Obecné nařízení o ochraně údajů (GDPR) je častým tématem v agendě Soudního dvora Evropské unie (SDEU). V rozsudku ze dne 14. března 2024 byla předmětem pravomoc dozorových orgánů jednotlivých členských států nařídit výmaz osobních údajů bez žádosti subjektu údajů.

V dotčeném sporu nařídil maďarský dozorový úřad městskému úřadu Újpest výmaz osobních údajů, v rozsahu základních identifikačních údajů a čísla sociálního zabezpečení fyzických osob, zpracovávaných za účelem poskytnutí podpory související se situací okolo covidu-19 na základě obecní vyhlášky. Maďarský dozorový úřad mimo jiné uvedl, že městský úřad Újpest neinformoval subjekty údajů ve lhůtě jednoho měsíce o kategoriích osobních údajů zpracovávaných v souvislosti s tímto programem, účelu dotčeného zpracování ani postupech pro výkon práv subjektů údajů v tomto ohledu. Pokutu dostala rovněž maďarská státní pokladna, která městskému úřadu údaje poskytla.

Maďarský soud se v rámci následného soudního sporu obrátil na SDEU s dotazem, zda. čl. 58 odst. 2 písm. c), d) a g) GDPR musí být vykládán v tom smyslu, že dozorový úřad členského státu je oprávněn při výkonu své pravomoci přijímání nápravných opatření stanovených těmito ustanoveními nařídit správci nebo zpracovateli, aby vymazal osobní údaje, které byly zpracovány protiprávně, a to i přesto, že subjekt údajů za tímto účelem nepodal žádnou žádost o výkon svých práv podle čl. 17 odst. 1 tohoto nařízení.

SDEU osvětlil znění čl. 17 v tom smyslu, že obsahuje oba režimy, tedy jak výmaz na žádost subjektu údajů, tak na pokyn správce. Druhá možnost je totiž nezbytná, protože existují situace, kdy subjekt údajů nebyl nutně informován o tom, že osobní údaje, které se ho týkají, jsou zpracovávány. K zajištění vysokého standardu ochrany, a tedy účinného uplatňování GDPR, musí mít dozorový orgán pravomoci zasáhnout proti porušování tohoto nařízení. Podle SDEU přitom nezáleží na tom, zda shromažďované údaje pocházely od samotného subjektu údajů, či od jiného zdroje.

Vnitrostátní dozorový orgán tedy smí nařídit výmaz zpracovávaných údajů i z vlastní iniciativy a není zde třeba souhlasu samotného subjektu spravovaných údajů.