Curtea de Justiție a Uniunii Europene a decis că autoritățile competente au dreptul și obligația de a solicita operatorilor ștergea datelor personale prelucrate ilegal, chiar și în lipsa unei solicitări formale din partea persoanelor vizate. Prin această modalitate se asigură respectarea deplină a Regulamentului General privind Protecția Datelor.
Consiliul din Újpest (autoritate publică din Ungaria) a solicitat informații personale despre cetățeni cu scopul de a oferi ajutor financiar persoanelor afectate de pandemia COVID-19. Autoritatea de supraveghere a datelor personale maghiară a decis că solicitarea reprezintă o încălcare a Regulamentului General privind Protecția Datelor (RGPD) cât timp persoanele nu au fost informate despre prelucrarea datelor lor personale și scopurile acesteia. Autoritatea a ordonat consiliului să șteargă datele personale ale celor care aveau dreptul la ajutor, dar nu l-au solicitat. Consiliul a contestat măsura cu argumentul că nu a existat o cerere formală din partea persoanelor vizate de ștergere a datelor.
În acest context, instanțele maghiare au solicitat CJUE să lămurească dacă autoritatea de supraveghere poate să impună din oficiu ștergerea datelor personale prelucrate ilegal. Totodată, instanțele au solicitat să se stabilească dacă se poate face o distincție între situația în care datele au fost colectate direct de la persoana vizată și situația în care au fost preluate de la o altă sursă.
CJUE a decis că autoritatea de supraveghere poate impune ștergerea datelor personale prelucrate ilegal chiar și fără o cerere expresă din partea persoanei vizate. RGPD nu limitează competența autorităților de a acționa doar la cererea persoanei vizate, ci permite autorităților să intervină din oficiu pentru a asigura respectarea regulamentului. Totodată, potrivit Curții nu are relevanță sursa din care provin datele prelucrate în mod ilegal.
CJUE a amintit că operatorii de date au o obligație autonomă de a asigura conformitatea prelucrării datelor cu RGPD. Această obligație există independent de orice cerere din partea persoanelor vizate. În cazul în care prelucrarea datelor este ilegală, operatorul este responsabil de ștergerea acestora fără întârzieri nejustificate.