Sabina Vasile – Autoritatea de supraveghere a unui stat membru poate ordona, din oficiu, ștergerea datelor personale prelucrate ilegal

Prin hotărârea sa din 14 martie 2024, Curtea de Justiție a Uniunii Europene („CJUE”) a soluționat cauza C‑46/23, aducând clarificări cu privire la obligațiile pe care dreptul la ștergerea datelor le impune în sarcina operatorilor de date cu caracter personal.

În sensul celor de mai sus, CJUE a interpretat articolul 17  privind dreptul la ștergere („dreptul de a fi uitat”) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date („RGPD”) ca impunându-le operatorilor de date cu caracter personal două obligații distincte, respectiv:

1. obligația de a șterge datele cu caracter personal la solicitarea persoanei vizate;
2. obligația de a șterge datele cu caracter personal prelucrate ilegal la solicitarea autorității pentru protecția datelor, chiar și în absența formulării unei cereri în acest sens de către persoanele vizate.

De asemenea, CJUE a statuat că în ceea ce privește obligația operatorului de a șterge datele cu caracter personal prelucrate la solicitatarea autorității pentru protecția datelor este irelavant dacă datele cu caracter personal au fost colectate direct de la persoanele vizate sau au fost obținute din alte surse.

Situația de fapt

În luna februarie 2020, consiliul din Újpest (un sector al municipiului Budapesta) a decis să acorde un ajutor financiar rezidenților care făceau parte dintr-o categorie de persoane care au devenit vulnerabile din cauza pandemiei de COVID-19 și care îndeplineau anumite criterii de eligibilitate. Pentru a obține datele necesare verificării criteriilor de eligibilitate (e.g., date de identificare de bază, numerele de securitate socială ale persoanelor fizice), consiliul din Újpest s-a adresat Trezoreriei statului maghiar și biroului sectorial al Guvernului maghiar.

Autoritatea de Supraveghere din Ungaria a demarat o investigație în legătură cu operațiunile de prelucrare a datelor în cadrul programului de acordare a ajutorului financiar și a stabilit că administrația din Újpest nu a informat persoanele vizate, în temen de o lună, cu privire la categoriile de date cu caracter personal prelucrate în cadrul acestuia program și la scopurile prelucrării în cauză și nici cu privire la modalitatea în care persoanele vizate își puteau exercita drepturile. Ca o consencință a constatării acestei încălcări, Autoritatea de Supraveghere din Ungaria a dat dispoziții consiliului din Újpest să șteargă datele cu caracter personal ale persoanelor vizate care ar fi avut dreptul la acest ajutor, dar nu l-au solicitat.

Întrebările preliminare adresate & raționamentul CJUE

1. Poate autoritatatea pentru protecția datelor să ordone, din oficiu, ștergerea datelor?

Prin intermediul primei întrebări, instanța de trimitere a solicitat să se stabilească dacă RGPD trebuie intreptat în sensul că autoritatea de supraveghere a unui stat membru este abilitată ca, în exercitarea competențelor sale corective să dea dispoziții operatorului sau persoanei împuternicite de operator să fie șterse datele cu caracter personal care au fost prelucrate ilegal, chiar și atunci când persoana vizată nu a formulat nicio cerere de exercitare a dreptul de ștergere.

Pentru a răspunde la această întrebare, CJUE a considerat necesară analizarea art. 58 și art. 17 din RGPD. Astfel, în ceea ce privește posibilitatea autorității pentru protecția datelor de a dispune din oficiu măsuri corective, CJUE a stabilit că art. 58, alin (2) din RGPD face distincție între măsurile corective care nu pot fi dispuse decât în urma unei cereri a persoanei vizate în vederea exercitării drepturilor sale în temeiul RGPD, precum cele prevăzute la art. 58, alin (2), lit. c)[1] și cele care pot fi dispuse din oficiu, precum cele prevăzute la art. 58, alin (2), lit. d) si g) din RGPD[2].

De asemenea, analizând art. 17, alin (1)  din GDPR, CJUE a constatat că termenii acestui articol fac distincție prin utilizarea conjuncției coordonatoare „iar” între, pe de o parte, dreptul persoanei vizate de a obține de la operator ștergerea datelor care o privesc și obligația operatorului  de a șterge aceste date cu caracter personal, pe de altă parte[3]. Tot în ceea ce privește interpretarea acestui articol din RGPD, CJUE face trimitere la Avizul nr. 39/2021 al Comitetului european pentru protecția datelor, emis la solicitarea Autorității de Supraveghere din Ungaria (link) potrivit căruia această distincție este necesară dat fiind că acoperă unele situații în care persona vizată nu este informată că sunt prelucrate date cu caracter personal care o privesc.

Totodată, potrivit CJUE, o interpretare contrară celei potrivit căreia autoritatea pentru protecția datelor poate ordona din oficiu ștergerea datelor ar aduce atingere protecției efective conferite de RGPD întrucât ar conduce la privarea de protecție a persoanei inactive, deși datele acesteia cu caracter personal au fost prelucrate ilegal.

• Este competența autorității pentru protecția datelor de a dispune ștergerea datelor limitată în funcție de proveniența acestora?

Prin intermediul celei de-a doua întrebări, instanța de trimitere a solicitat CJUE să stabilească dacă competența autorității de supraveghere de a dispune ștergerea datelor care au fost prelucrate ilegal poate viza atât datele colectate de la persoana vizată, cât și datele care provin dintr-o altă sursă.

Prin analizarea art. 17, alin (1) din RGPD, CJUE a constatat că acesta institutie o obligație autonomă a operatorului de a șterge datele cu caracter personal care au fost prelucrate ilegal, fără a include nicio cerință referitoare la originea datelor colectate. De asemenea, CJUE a menționat că în vederea unei aplicări efective și coerente a RGPD, este necesar ca autoritatea de supraveghere să dispună de competențe efective pentru a acționa în mod eficace împotriva încălcărilor aduse RGPD, aceste competențe corective neputând depinde de originea datelor în cauză și mai ales de proveniența acestora.

Considerații finale

În concluzie, această decizie a CJUE confirmă faptul că autoritățile pentru protecția datelor au un rol deosebit de important în asigurararea protecției drepturilor și libertăților persoanelor vizate, acestea putând solicita ștergerea datelor, din oficiu, ori de câtre ori constată că prelucrarea datelor cu caracter persoanal se realizează în mod ilegal.

---

[1] Art. 58, alin (2), lit. c) din RGPD: „Fiecare autoritate de supraveghere are toate următoarele competențe corective: (…) de a da dispoziții operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a-și exercita drepturile în temeiul prezentului regulament;”

[2] Art. 58, alin (2), lit. d) și g) din RGPD:„Fiecare autoritate de supraveghere are toate următoarele competențe corective: (…) (d) de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile prezentului regulament, specificând, după caz, modalitatea și termenul-limită pentru aceasta; (…) (g) de a dispune rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării, în temeiul articolelor 16, 17 și 18, precum și notificarea acestor acțiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal, în conformitate cu articolul 17 alineatul (2) și cu articolul 19”;

[3] Art. 17, alin (1) din RGPD: „Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive.”