Ülevaade kahest sarnasest rikkumisjuhtumist Austrias ja Belgias.
I Üürnik esitas kaebuse Austria isikuandmete kaitse järelevalveasutusele (Österreichische Datenschutzbehörde) selle kohta, et kinnisvarahaldur avaldas tema andmed üürileandjale ilma tema nõusoleku või muu GDPR-s sätestatud õigusliku aluseta.
Probleem algas sellest, kui üürnik saatis kinnisvarahaldurile küsimuse oma eluruumis asuva mööbli kohta. Kinnisvarahaldur võttis ühendust üürileandjaga ja saatis talle edasi üürniku küsimusega e-kirja, millest nähtus ka üürniku meiliaadress.
Järelevalveasutus nõustus üürniku seisukohaga, et kinnisvarahaldur ei oleks tohtinud üürniku isikuandmeid – meiliaadressi – kolmandale isikule õigusliku aluseta edastada.
Sedasama otsustas 21.10.20. ka Austria Föderaalne Halduskohus (Bundesverwaltungsgericht) – et meiliaadressi edastamine ei ole kooskõlas GDPR artiklis 5 sätestatud andmetöötluse minimaalsuse põhimõttega ja avaldamine rikkus seeläbi hageja õigust privaatsusele.
II Belgia järelevalveasutus (APD Autorité de protection des données) leidis 13.01.21. otsuses analoogiliselt, et kooli poolse uudiskirja saatmine õpilaste vanematele selliselt, et e-kirja koopiareal (Cc) on näha kõigi adressaatide meiliaadressid, ei ole kooskõlas vanemate mõistliku ootusega, et nende meiliaadresse kolmandatele isikutele ei avaldata.
Kool ei saa tugineda GDPR artikli 6 lõikes 1 (f) sätestatud õigustatud huvile, sest uudiskirju on võimalik (nt pimekoopia ehk Bcc abil) saata ka meiliaadresse teistele vanematele avaldamata.
Tuginedes GDPR artikkel 5 lõikele 1 (b) („eesmärgi piirang“) otsustas Belgia järelevalveasutus, et lapsevanemate meiliaadresse ei tohi kolmandatele isikutele avaldada, sest kool ei kogunud vanemate kontaktandmeid algselt sellel eesmärgil ja nende avaldamine ei ole seega kooskõlas vanemate mõistliku ootusega.
Isikuandmeid võib kasutada (töödelda) muul otstarbel kui algne kogumise eesmärk ainult siis, kui muu eesmärk sobib kokku algse eesmärgiga.
Kuna igal töötlemistoiming peab tuginema GDPR artikli 6 lõikes 1 sätestatud õiguslikule alusele, on eelmärgitud kolmandatele isikutele avaldamine ebaseaduslik.
Järelevalveasutus hindas samuti, kas kool saaks tugineda GDPR artikli 6 lõikes 1 (f) sätestatud vastutava töötleja või kolmanda isiku õigustatud huvile. Euroopa Liidu Kohus on oma varasemas praktikas leidnud, et õigustatud huvi korral peavad olema täidetud 3 tingimust:
- Vastutava töötleja õigustatud huvi olemasolu
- Töötlemistoimingu vajalikkus
- Õigustatud huvi kaalub üles andmesubjekti õigused ja vabadused
Järelevalveasutus leidis, et koolil võib küll olla õigustatud huvi kõigi vanematega kontakteeruda, kuid viis, kuidas kool seda tegi, ei olnud õige. Kuna vanemate mõistlik ootus oli/on suhtlus kooliga, ei eelda vanemad oma isikuandmete avalikustamist teistele vanematele. Seega ei olnud õigustatud huvile tuginemise teine ja kolmas tingimus täidetud.
Kool rikkus artikli 6 lõiget 1(b) koostoimes artikli 6 lõikega 4. Kuna kool jätkas vaatamata lubadustele ja sisemisi reegleid eirates ikkagi vaidlusalust töötlemistoimingut, sedastas järelevalveasutus ka artikli 24 lõigete 1 ja 2 ning artikli 25 lõigete 1 ja 2 rikkumise.
Kool sai ettekirjutuse ja korralduse viia oma töötlemistoimingud 3 nädala jooksul GDPR-ga kooskõlla.