Az Európai Bíróság - március 14-i ítéletében - egyértelműen kimondta, hogy a tagállami adatvédelmi hatóság a GDPR-ból fakadó hatáskörének gyakorlása során jogosult arra, hogy az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére utasítsa, akkor is, ha az érintett nem terjesztett elő erre irányuló kérelmet.
1. A döntés előzménye
Újpest Önkormányzata 2020 februárjában úgy döntött, hogy a Covid19‑világjárvány veszélyeztetett csoportjába tartozó, bizonyos jogosultsági feltételeknek megfelelő kerületi lakosok részére támogatást biztosít. A jogosultsági feltételek megállapításához szükséges személyes adatok beszerzése érdekében a Magyar Államkincstárhoz és Budapest Főváros Kormányhivatala IV. Kerületi Hivatalához fordult. A kért adatok közé tartoztak - többek között - a természetes személyazonosító adatok és a társadalombiztosítási azonosító jel. A megkeresett szervek az adatkéréseket teljesítették. (Lásd ítélet 13-14. pontok)
A NAIH - közérdekű bejelentés alapján - indított eljárást, amaly eljárásban hozott határozatában megállapította, hogy Újpest Önkormányzata megsértette a GDPR 5. és 14. cikkének több rendelkezését, valamint a 12. cikk (1) bekezdését. A fentiekre tekintettel a NAIH - a GDPR 58. cikke (2) bekezdésének d) pontja alapján - utasította Újpest Önkormányzatát, hogy törölje azoknak az érintetteknek a személyes adatait, akik jogosultak lettek volna a támogatást igénybe venni, de azt nem kérték. (Lásd ítélet 16-17. pontok)
Az Újpesti Önkormányzat bíróság előtt megtámadta a NAIH határozatát és a bíróság fordult előzetes döntéshozatali eljárásban az Európai Bírósághoz annak tisztázására, hogy
Úgy kell‑e értelmezni az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016. április 27. napján kelt 2016/679 rendeletének (a továbbiakban: GDPR) 58. cikk (2) bekezdését, különösen annak c), d) és g) pontjait, hogy a tagállami felügyeleti hatóság korrekciós hatáskörében eljárva, az erre vonatkozó GDPR 17. cikk (1) bekezdése szerinti kifejezett érintetti kérelem nélkül is utasíthatja az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére? (Ítélet, 24. pont, kiemelés tőlem)
2. Az Európai Bíróság döntése
Ahogy a bevezetőben szerepel az Európai Bíróság kimondta, hogy a tagállami adatvédelmi hatóság a GDPR-ból fakadó hatáskörének gyakorlása során jogosult arra, hogy az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére utasítsa, akkor is, ha az érintett nem terjesztett elő erre irányuló kérelmet. A hatóság ezt a hatáskörét gyakorolhatja mind az érintettől közvetlenül beszerzett, mind pedig a más forrásból származó adatokra.
3. Miért volt szükség erre a döntésre?
Elsőre nyilvánvalónak tűnik, hogy a tagállami adatvédelmi hatóság - kifejezett érintetti kérelem hiányában is - jogosult törlésre kötelezni az adatkezelőt vagy adatfeldolgozót, ha az adatkezelés jogellenesen történik. Akkor miért tette fel a kérdést az eljáró magyar bíróság?
A kérdés a GDPR 58. cikk (2) bekezésének, azon belül is a c), d) és g) pontok értelmezésére irányult, mivel az eljáró bíróság úgy ítélte meg, hogy nem egyértelmű miszerint a hatósági hatáskörök az érintetti joggyakorlás érvényesülésének biztosítását szolgálják-e vagy ezen túlmenően a GDPR-nak való megfelelést, akkor is, ha ehhez nam kapcsolódik közvetlenül érintetti joggyakorlás.
A GDPR 58. cikk (2) bekezdése szerint:
"(2) A felügyeleti hatóság korrekciós hatáskörében eljárva:
[...]
c) utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintettnek az e rendelet szerinti jogai gyakorlására vonatkozó kérelmét;
d) utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba e rendelet rendelkezéseivel;
[...]
g) a 16., 17., illetve a 18. cikkben foglaltaknak megfelelően elrendeli a személyes adatok helyesbítését, vagy törlését, illetve az adatkezelés korlátozását, valamint a 17. cikk (2) bekezdésének és a 19. cikknek megfelelően elrendeli azon címzettek erről való értesítését, akikkel vagy amelyekkel a személyes adatokat közölték;
[...]"
A jogi szabályozás oldaláról nézve, érdemes megemlíteni, hogy az Infotv. (az információs önrendelkezési jogról és az információszabadságról szóló 2011. éci CXII. törvény) 2021. december 31-ig napjáig (azaz az eljárás idején is) hatályos szövege a NAIH hatásköre kapcsán azt tartalmazta, hogy
"61. § (1) Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság
a) a 2. § (2) és (4) bekezdésében meghatározott adatkezelési műveletekkel összefüggésben az általános adatvédelmi rendeletben meghatározott jogkövetkezményeket alkalmazhatja
[...]".
Látható, hogy az Infotv. csak általánosságban utal a GDPR szerinti jogkörökre, de nem említi külön például a törlés elrendelésének a lehetőségét. Ez azonban időközben megváltozott és az Infotv. 2022. január 1. óta hatályos szövege egyértelműbben fogalmaz:
"61. § (1) Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság
a) a 2. § (2) és (4) bekezdésében meghatározott adatkezelési műveletekkel összefüggésben az általános adatvédelmi rendeletben meghatározott jogkövetkezményeket alkalmazhatja, így különösen kérelemre vagy hivatalból elrendelheti a jogellenesen kezelt személyes adatok általa meghatározott módon végrehajtandó törlését, illetve átmenetileg vagy véglegesen egyéb módon korlátozhatja az adatkezelést [...]" (kiemelés tőlem)
A Bíróság - kiindulva a GDPR céljából - összeolvasva a GDPR különböző rendelkezéseit, beleértve a GDPR 5. cikk szerinti alapelvi rendelkezéseit is és figyelembe véve a korábbi ítélkezési gyakorlatát, megerősítette, hogy "egy nemzeti felügyeleti hatóság a vizsgálata végén úgy ítéli meg, hogy az érintett személy nem részesül megfelelő szintű védelemben, az uniós jog alapján köteles megfelelően reagálni a megállapított hiányosság orvoslása érdekében, mégpedig függetlenül e hiányosság eredetétől vagy jellegétől. E célból a GDPR 58. cikkének (2) bekezdése felsorolja azokat a különböző korrekciós intézkedéseket, amelyeket a felügyeleti hatóság elfogadhat. E felügyeleti hatóságnak kell megválasztania a megfelelő eszközt az e rendelet teljes körű tiszteletben tartásának biztosítására irányuló feladatának a kellő gondossággal történő ellátásához ...." (Ítélet, 34. pont, kiemelés tőlem)
A fentiekre és arra is figyelemmel, hogy a GDPR 58. cikk (2) bekezdés d) pontja szerinti korrekciós hatáskörben hivatkozásként sem jelenik meg az érintetti joggyakorlás, a Bíróság végkövetkeztetése megerősíti a tagállami hatóságok hivatalbóli eljárási lehetőségét az adatkezelések jogszerűségének biztosításában, beleértve a törlés elrendelésének a lehetőségét is.
A Bíróság ítélete és az Infotv. időközben elfogadott módosítása után egyértelmű a helyzet: az adatkezelések jogszerűségének kikényszerítése érdekében a hatóságnak széleskörű intézkedési lehetőségei vannak, konkrét intézkedésekre vonatkozó kérelem, illetve előzetes érintetti joggyakorálás hiányában is.