CJUE clarifică: Autoritățile de supraveghere pot cere ștergerea datelor personale ilegal procesate, chiar și fără cererea persoanei vizate

Contextul cauzei C-46/23 implică administrația unui district din Budapesta care a colectat date personale pentru a oferi ajutor financiar persoanelor vulnerabilizate de pandemia de COVID-19. Aceste date au fost obținute de la Trezoreria statului maghiar și de la un birou guvernamental. Ulterior, autoritatea de control pentru protecția datelor din Ungaria a deschis o investigație și a constatat că administrația nu a respectat prevederile GDPR referitoare la informarea persoanelor și a ordonat ștergerea datelor celor care nu au solicitat ajutorul financiar, considerând procesarea acestora ca fiind ilegală.

Administrația a contestat această decizie, argumentând că autoritatea de control nu ar avea puterea de a ordona ștergerea datelor fără o cerere prealabilă din partea persoanelor vizate, bazându-se pe interpretarea dreptului la ștergere ca un drept exclusiv al persoanei în cauză.

Curtea Constituțională din Ungaria a intervenit, anulând o decizie precedentă a Curții Supreme și stabilind că autoritatea de control are dreptul de a ordona ștergerea datelor procesate ilegal, chiar și în absența unei cereri din partea persoanei vizate. Această interpretare a fost susținută de un aviz al Comitetului European pentru Protecția Datelor, care a subliniat că există două situații distincte de ștergere a datelor în GDPR: la cererea persoanei sau ca o obligație autonomă a operatorului.

CJUE i-a fost solicitat să clarifice dacă autoritățile de supraveghere naționale pot ordona ștergerea datelor procesate ilegal fără o cerere a persoanei vizate și, dacă da, pe ce bază legală. În decizia sa, pronunțată astăzi, Curtea a subliniat că autoritățile de control au misiunea de a asigura aplicarea GDPR și au puterea de a adopta măsuri corective necesare pentru a remedia orice încălcare a regulamentului. Acest lucru include dreptul de a ordona ștergerea datelor procesate ilegal, chiar și fără o cerere prealabilă din partea persoanei vizate, în conformitate cu art. 58, paragraful 2, literele d) și g) din regulament.

Curtea a explicat că GDPR prevede două scenarii distincte pentru ștergerea datelor: una la cererea persoanei vizate și alta ca o obligație a operatorului de date, independentă de orice cerere. Această interpretare este în concordanță cu principiile fundamentale ale GDPR, care vizează protecția drepturilor și libertăților individuale în ceea ce privește prelucrarea datelor personale.