A személyes adatok védelméről döntött az Európai Unió Bírósága


A tagállami felügyeleti hatóság elrendelheti a jogellenesen kezelt adatok törlését, még az érintett előzetes kérelme hiányában is. Az ilyen törlés az e személytől gyűjtött, és a más forrásból származó adatokra is kiterjedhet.

Újpest Önkormányzata 2020-ban úgy döntött, hogy a COVID-19 világjárvány által veszélyeztetett lakosok részére anyagi támogatást biztosít. E célból, a támogatásra való jogosultságot érintő feltételek megállapításához szükséges személyes adatok beszerzése érdekében a Magyar Államkincstárhoz és Budapest Főváros Kormányhivatala IV. Kerületi Hivatalához fordult.

A magyar adatvédelmi hatóság (a továbbiakban: felügyeleti hatóság), amelyhez közérdekű bejelentés érkezett, megállapította, hogy Újpest Önkormányzata, a Magyar Államkincstár és a Kormányhivatal megsértette a GDPR rendelkezéseit. Bírságok kiszabására is sor került.

A felügyeleti hatóság megállapította, hogy Újpest Önkormányzata az erre előírt egy hónapon belül nem nyújtott tájékoztatást az érintetteknek sem az adataik kezeléséről, sem annak céljáról, és az adatvédelmi jogaikról sem. Ezenfelül e hatóság arra utasította Újpest Önkormányzatát, hogy törölje azoknak az érintetteknek a személyes adatait, akik jogosultak lettek volna a támogatást igénybe venni, de azt nem kérték.

Újpest Önkormányzata vitatja e határozatot a Fővárosi Törvényszék (Magyarország) előtt. Álláspontja szerint a felügyeleti hatóság nem jogosult arra, hogy a személyes adatok törlését anélkül rendelje el, hogy az érintett e célból előzetesen kérelmet terjesztett volna elő. A magyar bíróság a Bíróságot a GDPR értelmezésére kéri.

A bíróság az ítéletében azt válaszolja, hogy a tagállami felügyeleti hatóság hivatalból azaz, még az érintettnek az erre irányuló előzetes kérelme hiányában is elrendelheti a jogellenesen kezelt adatok törlését, ha ilyen intézkedés szükséges a GDPR teljes körű tiszteletben tartásának a biztosítására irányuló feladatának az ellátásához.

Ha e hatóság azt állapítja meg, hogy valamely adatkezelés nem felel meg a GDPR-nek, orvosolnia kell a megállapított jogsértést, még az érintett előzetes kérelmének hiányában is. Az ilyen kérelemre vonatkozó követelmény ugyanis azt jelentené, hogy az adatkezelő a kérelem hiányában megőrizhetné a szóban forgó személyes adatokat, és azokat továbbra is jogellenesen kezelhetné.

A tagállami felügyeleti hatóság egyébiránt a jogellenesen kezelt személyes adatok törlését akkor is elrendelheti, ha azok közvetlenül az érintettől származnak, és akkor is, ha azokat más forrásból gyűjtötték.


Kapcsolódó cikkek

2020. június 16.

100 milliós adatvédelmi bírságot kapott a DIGI

A DIGI-t egy etikus hacker figyelmeztette, hogy honlapján keresztül elérhetők az előfizetők és hírlevél feliratkozók személyes adatai. A DIGI a sérülékenységet javította, de az incidens miatt így is jelentős bírságot kell fizetnie.
2022. március 18.

17 millió euró GDPR bírságot kapott a Meta

Az ír adatvédelmi hatóság (DPC) kedden 17 millió eurós pénzbírságot szabott ki a Meta Platforms Ireland Limited-re, mert 2018-ban a közösségimédia-cég több mint 30 millió Facebook-felhasználóját érintett egy adatvédelmi incidens.