Toezichthoudende autoriteit is bevoegd verwijdering gegevens te bevelen

HvJ EU 14 maart 2024, IT 4503; ECLI:EU:C:2024:239 (Újpest tegen toezichthoudende autoriteit). Het gemeentebestuur van Újpest (Hongarije) heeft in 2020 besloten financiële steun te bieden aan inwoners die kwetsbaar waren geworden door de COVID-19-pandemie. Om het steunprogramma uit te kunnen voeren heeft het gemeentebestuur persoonsgegevens verzameld. De toezichthoudende autoriteit heeft naar aanleiding van een onderzoek geconstateerd dat hiermee bepalingen van de AVG waren geschonden en verplicht het gemeentebestuur de gegevens te wissen. Het ging met name om het nalaten van het gemeentebestuur de inwoners te informeren over de verwerking. Het gemeentebestuur stelt dat de toezichthoudende autoriteit niet bevoegd is te gelasten dat de persoonsgegevens gewist worden en dat dit recht slechts aan betrokkene zou toekomen. De verwijzende rechter legt de kwestie voor aan het HvJ EU.

Artikel 17 AVG geeft de betrokkene het recht de verwerkingsverantwoordelijke te gelasten betreffende persoonsgegevens te wissen. Artikel 58, lid 2, onder d, AVG geeft de toezichthouder het recht de verwerker en verwerkingsverantwoordelijke te verplichten om verwerkingen in overeenstemming te brengen met de bepalingen van die verordening. Het Hof oordeelt dat een toezichthouder die (naar aanleiding van onderzoek) van mening is dat de verwerking niet aan de vereisten van de AVG voldoet, passende maatregelen zal moeten nemen. Hij zal daarbij rekening moeten houden met alle omstandigheden van het geval en aan de hand van deze overweging maatregelen moeten nemen die noodzakelijk zijn. Hier valt de maatregel om onrechtmatig verwerkte persoonsgegevens verplicht te laten wissen ook onder, ongeacht of de betrokkene hiertoe al een dergelijk verzoek op grond van artikel 17 AVG had ingediend. De bevoegdheid van de toezichthoudende autoriteit van een lidstaat om het wissen van onrechtmatig verwerkte persoonsgegevens te gelasten, kan daarbij zowel betrekking hebben op bij de betrokkene verzamelde gegevens als op uit een andere bron afkomstige gegevens.

36. Uit de bewoordingen van artikel 58, lid 2, onder c), AVG blijkt immers uitdrukkelijk dat het nemen van de in die bepaling genoemde corrigerende maatregel, te weten „de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen”, impliceert dat de betrokkene zijn rechten eerst heeft doen gelden door een daartoe strekkend verzoek in te dienen, alsook dat dit verzoek niet kan worden ingewilligd totdat de in die bepaling genoemde bevoegdheid van de toezichthoudende autoriteit is uitgeoefend. Anders dan bij die bepaling kan uit de bewoordingen van artikel 58, lid 2, onder d) en g), van die verordening echter niet worden afgeleid dat het optreden van de toezichthoudende autoriteit van een lidstaat, wat de daarin genoemde maatregelen betreft, beperkt is tot louter de gevallen waarin de betrokkene een desbetreffend verzoek heeft ingediend, aangezien die bewoordingen geen verwijzing naar een dergelijk verzoek bevatten.

42. In die omstandigheden moet worden geoordeeld dat de bevoegdheid tot het nemen van sommige van de corrigerende maatregelen van artikel 58, lid 2, AVG en met name van die welke onder d) en g) van die bepaling worden genoemd, ambtshalve door de toezichthoudende autoriteit van een lidstaat kan worden uitgeoefend indien de ambtshalve uitoefening van die bevoegdheid noodzakelijk is om de toezichthoudende autoriteit in staat te stellen om haar taak te vervullen. Wanneer die autoriteit na afloop van haar onderzoek van mening is dat de verwerking niet aan de vereisten van die verordening voldoet, is zij derhalve overeenkomstig het Unierecht verplicht passende maatregelen te nemen om een einde te maken aan de vastgestelde inbreuk, ongeacht of de betrokkene een verzoek heeft ingediend om het recht uit te oefenen dat hem overeenkomstig artikel 17, lid 1, van die verordening toekomt.

53. In het licht van de voorgaande overwegingen dient op de tweede vraag te worden geantwoord dat artikel 58, lid 2, AVG aldus moet worden uitgelegd dat de bevoegdheid van de toezichthoudende autoriteit van een lidstaat om het wissen van onrechtmatig verwerkte persoonsgegevens te gelasten, zowel betrekking kan hebben op bij de betrokkene verzamelde gegevens als op uit een andere bron afkomstige gegevens.