Conform unui comunicat de presă publicat la data de 14 martie 2024 pe pagina oficială de internet, Curtea de Justiție a Uniunii Europene (CJUE) a precizat, în cauza C-46/23 – Újpesti Polgármesteri Hivatal, că autoritatea de supraveghere a unui stat membru poate dispune ștergerea datelor prelucrate în mod ilegal, chiar și în lipsa unei cereri prealabile din partea persoanei vizate.
O astfel de ștergere poate viza atât datele colectate de la această persoană, cât și pe cele care provin dintr-o altă sursă.
În anul 2020, consiliul municipal din Újpest (Ungaria) a decis să acorde un ajutor financiar persoanelor devenite vulnerabile ca urmare a pandemiei de Covid-19. În acest scop, a solicitat Trezoreriei statului maghiar și Biroului Sectorului IV din cadrul Delegației guvernului din Budapesta Capitală să furnizeze datele cu caracter personal necesare verificării condițiilor de eligibilitate pentru obținerea ajutorului.
Alertată printr-o raportare, Autoritatea maghiară pentru Protecția Datelor (denumită în continuare „autoritatea de supraveghere”) a constatat că atât consiliul din Újpest, cât și Trezoreria statului maghiar și biroul sectorial încălcaseră normele RGPD[1]. Pe baza acestui temei au fost aplicate amenzi.
Autoritatea de supraveghere a arătat că consiliul din Újpest nu a informat persoanele vizate în termenul de o lună stabilit în acest sens nici cu privire la faptul și scopul utilizării datelor lor, nici cu privire la drepturile lor în materie de protecție a datelor. În plus, aceasta a dat dispoziţii consiliului din Újpest să șteargă datele persoanelor eligibile care nu solicitaseră ajutorul.
Consiliul din Újpest contestă această decizie la Curtea din Budapesta Capitală (Ungaria). Acesta susține că autoritatea de supraveghere nu are competența de a dispune ștergerea datelor cu caracter personal în lipsa unei cereri prealabile formulate în acest sens de persoana vizată.
Instanța maghiară solicită Curții de Justiţie o interpretare a RGPD.
În hotărârea sa, Curtea de Justiție răspunde că autoritatea de supraveghere a unui stat membru poate dispune din oficiu, și anume chiar și în lipsa unei cereri prealabile formulate în acest sens de persoana vizată, ștergerea datelor prelucrate în mod ilegal dacă o astfel de măsură este necesară pentru a-și îndeplini sarcina de a asigura respectarea deplină a RGPD. În cazul în care această autoritate constată că o prelucrare a datelor nu respectă RGPD, ea trebuie să remedieze încălcarea constatată, chiar și fără o cerere prealabilă din partea persoanei vizate. Astfel, cerința privind existenţa unei asemenea cereri ar însemna că operatorul, în lipsa unei cereri, ar putea să păstreze datele în cauză și să continue să le prelucreze în mod ilicit.
Pe de altă parte, autoritatea de supraveghere a unui stat membru poate dispune ștergerea datelor cu caracter personal prelucrate în mod ilegal atât atunci când acestea provin direct de la persoana vizată, cât și în cazul în care ele provin dintr-o altă sursă.
[1] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).