Data protection: EU Judgment in Case C-46/23 Újpesti Polgármesteri Hivatal

Thursday 14th March 2024

Judgment in Case C-46/23 Újpesti Polgármesteri Hivatal

(Principles, objectives and tasks of the Treaties – Data protection)

In 2020, the municipal administration of Újpest (Hungary) decided to provide financial assistance to people made vulnerable by the COVID-19 pandemic. To this end, it has asked the Hungarian Treasury and the Government Office of the Fourth District of Budapest-Capital to provide it with the personal data needed to verify the eligibility conditions for receiving the aid.

Subsequently, the Hungarian Data Protection Authority (“the supervisory authority”) found that both the Újpest administration and the Hungarian State Treasury and Government Office had violated rules of the General Data Protection Regulation (GDPR) and subsequently imposed a fine on them.

The supervisory authority noted that the Újpest administration had not informed the data subjects of the use of their data nor of its purpose, or of their data protection rights within the one-month time limit set by the Regulation. It also ordered Újpest’s administration to delete the data of eligible individuals who had not applied for assistance.

The Újpest administration contested this decision, arguing that the supervisory authority does not have the power to order the deletion of personal data in the absence of a prior request to that effect from the data subjects.

Background Documents C-46/23

Donnerstag, 14. März 2024

Urteil des Gerichtshofs in der Rechtssache C-46/23 Újpesti Polgármesteri Hivatal

Löschauftrag einer Datenschutzbehörde

Im Februar 2020 beschloss das Bürgermeisteramt der Stadt Budapest, bestimmten Einwohnern, die zu der von der COVID 19-Pandemie gefährdeten Gruppe gehörten und bestimmte Bedingungen erfüllten, eine finanzielle Unterstützung zu gewähren. Das Amt erhielt dafür von der Ungarischen Staatskasse und der Regierungsbehörde für die Hauptstadt Budapest die zur Feststellung der Anspruchsvoraussetzungen erforderlichen personenbezogenen Daten.

Das Bürgermeisteramt fasste die von der Staatskasse und dem Bezirksamt erhaltenen Daten in einer für die Durchführung seines Programms eingerichteten Datenbank zusammen und erstellte für jeden Datensatz eine individuelle Kennung und einen Strichcode.

Auf der Grundlage eines Hinweises von öffentlichem Interesse prüfte die Ungarische Behörde für Datenschutz und Informationsfreiheit im Rahmen der am 2. September 2020 eingeleiteten amtlichen Untersuchung und des anschließenden datenschutzbehördlichen Verfahrens die oben genannten Datenverarbeitungen.

In ihrem Bescheid vom 22. April 2021 stellte sie fest, dass das Bürgermeisteramt gegen mehrere Bestimmungen der DSGVO verstoßen habe. Die Behörde wies das Amt auf Grundlage der DSGVO an, die personenbezogenen Daten derjenigen betroffenen Personen zu löschen, die nach den Informationen des Bezirksamts und der Staatskasse Anspruch auf die Unterstützung gehabt hätten, diese aber nicht beantragt hatten.

Hiergegen hat das Bürgermeisteramt bei dem vorlegenden Gericht eine Klage erhoben. Dieses möchte vom EuGH wissen, ob die Aufsichtsbehörde eines Mitgliedstaats in Ausübung ihrer Abhilfebefugnisse auch ohne ausdrücklichen Antrag der betroffenen Person einen Verantwortlichen oder einen Auftragsverarbeiter anweisen kann, unrechtmäßig verarbeitete personenbezogene Daten zu löschen.

Weitere Informationen