Trybunał Sprawiedliwości Unii Europejskiej w sprawie prowadzonej pod sygn. akt C-46/23 orzekł, że organ ochrony danych osobowych nie jest zobowiązany oczekiwać na wniosek osoby, której dane są przetwarzane nielegalnie, aby skutecznie chronić te dane. Wyrok ten został wydany w odpowiedzi na pytanie zadane przez węgierski sąd dotyczące interpretacji przepisów ogólnego rozporządzenia o ochronie danych (RODO).
Sprawa ta dotyczyła decyzji urzędu dzielnicy Újpest w Budapeszcie z 2020 roku, który postanowił udzielić pomocy finansowej osobom szczególnie dotkniętym skutkami pandemii COVID-19. W celu realizacji tego celu, urząd ten poprosił węgierski skarb państwa oraz urząd miasta Budapeszt o udostępnienie danych osobowych niezbędnych do weryfikacji kwalifikowalności do otrzymania wsparcia.
Organ nadzorczy ds. ochrony danych osobowych węgierski odpowiednik polskiego Prezesa Urzędu Ochrony Danych Osobowych, został powiadomiony o tym wniosku urzędu dzielnicy. Stwierdził on, że zarówno urząd dzielnicy Újpest, jak i skarb państwa oraz organ miejski naruszyły przepisy RODO i nałożył na nie kary pieniężne.
Okazało się, że administracja Újpestu nie poinformowała w terminie jednego miesiąca osób, których dane dotyczyły, ani o celach przetwarzania ich danych, ani o ich prawach w zakresie ochrony danych, co było wymogiem wynikającym z RODO. W związku z tym urząd dzielnicy został zobowiązany do usunięcia danych osób, które nie złożyły wniosku o pomoc, a które kwalifikowały się do niej.
Administracja Újpestu zaskarżyła tę decyzję przed sądem w Budapeszcie, argumentując, że organ nadzorczy nie ma prawa nakazać usunięcia danych osobowych bez wcześniejszego żądania osoby, których dane dotyczą.
Sąd w Budapeszcie poprosił TSUE o wykładnię RODO. Oto odpowiedź:
– Organ nadzorczy państwa członkowskiego UE może nakazać z urzędu – tj. nawet bez uprzednio wyrażonego w tym celu żądania osoby, której dane dotyczą – usunięcie danych przetwarzanych niezgodnie z prawem, jeżeli taki środek jest konieczny dla wywiązania się z powierzonego mu zadania polegającego na egzekwowaniu pełnego przestrzegania RODO. Jeżeli organ ten stwierdzi, że przetwarzanie danych nie jest zgodne z RODO, ma wręcz obowiązek usunąć stwierdzone naruszenie, nawet bez uprzedniego żądania osoby, której dane dotyczą. Takie usunięcie może dotyczyć zarówno danych uzyskanych od tej osoby, jak i danych pochodzących z innego źródła – zaznaczył TSUE.
Jak zauważył Trybunał, wymóg otrzymania uprzedniego żądania oznaczałby, że administrator danych mógłby — w razie jego braku — zachować dane i nadal przetwarzać je w sposób niezgodny z prawem.
