Trybunał Sprawiedliwości Unii Europejskiej, w odpowiedzi na wniosek węgierskiego sądu, wydał wyrok umożliwiający organom nadzorczym nakazywanie usuwania danych osobowych przetwarzanych niezgodnie z prawem, nawet bez prośby osoby, której dane dotyczą. Decyzja ta zapadła w kontekście sprawy dotyczącej nielegalnego przetwarzania danych osobowych przez urząd miasta Újpest podczas pandemii COVID-19. To znaczące orzeczenie podkreśla rolę organów nadzorczych w aktywnej ochronie praw jednostek.
14 marca bieżącego roku Trybunał Sprawiedliwości UE (TSUE) wydał orzeczenie w sprawie o sygnaturze C-46/23. Decyzja ta została wydana w trybie prejudycjalnym na wniosek sądu dla miasta Budapeszt. Dotyczyła rozpatrywania skargi złożonej przez urząd miasta Újpest (Węgry) przeciwko postanowieniu węgierskiej instytucji odpowiedzialnej za ochronę danych osobowych. Węgierskie sąd zwrócił się do TSUE z prośbą o interpretację według wykładni ogólnego rozporządzenia o ochronie danych (RODO).
Szczegóły sprawy Újpest: naruszenie danych osobowych podczas pandemii COVID-19
W przedmiotowej sprawie chodziło o to, że władze Újpest zdecydowały się przyznać wsparcie finansowe ludziom szczególnie dotkniętym przez pandemię COVID-19 i w tym celu poprosiły węgierski urząd skarbowy oraz biuro czwartego okręgu Budapesztu o dostarczenie danych osobowych, na bazie których kwalifikowano do otrzymania pomocy. Sprawa została zgłoszona do węgierskiej instytucji ochrony danych osobowych, która uznała, że doszło do naruszenia RODO i nałożyła grzywnę. W trakcie procesu ustalono, że urząd Újpest nie poinformował osób, których dotyczyły dane, o celach ich przetwarzania ani o przysługujących im prawach z zakresu ochrony danych w odpowiednim terminie. Nadzorca nakazał też usunięcie danych osób, które mogłyby otrzymać pomoc, ale się o nią nie ubiegały. Urząd Újpest zakwestionował decyzję nadzorczą, argumentując, że instytucja nie jest uprawniona do nakazania usunięcia danych osobowych bez żądania osoby, której dane dotyczą.
Co oznacza orzeczenie TSUE?
TSUE orzekł, że instytucja nadzorcza może, z własnej inicjatywy – czyli nawet bez specjalnego żądania od danej osoby – zarządzić usunięcie danych przetwarzanych niezgodnie z prawem, jeśli jest to niezbędne do wykonania powierzonych jej zadań związanych z zapewnieniem przestrzegania RODO. Gdyby wymagano takiego żądania za każdym razem, administrator danych mógłby – w przypadku nie otrzymania takiej prośby – zatrzymać dane i kontynuować ich przetwarzanie w sposób nielegalny. Co więcej, organ nadzorczy ma prawo nakazać usunięcie danych osobowych przetwarzanych niezgodnie z prawem, niezależnie od tego, czy dane te pochodzą bezpośrednio od osoby, której dotyczą, czy z innych źródeł.
r. pr. Katarzyna Borowska