Το 2020, η δημοτική διοίκηση του Újpest (Ουγγαρία) αποφάσισε να παράσχει οικονομική στήριξη σε άτομα που ήταν ευάλωτα από την πανδημία COVID-19. Για το σκοπό αυτό, ζήτησε από το ουγγρικό δημόσιο ταμείο και το κυβερνητικό γραφείο της τέταρτης περιφέρειας της Βουδαπέστης να της παράσχουν τα προσωπικά δεδομένα που απαιτούνται για την επαλήθευση των προϋποθέσεων επιλεξιμότητας για τη λήψη της ενίσχυσης.
Αφού έλαβε μια αναφορά, η ουγγρική αρχή που είναι αρμόδια για την προστασία των δεδομένων (“εποπτική αρχή”) διαπίστωσε ότι η διοίκηση του Újpest, το ουγγρικό δημόσιο ταμείο και το κυβερνητικό γραφείο είχαν παραβιάσει την τους κανόνες του γενικού κανονισμού για την προστασία των δεδομένων (ΓΚΠΔ) 1. Στη βάση αυτή επιβλήθηκαν πρόστιμα.
Η εποπτική αρχή διαπίστωσε ότι η διοίκηση του Újpest δεν είχε ενημερώσει τα υποκείμενα των δεδομένων, εντός της ενός μηνός που προβλέπεται για τον σκοπό αυτό, για την πραγματική χρήση των δεδομένων τους, τον σκοπό της ή για τα δικαιώματά τους, σε
σε σχέση με την προστασία των δεδομένων. Διέταξε επίσης τη διοίκηση του Újpest να διαγράψει τα δεδομένα των επιλέξιμων προσώπων που δεν είχαν υποβάλει αίτηση στήριξης.
Η διοίκηση του Újpest αμφισβήτησε την απόφαση αυτή ενώπιον του Ανώτατου Δικαστηρίου της Βουδαπέστης (Ουγγαρία). Υποστηρίζει ότι η εποπτική αρχή δεν έχει την εξουσία να διατάσσει τη διαγραφή δεδομένων προσωπικού χαρακτήρα, λόγω έλλειψης προηγούμενου
σχετικού αιτήματος του υποκειμένου των δεδομένων.
Το ουγγρικό δικαστήριο ζήτησε την ερμηνεία του ΓΚΠΔ από το Δικαστήριο.
Στην απόφασή του, το Δικαστήριο απαντά ότι η εποπτική αρχή ενός κράτους μέλους μπορεί να διατάξει αυτεπαγγέλτως, δηλαδή ακόμη και ελλείψει προηγούμενου σχετικού αιτήματος του υποκειμένου των δεδομένων, τη διαγραφή δεδομένων που έχουν υποστεί παράνομη επεξεργασία, εάν το μέτρο αυτό είναι αναγκαίο για την εκπλήρωση της ευθύνης της για
να διασφαλίσει δηλαδή την πλήρη εφαρμογή του ΓΚΠΔ.
Εάν η εν λόγω αρχή διαπιστώσει ότι η επεξεργασία των δεδομένων δεν συμμορφώνεται με τον ΓΚΠΔ, οφείλει να αποκαταστήσει τη διαπιστωθείσα παράβαση, ακόμη και χωρίς προηγούμενο αίτημα του υποκειμένου των δεδομένων. Μια απαίτηση να υπάρχει τέτοιο αίτημα θα σήμαινε ότι ο υπεύθυνος επεξεργασίας, όταν δεν υποβάλλεται αίτημα, θα μπορούσε να διατηρήσει τα δεδομένα και να συνεχίσει να τα επεξεργάζεται παράνομα.
Επιπλέον, η Εποπτική Αρχή κράτους μέλους μπορεί να διατάξει τη διαγραφή παράνομα επεξεργασμένων προσωπικών δεδομένων. δεδομένων τόσο όταν τα δεδομένα αυτά προέρχονται απευθείας από το υποκείμενο των δεδομένων, όσο και όταν προέρχονται από άλλη πηγή.
