Magyar adatvédelmi ügyben döntött az Európai Unió Bírósága

Megosztás Tetszik

A személyes adatok védelme: a tagállami felügyeleti hatóság elrendelheti a jogellenesen kezelt adatok törlését, még az érintett előzetes kérelme hiányában is, olvasható az Európai Unió Bírósága C-46/23. számú ügyben hozott ítéletéből. Az ilyen törlés az e személytől gyűjtött, és a más forrásból származó adatokra is kiterjedhet.

Újpest Önkormányzata (Magyarország) 2020-ban úgy döntött, hogy a Covid–19 világjárvány által veszélyeztetett lakosok részére anyagi támogatást biztosít. E célból, a támogatásra való jogosultságot érintő feltételek megállapításához szükséges személyes adatok beszerzése érdekében a Magyar Államkincstárhoz és Budapest Főváros Kormányhivatala IV. Kerületi Hivatalához fordult.

A magyar adatvédelmi hatóság (a továbbiakban: felügyeleti hatóság), amelyhez közérdekű bejelentés érkezett, megállapította, hogy Újpest Önkormányzata, a Magyar Államkincstár és a Kormányhivatal megsértette a GDPR rendelkezéseit. Bírságok kiszabására is sor került.

A felügyeleti hatóság megállapította, hogy Újpest Önkormányzata az erre előírt egy hónapon belül nem nyújtott tájékoztatást az érintetteknek sem az adataik kezeléséről, sem annak céljáról, és az adatvédelmi jogaikról sem. Ezenfelül e hatóság arra utasította Újpest Önkormányzatát, hogy törölje azoknak az érintetteknek a személyes adatait, akik jogosultak lettek volna a támogatást igénybe venni, de azt nem kérték.

Újpest Önkormányzata vitatja e határozatot a Fővárosi Törvényszék (Magyarország) előtt. Álláspontja szerint a felügyeleti hatóság nem jogosult arra, hogy a személyes adatok törlését anélkül rendelje el, hogy az érintett e célból előzetesen kérelmet terjesztett volna elő.

A magyar bíróság az Európai Bíróságot a GDPR értelmezésére kérte.

A bíróság az ítéletében azt válaszolta, hogy a tagállami felügyeleti hatóság hivatalból azaz, még az érintettnek az erre irányuló előzetes kérelme hiányában is elrendelheti a jogellenesen kezelt adatok törlését, ha ilyen intézkedés szükséges a GDPR teljes körű tiszteletben tartásának a biztosítására irányuló feladatának az ellátásához. Ha e hatóság azt állapítja meg, hogy valamely adatkezelés nem felel meg a GDPR-nak, orvosolnia kell a megállapított jogsértést, még az érintett előzetes kérelmének hiányában is. Az ilyen kérelemre vonatkozó követelmény ugyanis azt jelentené, hogy az adatkezelő a kérelem hiányában megőrizhetné a szóban forgó személyes adatokat, és azokat továbbra is jogellenesen kezelhetné.

A tagállami felügyeleti hatóság egyébiránt a jogellenesen kezelt személyes adatok törlését akkor is elrendelheti, ha azok közvetlenül az érintettől származnak, és akkor is, ha azokat más forrásból gyűjtötték.