Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał bardzo ciekawy wyrok, w którym orzekł, że krajowy organ nadzorczy (w Polsce – Prezes Urzędu Ochrony Danych Osobowych), może nakazać administratorowi lub podmiotowi przetwarzającemu usunięcie danych osobowych przetwarzanych niezgodnie z prawem, nawet jeżeli osoba, której dane dotyczą o to nie wnioskowała.
Urząd gromadzi informacje o mieszkańcach
Sprawa miała swój początek jeszcze w 2020 roku. Wówczas urząd miasta Újpest (dzielnica Budapesztu) zdecydował o przyznawaniu pomocy finansowej swoim mieszkańcom, którzy byli szczególnie narażeni na negatywne skutki pandemii COVID-19. Aby uzyskać pomoc, osoby te musiały jednak spełniać określone warunki. W celu ich weryfikacji, urzędnicy postanowili zwrócić się o udostępnienie danych osobowych mieszkańców do dwóch organów, tj. do węgierskiego skarbu państwa (Magyar Államkincstár) oraz do tzw. organu municypalnego (organu wchodzącego w skład miasta Budapeszt – Budapest Főváros Kormányhivatala IV. Kerületi Hivatala). Dane zostały udostępnione i obejmowały swoim zakresem podstawowe informacje pozwalające zidentyfikować poszczególnych mieszkańców oraz ich numery zabezpieczenia społecznego. Co ciekawe, urząd miasta pozyskał dane dotyczące również tych mieszkańców, którzy nie wnioskowali o przyznanie pomocy.
Spór o usunięcie danych
Sprawą zainteresował się węgierski organ nadzorczy (Nemzeti Adatvédelmi és Információszabadság Hatóság). Wszczął on postępowanie w tej sprawie, po otrzymaniu zgłoszenia o możliwych nieprawidłowościach. Regulator ustalił, że urząd miasta nie poinformował w odpowiednim czasie osób, których dane pozyskał, zarówno o celach przetwarzania ich danych osobowych, jak i o przysługujących im prawach w zakresie ochrony danych osobowych. W ocenie węgierskiego organu nadzorczego, zarówno urząd miasta, jak i organy, które udostępniły dane osobowe naruszyły przepisy RODO. Konsekwentnie, w decyzji nakazał on urzędnikom usunięcie danych osobowych mieszkańców, którzy nie wnioskowali o przyznanie pomocy finansowej. Dodatkowo, regulator zdecydował się nałożyć kary finansowe.
Z decyzją organu nadzorczego nie zgodził się urząd miasta. Zaskarżył ją do sądu, argumentując, że w jego ocenie regulator – w świetle przepisów RODO – nie jest uprawniony do nakazania administratorowi usunięcia danych osobowych, jeżeli wcześniej z takim żądaniem nie wystąpiła osoba, której dane dotyczą. Ocena tej kwestii okazała się na tyle trudna, że sąd zajmujący się tą sprawą postanowił poprosić TSUE o pomoc, kierując do niego prośbę o interpretację przepisów RODO w tym zakresie.
TSUE – wniosek osoby nie jest potrzebny
TSUE orzekł, że organ nadzorczy państwa członkowskiego może nakazać administratorowi lub podmiotowi przetwarzającemu usunięcie danych osobowych, które przetwarzane są niezgodnie z prawem. W ocenie europejskiego sądu, regulator może realizować swoje uprawnienia naprawcze w tym zakresie, nawet jeżeli osoba, której dane dotyczą nie składała wcześniej wniosku o usunięcie jej danych osobowych (art. 17 RODO). TSUE zwrócił uwagę, że organ nadzorczy jest zobowiązany korzystać ze swoich uprawnień naprawczych w taki sposób, aby zmierzały one do usunięcia stwierdzonych naruszeń prawa. Uzależnienie realizacji tych uprawnień od konieczności podjęcia przez podmiot danych określonych działań (np. złożenia wniosku o usunięcie danych), mogłoby prowadzić do sytuacji, w której administrator miałby możliwość dalszego przetwarzania danych osobowych niezgodnie z prawem, pomimo weryfikacji tego procesu przez organ nadzorczy.
Dodatkowo, TSUE wskazał w wyroku, że regulator może nakazać usunięcie danych osobowych przetwarzanych niezgodnie z prawem, niezależnie od tego, czy pochodzą one bezpośrednio od osoby, której dotyczą, czy też z innego źródła, co miało miejsce w opisywanej sprawie.
Słuszne rozstrzygnięcie TSUE
Wydaje się, że wyrok TSUE jest jak najbardziej słuszny. Ciężko bowiem wyobrazić sobie sytuację, w której organ nadzorczy – pomimo stwierdzenia nieprawidłowości – nie może skutecznie nakazać administratorowi ich usunięcia. Taka sytuacja oznaczałaby bowiem, że nadzór regulatora nad prawidłowym przetwarzaniem danych osobowych przez administratorów mógłby wymagać aktywnego działania osób, których dane dotyczą, tj. złożenia odpowiedniego wniosku, np. z żądaniem usunięcia danych osobowych.
Wyrok TSUE:
