Ha a hatóság az ellenőrzés során megállapítja, hogy a személyes adatok kezelése az adatkezelőnél jogellenes, akkor a hatékony alapjogvédelem biztosítása érdekében hivatalból (harmadik személyek alapjogai védelmében) elrendelheti az ilyen adatok törlését – szögezi le az Alkotmánybíróság IV/2396/2021. számú, bírói döntést megsemmisítő határozatában.
Az Alkotmánybíróság alaptörvény-ellenesnek nyilvánította és megsemmisítette a Kúria és a Fővárosi Törvényszék támadott ítéleteit.
Az indítványozó adatvédelmi hatósághoz bejelentés érkezett, amelyben a bejelentő az adatkezelőnek az Európai Ügyészséghez csatlakozás kikényszerítésére vonatkozó aláírásgyűjtésével kapcsolatos adatkezelését kifogásolta. Az indítványozó adatvédelmi vizsgálati eljárást, majd ezt követően hivatalbóli eljárást folytatott le, és határozatában megállapította, hogy az adatkezelő jogalap nélkül gyűjtötte a személyes adatokat, nem nyújtott megfelelő tájékoztatást az érintettnek, ezért a hatóság utasította az adatkezelőt az adatok törlésére, továbbá adatvédelmi bírság megfizetésére.
Az adatkezelő fellebbezése folytán eljáró Fővárosi Törvényszék a határozat azon rendelkezését, amely az adatok törlésére utasította az adatkezelőt, megsemmisítette. Az ítélet megállapította, hogy a GDPR szerint az érintett az, aki jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat. Az ítélet indokolása szerint az adatvédelmi hatóság az érintettek erre irányuló kérése hiányában nem volt jogosult a személyes adatok törlését elrendelni.
Az alperes hatóság felülvizsgálati kérelme nyomán a Kúria az elsőfokú ítéletet hatályában fenntartotta. Az indítványozó álláspontja szerint a Kúria ítélete sérti a tisztességes eljáráshoz és a jogorvoslathoz való jogot, nézete szerint a Kúria ítélete alaptörvény-ellenesen korlátozta a hatáskörét.
Az Alkotmánybíróság határozatában megállapította, hogy a bíróságok döntéseik és mérlegelésük során a személyes adatok védelméhez való joggal összefüggésben nem ismerték fel, hogy a széleskörű adatvédelmi felügyeleti hatósági kontroll az Alaptörvény, az uniós jog, valamint a nemzetközi jogból fakadó kötelezettségek alapján a GDPR előtt is biztosított volt.
Ha a hatóság az ellenőrzés során megállapítja, hogy a személyes adatok kezelése az adatkezelőnél jogellenes, akkor a hatékony alapjogvédelem biztosítása érdekében, ami a hatóság kiemelt feladata, nemcsak az következik, hogy ellenőrizheti és feltárhatja a jogellenes személyes adatkezelést, hanem az is, hogy hivatalból (harmadik személyek alapjogai védelmében) elrendelheti az ilyen adatok törlését.
Az Alkotmánybíróság teljes ülése ezért megállapította, hogy a Kúria és a Fővárosi Törvényszék támadott ítéletei alaptörvény-ellenesek, és azokat megsemmisítette.