Ungari andmekaitse järelevalveasutus Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) määras 25 000 euro suuruse trahvi inkassofirmale, pidades 11.02.2022 avaldatud otsuses rikkumiseks seda, et ettevõte ei arvestanud suuliselt väljendatud soovi isikuandmete kustutamiseks. Seejuures viitas järelevalveasutus GDPR artiklile 12(1), mille kohaselt võib teabe esitada suuliselt tingimusel, et andmesubjekti isikusamasus on tõendatud.
Inkassofirma eesmärk oli saada 2013. a surnud isiku võlg tagasi tema pärijalt. 23.06.2021 saabunud nõude peale võttis pärija inkassofirmaga ühendust ning avaldas arvamust, et nõue ei ole põhjendatud ning avaldas soovi kõigi oma antud juhtumiga seotud andmete kustutamiseks. Kuna andmetöötleja seda ei teinud, võttis pärija 15.07.2021 uuesti ühendust ning soovis oma eelmise telefonikõne salvestust. Telefonile vastanud töötaja ei leidnud aga ühtegi viidet varasemale telefonikõnele ning nõudis, et pärija (andmesubjekt) esitaks oma andmete kustutamise soovi kirjalikult.
Järelevalveasutusele vastas inkassofirma hiljem, et on analüüsides siiski jõudnud järeldusele, et ka verbaalne pöördumine on vastuvõetav ning telefonile vastanud töötaja lihtsalt eksis kui jättis pöördumise registreerimata.
Järelevalveasutuse hinnangul töötles vastutav töötleja isikuandmeid võla sissenõudmise eesmärgil ebaseaduslikult ning rikkus GDPR artikleid 5(1)b (eesmärgi piirang) ja 6(1) (töötlemise seaduslikkus, õiguslikud alused). Andmesubjekti soovi osas kustutada ka võlgnevuse üleminekut tõendav notari akt asus järelevalveasutus seisukohale, et GDPR artiklile 17(3)(b) tuginedes ei pea seda täitma, kuna notari akti säilitamise kohustus tuleneb seadusest. Nimelt võimaldab see GDPR säte mitte täita andmesubjekti soovi olla unustatud kui vastutav töötleja täidab andmete säilitamisega talle kohalduvat juriidilist kohustust (nt säilitada teatud andmeid seaduses sätestatud aja jooksul). Notari akti koos selles sisalduvate isikuandmetega säilitamine tugineb antud juhul seega GDPR artiklile 6(1)c (juriidilise kohustuse täitmine).
Teiseks andis järelevalveasutus hinnangu telefonile vastanud töötaja korraldusele esitada isikuandmete kustutamise soov kirjalikult. Kuna GDPR ei sätesta kustutamise soovi esitamisele mingeid vorminõudeid, ei ole ka andmetöötlejal õigust seda teha – vorminõuete esitamisega rikuti GDPR artiklit 12(1).
Kolmandaks võttis järelevalveasutus seisukoha vastutava töötleja suutmatuse kohta väljastada andmesubjekti esimese kustutamist puudutava pöördumise koopiat. Järelevalveasutus sedastas, et vastutav töötleja kustutas järelevalveasutuse algatatud menetlusest teada saades kõne koopia, kuigi selle säilitamine menetluse huvides oleks olnud vastutuse põhimõttele tuginedes õigustatud ning tuginenud GDPR artiklile 6(1)f (õigustatud huvi). Kuna vastutav töötleja kustutas kõne koopia poolelioleva menetluse ajal, on tegu GDPR artikli 5(2) (“vastutus”) rikkumisega.
Lisaks leidis järelevalveasutus, et kuna vaatamata telefoni teel registreeritud soovile ei väljastanud vastutav töötleja andmesubjektile varasema kõne koopiat ega põhjendanud oma tegu, saab seda käsitleda GDPR artiklite 15(3) (vastutava töötleja kohustus esitada töödeldavate isikuandmete koopia) ja 12(4) (vastutava töötleja kohustus selgitada andmesubjektile taotluse mittetäitmise põhjusi) rikkumisena. Lisaks selgus, et vastutava töötleja varundamise põhimõtted ning- haldus ei olnud andmesubjektide jaoks piisavalt arusaadavad, mis järelevalveasutuse silmis kvalifitseerus GDPR artikli 5(1)a („seaduslikkus, õiglus ja läbipaistvus“) rikkumiseks.