Με απόφαση που εξέδωσε το Δικαστήριο της Ευρωπαϊκής Ένωσης χθες Πέμπτη 14 Μαρτίου στην υπόθεση C-46/23 έκρινε ότι οι εθνικές αρχές προστασίας δεδομένων προσωπικού χαρακτήρα οφείλουν να διαγράφουν δεδομένα προσωπικού χαρακτήρα που αποτέλεσαν αντικείμενο παράνομης επεξεργασίας από τρίτο πρόσωπο, ακόμη και αν δεν έχει υποβληθεί προηγουμένως αίτημα διαγραφής από το υποκείμενο των δεδομένων.
Ιστορικό
Το 2020, δημοτική αρχή της Ουγγαρίας αποφάσισε να παράσχει οικονομική στήριξη σε άτομα που είχαν καταστεί ευάλωτα από την πανδημία COVID-19. Για τον σκοπό αυτό, ζήτησε από το ουγγρικό Γενικό Λογιστήριο του Κράτους και το κυβερνητικό γραφείο της τέταρτης περιφέρειας της Βουδαπέστης να της παράσχουν τα απαιτούμενα προσωπικά δεδομένα προκειμένου να επιβεβαιωθεί εάν τα πρόσωπα που είχαν αιτηθεί την οικονομική στήριξη πληρούσαν τις απαιτούμενες προϋποθέσεις.
Αφού ειδοποιήθηκε από μια έκθεση, η ουγγρική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διαπίστωσε ότι η δημοτική αρχή, το ουγγρικό δημόσιο ταμείο και το κυβερνητικό γραφείο είχαν παραβιάσει τους κανόνες του Γενικού Κανονισμού για την Προστασία των Δεδομένων (ΓΚΠΔ). Στη βάση αυτή επιβλήθηκαν διοικητικά πρόστιμα.
Η Αρχή διαπίστωσε ότι ο Δήμος δεν είχε ενημερώσει τα υποκείμενα των δεδομένων, εντός της προβλεπόμενης προς τούτο προθεσμίας του ενός μηνός, για την πραγματική χρήση των δεδομένων τους, τον σκοπό της ή για τα δικαιώματά τους όσον αφορά την προστασία των δεδομένων. Κατόπιν τούτων, διέταξε επίσης τη δημοτική αρχή να διαγράψει τα δεδομένα των επιλέξιμων προσώπων που δεν είχαν υποβάλει αίτηση για την οικονομική στήριξη.
Εν συνεχεία, η δημοτική αρχή αμφισβήτησε την εν λόγω απόφαση ενώπιον του Ανώτατου Δικαστηρίου της Βουδαπέστης. Υποστήριξε ότι η εποπτική αρχή δεν έχει την εξουσία να διατάξει τη διαγραφή δεδομένων προσωπικού χαρακτήρα, εάν δεν έχει υποβληθεί προηγουμένως σχετικό αίτημα από το υποκείμενο των δεδομένων. Το ουγγρικό δικαστήριο ζήτησε την ερμηνεία του ΓΚΠΔ από το Δικαστήριο.
Απόφαση ΔΕΕ
Στην απόφασή του, το Δικαστήριο απαντά ότι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ενός κράτους μέλους μπορεί να διατάξει αυτεπαγγέλτως, δηλαδή ακόμη και χωρίς προηγούμενο σχετικό αίτημα του υποκειμένου των δεδομένων, τη διαγραφή δεδομένων που έχουν υποστεί παράνομη επεξεργασία, εάν το μέτρο αυτό είναι αναγκαίο για να διασφαλιστεί η πλήρης εφαρμογή του ΓΚΠΔ. Εάν η εν λόγω αρχή διαπιστώσει ότι η επεξεργασία των δεδομένων δεν είναι σύμφωνη με τον ΓΚΠΔ, οφείλει να αποκαταστήσει τη διαπιστωθείσα παράβαση, ακόμη και χωρίς προηγούμενο αίτημα του υποκειμένου των δεδομένων. Η απαίτηση να υπάρχει τέτοιο αίτημα θα σήμαινε ότι ο υπεύθυνος επεξεργασίας, όταν δεν υποβάλλεται αίτημα, θα μπορούσε να διατηρήσει τα επίμαχα δεδομένα και να συνεχίσει να τα επεξεργάζεται παράνομα.
Τέλος, είναι κρίσιμο να τονιστεί ότι, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ενός κράτους μέλους μπορεί να διατάξει τη διαγραφή παράνομα επεξεργασμένων δεδομένων προσωπικού χαρακτήρα τόσο όταν τα δεδομένα αυτά προέρχονται απευθείας από το υποκείμενο των δεδομένων όσο και όταν προέρχονται από άλλη πηγή.
Δείτε την απόφαση στη Qualex: ΔΕΕ υπόθ. C-46/23, απόφ. της 14.3.2024
Δείτε τη σχετική Έκδοση: THE GDPR HANDBOOK
Δείτε το σχετικό Σεμινάριο: GDPR – Αστική ευθύνη και Διοικητικά πρόστιμα