego może nakazać usunięcie danych przetwarzanych niezgodnie z prawem, nawet bez żądania osoby, której dane dotyczą. Takie usunięcie może dotyczyć zarówno danych uzyskanych od tej osoby, jak i danych pochodzących z innego źródła.
W 2020 r. urząd miasta Újpest (Węgry) podjął decyzję o udzieleniu pomocy finansowej osobom szczególnie narażonym na skutki pandemii COVID-19. W tym celu zwrócił się do węgierskiego skarbu państwa i do urzędu czwartego okręgu miasta stołecznego Budapeszt o przekazanie danych osobowych niezbędnych do sprawdzenia warunków kwalifikowalności do uzyskania pomocy.
Zawiadomiony w drodze zgłoszenia węgierski organ odpowiedzialny za ochronę danych osobowych („organ nadzorczy”) ustalił, że zarówno urząd miasta Újpest, węgierski skarb państwa, jak i organ municypalny naruszyły przepisy RODO. W związku z tym zastosowano kary pieniężne.
Organ nadzorczy stwierdził, że administracja Újpestu nie poinformowała ‒ w terminie jednego miesiąca ‒ osób, których dane dotyczą, ani o celach wykorzystywania ich danych, ani o ich prawach w dziedzinie ochrony danych. Ponadto organ ten nakazał administracji Újpestu usunięcie danych osób kwalifikujących się do pomocy, które o tę pomoc nie wystąpiły.
Administracja Újpestu kwestionuje tę decyzję przed sądem dla miasta stołecznego Budapeszt, twierdząc, że organ nadzorczy nie jest uprawniony do nakazania usunięcia danych osobowych bez uprzedniego żądania osoby, której dane dotyczą. Węgierski sąd zwrócił się do Trybunału Sprawiedliwości o dokonanie wykładni RODO. W wyroku Trybunał Sprawiedliwości orzekł, że organ nadzorczy państwa członkowskiego może nakazać z urzędu – tj. nawet bez uprzednio wyrażonego w tym celu żądania osoby, której dane dotyczą – usunięcie danych przetwarzanych niezgodnie z prawem, jeżeli taki środek jest konieczny dla wywiązania się z powierzonego mu zadania polegającego na egzekwowaniu pełnego przestrzegania RODO. Jeżeli organ ten stwierdzi, że przetwarzanie danych nie jest zgodne z RODO, ma obowiązek usunąć stwierdzone naruszenie, nawet bez uprzedniego żądania osoby, której dane dotyczą. Wymóg wyrażenia takiego żądania oznaczałby bowiem, że administrator danych mógłby w razie jego braku, zachować rozpatrywane dane i nadal przetwarzać je w sposób niezgodny z prawem. Poza tym organ nadzorczy państwa członkowskiego może nakazać usunięcie danych osobowych przetwarzanych niezgodnie z prawem zarówno wtedy, gdy pochodzą one bezpośrednio od osoby, której dotyczą, jak i w przypadku innego źródła pochodzenia.
Źródło: komunikat TSUE
