Nakazanie z urzędu administratorowi lub podmiotowi przetwarzającemu usunięcia danych przetwarzanych niezgodnie z prawem, gdy osoba, której dane dotyczą, nie wyraziła w tym względzie żądania

Art. 58 ust. 2 lit. d) i g) RODO należy interpretować w ten sposób, że organ nadzorczy państwa członkowskiego jest uprawniony, w ramach wykonywania swoich uprawnień naprawczych przewidzianych w tych przepisach, do nakazania administratorowi lub podmiotowi przetwarzającemu usunięcia danych osobowych przetwarzanych niezgodnie z prawem, i to nawet wówczas gdy osoba, której dane dotyczą, nie wyraziła w tym względzie jakiegokolwiek żądania w celu wykonania praw przysługujących jej na podstawie art. 17 ust. 1 tego rozporządzania.

Uprawnienie organu nadzorczego państwa członkowskiego do nakazania usunięcia danych osobowych przetwarzanych niezgodnie z prawem może dotyczyć zarówno danych pozyskanych od osoby, której dane dotyczą, jak i danych pochodzących z innego źródła.

Jeżeli przetwarzanie danych osobowych nie jest zgodne z zasadami przewidzianymi przede wszystkim w art. 5 RODO, organy nadzorcze państw członkowskich są uprawnione do interweniowania zgodnie ze swoimi zadaniami i uprawnieniami określonymi w art. 57 i 58 tego rozporządzenia. Wśród nich znajduje się w szczególności zadanie polegające na monitorowaniu [stosowania] i egzekwowaniu [przestrzegania] tego rozporządzenia zgodnie z jego art. 57 ust. 1 lit. a) (zob. podobnie wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C-311/18).

Art. 58 ust. 2 RODO dokonuje rozróżnienia między uprawnieniami naprawczymi, które mogą zostać nakazane z urzędu, w szczególności tymi przewidzianymi w art. 58 ust. 2 lit. d) i g), a środkami, które mogą zostać przyjęte wyłącznie na żądanie osoby, której dane dotyczą, w celu wykonania jej praw wynikających z tego rozporządzenia, o których stanowi jego art. 58 ust. 2 lit. c).

Z brzmienia art. 58 ust. 2 lit. c) RODO wyraźnie wynika, że przyjęcie środka naprawczego, do którego odnosi się ten przepis, a mianowicie „nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia”, zakłada, że osoba ta uprzednio dochodziła swoich praw, wyrażając stosowne żądanie, i że żądanie to nie zostało uwzględnione przed wydaniem przez organ nadzorczy decyzji, o której mowa w tym przepisie. Po drugie, w odróżnieniu od tego przepisu brzmienie art. 58 ust. 2 lit. d) i g) RODO nie pozwala uznać, że interwencja organu nadzorczego państwa członkowskiego mająca na celu zastosowanie środków nim ustanowionych byłaby ograniczona wyłącznie do przypadków, w których osoba, której dane dotyczą, wyraziła takie żądanie, ponieważ brzmienie tego przepisu nie zawiera odniesienia do takiego żądania.

Chociaż dokonanie wyboru odpowiedniego i skutecznego środka należy do organu nadzorczego, a organ ten powinien go dokonać z uwzględnieniem wszystkich okoliczności danej sprawy, to jednak organ ten ma obowiązek wywiązać się z powierzonego mu zadania, polegającego na egzekwowaniu pełnego przestrzegania RODO, z należytą starannością (zob. podobnie wyrok z dnia 16 lipca 2020 r. Facebook Ireland i Schrems, C-311/18). W związku z tym dla zapewnienia skutecznego stosowania RODO jest szczególne ważne, by organ ten posiadał rzeczywiste uprawnienia do podejmowania skutecznych działań przeciwko naruszeniom tego rozporządzenia, a w szczególności do ich usuwania, również w przypadkach, gdy osoby, których dane dotyczą, nie zostały poinformowane o przetwarzaniu ich danych osobowych, nie miały o tym wiedzy, a w każdym razie nie zażądały ich usunięcia.

W tych okolicznościach należy uznać, że uprawnienie przyjęcia niektórych środków naprawczych, ustanowionych art. 58 ust. 2 RODO, w szczególności tych przewidzianych w art. 58 ust. 2 lit. d) i g), może być realizowane z urzędu przez organ nadzorczy państwa członkowskiego w zakresie, w jakim wykonywanie tego uprawnienia z urzędu jest wymagane w celu umożliwienia temu organowi wykonywania jego zadań. W związku z tym, jeżeli po przeprowadzeniu postępowania organ ten uzna, że przetwarzanie danych osobowych nie spełnia wymogów wspomnianego rozporządzenia, na podstawie prawa Unii ma on obowiązek przyjęcia odpowiednich środków w celu usunięcia stwierdzonego naruszenia, i to niezależnie od - wyrażonego wcześniej i zgodnego z celem wykonania praw przysługujących jej na podstawie art. 17 ust. 1 tego rozporządzania - żądania osoby, której dane dotyczą.

Wymóg uprzedniego wyrażenia żądania, w rozumieniu art. 17 ust. 1 RODO, przez osoby, których dane dotyczą, oznaczałby, że administrator danych mógłby wobec braku takiego żądania przechowywać przedmiotowe dane osobowe i nadal przetwarzać je w sposób niezgodny z prawem. Taka wykładnia zaszkodziłaby skuteczności ochrony przewidzianej tym rozporządzeniem, ponieważ prowadziłaby do pozbawienia ochrony osób, które nie podjęły działania, mimo że ich dane osobowe przetwarzano niezgodnie z prawem.

Wyrok TSUE z dnia 14 marca 2024 r., C-46/23

Standard: 84076 (pełna treść orzeczenia)