EU-domstolens dom av 14. mars 2024.
Det følgende omtaler kun de deler av dommen som er relevant for personvernforordningen (GDPR).
Sentrale artikler behandlet:
– Artikkel 17(1)
– Artikkel 58(2)
Hovedpunkter
- Saken gjaldt en bydels ulovlige behandling av personopplysninger, og om tilsynsmyndighet kunne pålegge sletting av opplysningene til tross for at de registrerte ikke hadde krevd sletting.
- Domstolen kom til at tilsynsmyndighet kan pålegge sletting selv om registrerte ikke har krevet sletting.
- Tilsynsmyndighetens pålegg om sletting er ikke avhengig av om personopplysningene kommer fra den registrerte eller andre kilder.
Bakgrunn
En bydel i Budapest, Ungarn, ga finansiell støtte til innbyggere som hadde vært utsatt for COVID-19, og innhentet i den anledning inn opplysninger, som identitetsinformasjon og fødselsnummer, fra myndighetene for å vurdere om personer kvalifiserte til støtte. Det ble i denne anledning laget unike identifikatorer og strekkoder for de ulike datasettene.
Datatilsynet fant imidlertid at bydelen hadde behandlet personopplysningene ulovlig, og hadde brutt artikkel 5, 12(1) og 14 i GDPR. Spesielt var plikten til å informere de registrerte innen en måned etter innsamlingen brutt. Tilsynsmyndigheten påla derfor bydelen å slette i henhold til GDPR artikkel 58(2)(d) til innbyggere som ikke hadde søkt om støtte siden behandlingen representerte et brudd på forordningen hva gjaldt disse personene.
Bydelen hevdet at tilsynet ikke hadde myndighet til å kreve sletting etter artikkel 58(2)(d) sål enge de registrerte ikke hadde krevd sletting. Det var også et spørsmål om tilsynet kunne kreve sletting etter artikkel 58(2)(g) på separat grunnlag. Saken ble derfor bragt inn domstolene.
Artikkel 58(2)(c), (d) og (g) – Tilsynsmyndighets myndighet til å kreve sletting
Det første spørsmålet domstolen vurderte var om artikkel 58(2)(c), (d) og (g) må forstås slik at en tilsynsmyndighet kan pålegge sletting av ulovlig behandlede personopplysninger, selv om registrerte ikke har krevd sletting etter GDPR artikkel 17(1).
Etter GDPR artikkel 58(2)(d) kan tilsynsmyndighet pålegge behandlingsansvarlig eller databehandler å endre behandling for å overholde forordningen. I tillegg kan tilsynsmyndighet etter artikkel 58(2)(g) pålegge å kreve retting eller sletting av personopplysninger etter artikkel 16, 17 og 18, og varsle mottakere av personopplysningene etter artikkel 17(2) og 19.
Etter EU-rett må bestemmelser ikke bare vurderes etter ordlyden, men også konteksten som de benyttes i og hensikten med bestemmelsene. Bestemmelsene over må derfor sees i sammenheng med GDPR artikkel 5(1). og spesielt bokstav a som pålegger å behandle personopplysninger med lovlighet, rettferdighet og åpenhet overfor den registrerte. Den behandlingsansvarlige er ansvarlig for og har har bevisbyrden for at den overholder artikkel 5(1), etter artikkel 5(2).
Overholdes ikke artikkel 5(1) kan tilsynsmyndighetene iverksette tiltak etter artikkel 57 og 58. Etter artikkel 57(1) omfatter det kontroll av overholdelse og pålegg. Tilsynsmyndighet er pålagt å iverksette tiltak denne finner tilstrekkelig dersom tilsynsmyndigheten finner at personvernet til registrerte ikke er tilstrekkelig beskyttet, uavhengig av årsaken til dette. Artikkel 58(2) lister opp en rekke tiltak, og tilsynsmyndigheten må benytte det tiltak denne finner nødvendig.
Artikkel 58(2) skiller mellom tiltak som myndigheten kan iverksette av eget tiltak, som (d) og (g), og tiltak som må iverksettes etter anmodning fra registrert, som (c). Det er klart at sistnevnte forutsetter en anmodning fra en registrert, mens (d) og (g) ikke forutsetter en slik anmodning.
Siden artikkel 17(1) inneholder skiller mellom den registrertes rett til å få personopplysningene slettet, og den behandlingsansvarliges plikt til å slette, mener domstolen at dette er to separate situasjoner.
1. Den registrerte skal ha rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold, og den behandlingsansvarlige skal ha plikt til å slette personopplysninger uten ugrunnet opphold (…)
Det kan dermed være situasjoner hvor den registrerte nødvendigvis ikke har blitt informert om behandlingen, og behandlingsansvarlig allikevel skal slette opplysningene, som ved ulovlig behandling. Dette følger også av artikkel 5(2) sette i sammenheng med artikkel 5(1)(a), samt hva som er formålet med artikkel 58(2) og fortalepunkt 129.
En tilsynsmyndighet kan derfor etter eget initiativ og myndighet gi pålegg, spesielt de som følger av artikkel 58(2)(d) og (g) som anses nødvendig for å oppfylle sine oppgaver, herunder å pålegge sletting etter artikkel 17(1).
42 In those circumstances, it must be held that some of the corrective powers referred to in Article 58(2) of the GDPR, in particular those set out in points (d) and (g) of that provision, may be exercised by the supervisory authority of a Member State of its own motion to the extent that the exercise of that power of its own motion is necessary to enable the supervisory authority to execute its task. Consequently, where that authority considers, following an investigation, that the processing in question does not satisfy the requirements of that regulation, it is required, under EU law, to adopt the appropriate measures to remedy the infringement found, irrespective of any prior request by the data subject concerned to exercise his or her rights pursuant to Article 17(1) of that regulation.
Den motsatte forståelse ville kunne ha den konsekvens at en behandlingsansvarlig kan fortsette den ulovlige behandling dersom tilsynsmyndigheten ikke pålegger opphør av behandlingen og sletting av personopplysningene. Dette ville medføre at forordningen ikke var like effektiv for beskyttelse av personopplysninger.
Artikkel 58(2) – Gjelder pålegg om sletting både data fra den registrerte og andre kilder?
Domstolen vurderte så om et pålegg om sletting fra tilsynsmyndighetene etter artikkel 58(2) må omfatte både opplysninger som er mottatt fra den registrerte og opplysninger som er mottatt fra andre kilder.
Ordlyden i bestemmelsen gir ingen indikasjon på om at pålegget er avhengig av opphavet til personopplysningene som skal slettes, herunder om opplysningene er innhentet fra den registrerte. Tilsvarende fremkommer det ikke av artikkel 17(1) noe krav til hvor opplysningene stammer fra, bare en plikt for behandlingsansvarlig til å foreta sletting.
Som det følger ovenfor må tilsynsmyndighet har mulighet til å gi pålegg for å sikre en effektiv håndhevelse av overholdelse av forordningen. Tiltak etter artikkel 58(2)(d) og (g) kan derfor ikke være avhengig av opphavet av opplysningene som behandles ulovlig.
Domstolen kom derfor til at pålegg fra tilsynsmyndighet om sletting av personopplysninger som behandles ulovlig er ikke avhengig av om personopplysningene kommer fra den registrerte eller andre kilder.
