CJEU: Izbris podatkov na zahtevo nadzornih organov
Sodišče EU je presodilo, da lahko nadzorni organi odredijo izbris osebnih podatkov po uradni dolžnosti ne glede na to, od kod izvirajo podatki in ali je posameznik njihov izbris zahteval.
Sodba je bila objavljena 14.3.2024
Februarja 2020 je uprava Újpest (upravljavec) pridobila osebne podatke o madžarskih prebivalcih od madžarske Državne blagajne in okrožnega urada v Budimpešti. Namen je bil ugotoviti upravičenost do programa, katerega namen je zagotoviti finančno podporo prebivalcem, ki so postali ranljivi zaradi pandemije COVID-19.
Madžarski nadzorni organ je sprožil preiskavo, potem ko jo bil opozorjen na obdelavo. Nadzorni organ je ugotovil, da upravljavec posameznikov ni pravočasno seznanil s kategorijami osebnih podatkov, ki se obdelujejo, nameni obdelave ali načinom uveljavljanja pravic v zvezi z obdelavo. Aprila 2021 je nadzorni organ odločil, da je upravljavec kršil člene 5, 14 in 12(1) GDPR. V skladu s členom 58(2)(d) je nadzorni organ upravljavcu odredil izbris osebnih podatkov posameznikov, ki so imeli pravico do izbrisa in tega niso zahtevali sami.
Upravljavec je odredbo nadzornega organa izpodbijal pred Višjim sodiščem v Budimpešti z utemeljitvijo, da člen 58(2)(d) GDPR ne pooblašča nadzornega organa, da odredi izbris osebnih podatkov, če zahteve iz člena 17 GDPR ne poda posameznik. Višje sodišče v Budimpešti je Sodišče EU zaprosilo za pojasnilo o razlagah člena 17 in 58(2)(d) GDPR:
Ali lahko nadzorni organ upravljavcu ali obdelovalcu odredi, da izbriše nezakonito obdelane osebne podatke kljub odsotnosti zahteve posameznika, na katerega se nanašajo osebni podatki?
Če lahko nadzorni organ predpiše tovrstne ukrepe, ali je to odvisno od tega, ali so bili osebni podatki pridobljeni od posameznika ali ne?
Pri odločanju o prvem vprašanju je sodišče razsodilo, da lahko organ za varstvo podatkov na lastno pobudo izvaja nekatera popravljalna pooblastila v skladu s členom 58(2) GDPR, in sicer 58(2)(d) in (g) GDPR. Po drugi strani člen 58(2)(c) GDPR zahteva predhodno zahtevo posameznika, na katerega se nanašajo osebni podatki.
Sodišče je ugotovilo, da člen 58(2)(d) in (g) GDPR ne zahteva, da bi moral posameznik vložiti zahtevek pri nadzornem organu, da bi le ta izrekel korektivni ukrep. Člen 58 GDPR uporablja drugačno besedilo za razlikovanje med popravljalnimi ukrepi, ki se lahko sprejmejo le na zahtevo posameznika, kot je člen 58(2)(c) GDPR, in popravljalnimi ukrepi, ki jih lahko odredi organ po uradni dolžnosti, npr. člen 58(2)(d) in (g) GDPR. Poleg tega je sodišče ugotovilo, da člen 17(1) GDPR razlikuje med pravico posameznika, da doseže izbris svojih podatkov, in obveznostjo upravljavca, da brez nepotrebnega odlašanja izbriše take osebne podatke. Obveznost upravljavca tako velja ne glede na to, ali izbris zahteva posameznik.
V zvezi z drugim vprašanjem je Sodišče sklenilo, da pooblastilo nadzornega organa, da odredi izbris nezakonito obdelanih podatkov, velja tako za podatke, zbrane od posameznika, kot za podatke, ki izvirajo iz drugega vira. Opozorilo je, da besedilo določb ne nakazuje, da so pooblastila nadzornega organa za izrek korektivnih ukrepov odvisna od izvora podatkov.
Celotna sodba je dostopna tukaj
Vir: GDPRHub
