A tagállami felügyeleti hatóság elrendelheti a jogellenesen kezelt adatok törlését, még az érintett előzetes kérelme hiányában is – szögezi le az Európai Unió Bírósága g C-46/23. számú, Újpesti Polgármesteri Hivatal ügyben hozott ítéletében. Az ilyen törlés az e személytől gyűjtött, és a más forrásból származó adatokra is kiterjedhet – áll a döntésben.
Újpest Önkormányzata (Magyarország) 2020-ban úgy döntött, hogy a COVID-19 világjárvány által veszélyeztetett lakosok részére anyagi támogatást biztosít. E célból, a támogatásra való jogosultságot érintő feltételek megállapításához szükséges személyes adatok beszerzése érdekében a Magyar Államkincstárhoz és Budapest Főváros Kormányhivatala IV. Kerületi Hivatalához fordult.
A magyar adatvédelmi hatóság (a továbbiakban: felügyeleti hatóság), amelyhez közérdekű bejelentés érkezett, megállapította, hogy Újpest Önkormányzata, a Magyar Államkincstár és a Kormányhivatal megsértette a GDPR (a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet – általános adatvédelmi rendelet) rendelkezéseit. Bírságok kiszabására is sor került.
A felügyeleti hatóság megállapította, hogy Újpest Önkormányzata az erre előírt egy hónapon belül nem nyújtott tájékoztatást az érintetteknek sem az adataik kezeléséről, sem annak céljáról, és az adatvédelmi jogaikról sem. Ezenfelül e hatóság arra utasította Újpest Önkormányzatát, hogy törölje azoknak az érintetteknek a személyes adatait, akik jogosultak lettek volna a támogatást igénybe venni, de azt nem kérték.
Újpest Önkormányzata vitatja e határozatot a Fővárosi Törvényszék előtt. Álláspontja szerint a felügyeleti hatóság nem jogosult arra, hogy a személyes adatok törlését anélkül rendelje el, hogy az érintett e célból előzetesen kérelmet terjesztett volna elő.
A magyar bíróság az Európai Unió Bíróságát a GDPR értelmezésére kérte.
A Bíróság az ítéletében azt válaszolja, hogy
a tagállami felügyeleti hatóság hivatalból azaz, még az érintettnek az erre irányuló előzetes kérelme hiányában is elrendelheti a jogellenesen kezelt adatok törlését, ha ilyen intézkedés szükséges a GDPR teljes körű tiszteletben tartásának a biztosítására irányuló feladatának az ellátásához.
Ha e hatóság azt állapítja meg, hogy valamely adatkezelés nem felel meg a GDPR-nek, orvosolnia kell a megállapított jogsértést, még az érintett előzetes kérelmének hiányában is. Az ilyen kérelemre vonatkozó követelmény ugyanis azt jelentené, hogy az adatkezelő a kérelem hiányában megőrizhetné a szóban forgó személyes adatokat, és azokat továbbra is jogellenesen kezelhetné.
A tagállami felügyeleti hatóság egyébiránt a jogellenesen kezelt személyes adatok törlését
akkor is elrendelheti, ha azok közvetlenül az érintettől származnak, és akkor is, ha azokat más forrásból gyűjtötték.
