În anul 2020, consiliul municipal din Újpest (Ungaria) a decis să acorde un ajutor financiar persoanelor devenite vulnerabile ca urmare a pandemiei de Covid-19. În acest scop, a solicitat Trezoreriei statului maghiar și Biroului sectorului IV din cadrul Delegației guvernului din Budapesta Capitală să furnizeze datele cu caracter personal necesare verificării condițiilor de eligibilitate pentru obținerea ajutorului. Alertată printr-o raportare, Autoritatea maghiară pentru Protecția Datelor (denumită în continuare „autoritatea de supraveghere”) a constatat că atât consiliul din Újpest, cât și Trezoreria statului maghiar și biroul sectorial încălcaseră normele RGPD.
Pe baza acestui temei au fost aplicate amenzi. Autoritatea de supraveghere a arătat că consiliul din Újpest nu a informat persoanele vizate în termenul de o lună stabilit în acest sens nici cu privire la faptul și scopul utilizării datelor lor, nici cu privire la drepturile lor în materie de protecție a datelor. În plus, aceasta a dat dispoziţii consiliului din Újpest să șteargă datele persoanelor eligibile care nu solicitaseră ajutorul.
Consiliul din Újpest contestă această decizie la Curtea din Budapesta Capitală (Ungaria). Acesta susține că autoritatea de supraveghere nu are competența de a dispune ștergerea datelor cu caracter personal în lipsa unei cereri prealabile formulate în acest sens de persoana vizată. Instanța maghiară solicită Curții de Justiţie o interpretare a RGPD.
În hotărârea sa, Curtea de Justiție răspunde că autoritatea de supraveghere a unui stat membru poate dispune din oficiu, și anume chiar și în lipsa unei cereri prealabile formulate în acest sens de persoana vizată, ștergerea datelor prelucrate în mod ilegal dacă o astfel de măsură este necesară pentru a-și îndeplini sarcina de a asigura respectarea deplină a RGPD. În cazul în care această autoritate constată că o prelucrare a datelor nu respectă RGPD, ea trebuie să remedieze încălcarea constatată, chiar și fără o cerere prealabilă din partea persoanei vizate.
Astfel, cerința privind existenţa unei asemenea cereri ar însemna că operatorul, în lipsa unei cereri, ar putea să păstreze datele în cauză și să continue să le prelucreze în mod ilicit.
Pe de altă parte, autoritatea de supraveghere a unui stat membru poate dispune ștergerea datelor cu caracter personal prelucrate în mod ilegal atât atunci când acestea provin direct de la persoana vizată, cât și în cazul în care ele provin dintr-o altă sursă.
“Pentru aceste motive, Curtea (Camera a cincea) declară:
1) Articolul 58 alineatul (2) literele (d) și (g) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretat în sensul că autoritatea de supraveghere a unui stat membru este abilitată ca, în exercitarea competențelor sale corective prevăzute de aceste dispoziții, să dea dispoziții operatorului sau persoanei împuternicite de operator să fie șterse datele cu caracter personal care au fost prelucrate ilegal, chiar și atunci când persoana vizată nu a formulat în acest sens nicio cerere în vederea exercitării drepturilor sale în temeiul articolului 17 alineatul (1) din acest regulament.
2) Articolul 58 alineatul (2) din Regulamentul 2016/679 trebuie interpretat în sensul că competența autorității de supraveghere a unui stat membru de a dispune ștergerea datelor cu caracter personal care au fost prelucrate ilegal poate viza atât datele colectate de la persoana vizată, cât și datele care provin dintr‑o altă sursă.”
