EU-Hof: toezichthoudende autoriteit persoonsgegevens van een lidstaat kan ook zonder voorafgaand verzoek van betrokkene gelasten dat onrechtmatig verwerkte gegevens worden gewist
Nieuwsbericht | 20-03-2024
Het gaat om het arrest van het EU-Hof van 14 maart 2024 in zaak C-46/23 (Újpesti Polgármesteri Hivatal).
Achtergrond In 2020 besloot het gemeentebestuur van Újpest (Hongarije) financiële steun te verlenen aan personen die door de COVID-19-pandemie kwetsbaar waren geworden. Daartoe vroeg het bestuur de Hongaarse schatkist en het regeringskantoor van het vierde district van Boedapest om de persoonsgegevens te verstrekken die nodig waren om na te gaan of aan de voorwaarden voor het ontvangen van de steun was voldaan.
Na te zijn gealarmeerd door een rapport, stelde de Hongaarse autoriteit die verantwoordelijk is voor gegevensbescherming ("de toezichthoudende autoriteit") vast dat het bestuur van Újpest, het Hongaarse ministerie van Financiën en het regeringskantoor de regels van de Algemene Verordening Gegevensbescherming (AVG) (Verordening (EU) 2016/679) hadden geschonden. Op basis daarvan werden boetes opgelegd.
De toezichthoudende autoriteit stelde vast dat het bestuur van Újpest de betrokkenen niet binnen de daarvoor gestelde termijn van een maand had geïnformeerd over het feitelijke gebruik van hun gegevens, het doel daarvan of hun rechten met betrekking tot gegevensbescherming. De autoriteit beval het bestuur van Újpest ook om de gegevens te wissen van personen die voor steun in aanmerking kwamen, maar die geen steun hadden aangevraagd.
Het bestuur van Újpest heeft deze beslissing aangevochten bij het Hooggerechtshof van Boedapest (Hongarije) en stelt dat de toezichthoudende autoriteit niet bevoegd is om het wissen van persoonsgegevens te gelasten zonder een voorafgaand verzoek daartoe van de betrokkene.
De Hongaarse rechter heeft het EU-Hof via prejudiciële vragen verzocht om uitleg van de AVG.
EU-Hof In het arrest antwoordt het EU-Hof dat de toezichthoudende autoriteit van een lidstaat ambtshalve, dat wil zeggen ook zonder voorafgaand verzoek daartoe van de betrokkene, het wissen van onrechtmatig verwerkte gegevens kan gelasten indien een dergelijke maatregel noodzakelijk is om te voldoen aan haar verantwoordelijkheid om toe te zien op de volledige naleving van de AVG. Indien deze autoriteit vaststelt dat de verwerking van gegevens niet in overeenstemming is met de AVG, moet zij de vastgestelde inbreuk ongedaan maken, zelfs zonder voorafgaand verzoek van de betrokkene. De eis dat er een dergelijk verzoek moet zijn, zou volgens het EU-Hof betekenen dat de voor de verwerking verantwoordelijke, als er geen verzoek wordt gedaan, de gegevens in kwestie zou kunnen bewaren en ze onrechtmatig zou kunnen blijven verwerken.
Bovendien kan volgens het EU-Hof de toezichthoudende autoriteit van een lidstaat gelasten dat onrechtmatig verwerkte persoonsgegevens worden gewist, zowel wanneer deze gegevens rechtstreeks van de betrokkene afkomstig zijn als wanneer zij uit een andere bron afkomstig zijn.
Meer informatie: Persbericht Curia ECER-dossier: Privacy- AVG