Vast suurim erand EL andmekaitseõiguse reeglina rangete normide kohaldamisel on nn. “koduerand”.

Asjaomane legaaldefinitsioon sisaldub GDPR artikli 2 lõike 2 punktis c – üldmäärust ei kohaldata „kui isikuandmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus“. Selle sätte kohta ütleb GDPR selgituspunkt 18 : „Käesolevat määrust ei kohaldata isikuandmete töötlemise suhtes, mida füüsiline isik teostab eranditult isiklikel või kodustel eesmärkidel ja seega väljaspool ametialast või äritegevust. Isiklik ja kodune tegevus võib hõlmata kirjavahetust ja aadresside loetelu või tegevust suhtlusvõrgustikes ja internetis, mida tehakse sellise isikliku või koduse tegevuse raames.“.

Olgugi, et selgituspunkt ei ole iseseisev õigusnorm ehk teda ei saa võrdsustada GDPR-i normatiivse sättega, kasutavad kohtud selgituspunkte tihti otsuse põhjendamisel.

„Koduerandi“ tõlgendamise vajadust tuli ette ka enne GDPR jõustumist, sest põhimõtteliselt samasugune erand oli ette nähtud ka enne GDPR kehtinud EL andmekaitsedirektiivi 95/46/EÜ artikli 3 lõike 2 teises taandes.

Euroopa Liidu Kohus on “koduerandi” sisu lahti mõtestanud korduvalt.

1. Kohtuasjas C‑212/13 František Ryneš otsustas EL kohus tõlgendada direktiivi 95/46/EÜ artikli 3 lõike 2 teist taanet nii, „et füüsilise isiku poolt tema perekonna eluasemeks oleva maja külge omanike vara, tervise ja elu kaitseks paigaldatud ja isikutest pidevsalvestusseadmesse ehk kõvakettale videosalvestust tegeva kaamerasüsteemi kasutamine, kui selline süsteem jälgib ka avalikku ruumi, ei ole isikuandmete töötlemine üksnes isiklikel või kodustel eesmärkidel selle sätte tähenduses“.
2. Kohtuasjas C‑101/01 Bodil Lindqvist otsustas kohus, et „toiming, mis seisneb veebilehel erinevatele isikutele osutamises ja nende individualiseerimises kas nime või muude vahendite, näiteks telefoninumbri või nende töötingimusi ja vaba aja harrastusi puudutava teabe alusel, on „isikuandmete täielikult või osaliselt automatiseeritud töötlemine” direktiivi 95/46/EÜ tähenduses. Teisisõnu ei olnud kriminaalasjas süüdistava B. Lindqvist’i tegevus „koduerand“. B. Lindqvist tegi arvutiõppe kodutöö raames koduarvutiga veebilehe, millel leidus teavet B. Lindqvisti enda ja tema 18 töökaaslase kohta, kaasa arvatud nende täielikud nimed või mõnikord ainult eesnimi. Lisaks oli B. Lindqvist humoristlikus võtmes kirjeldanud oma töökaaslaste tööülesandeid ja harrastusi. Mitmel juhul leidsid märkimist nende perekonnaseis, telefoninumber ja muud andmed. Lisaks oli ta ära näidanud, et üks tema töökaaslastest on vigastanud jalga ja töötab seetõttu haiguspuhkusel olles osalise tööajaga.
3. Kohtuasjas C‑25/17 Jehovan todistajat leidis kohus, et „usukogukonna liikmete poolt isikuandmete kogumine ukselt uksele tehtava kuulutustöö käigus ja nende andmete hilisem töötlemine ei kujuta endast ei isikuandmete töötlemist direktiivi artikli 3 lõike 2 esimeses taandes nimetatud tegevuse käigus ega isikuandmete töötlemist, millega tegelevad füüsilised isikud üksnes isiklikel või kodustel eesmärkidel“.

Muuhulgas nendele kolmele EL kohtu otsusele viidates tegi Hispaania andmekaitse järelevalveasutus Agencia Española de Protección de Datos (AEPD) 17.06.2021 otsuse trahvida 1500 euroga isikut, kes kajastas veebisaidil teise isiku (oma endise partneri) intiimelu, sh fotosid jmt. Isik ise kinnitas, et avaldatud materjal on mõeldud tähistama nende suhte 7 aastapäeva. Muuhulgas väitis isik, et tema tegevus mahub nn „koduerandi“ alla ning esitas isikuandmete töötlemise õigusliku alusena suhte käigus sõlmitud BDSM lepingu.

Järelevalveasutus leidis, et tegu pole „koduerandiga“, sest veebilehekülg oli reaalsuses nähtav kolmandatele isikutele ning isikuandmed seega juurdepääsetavad paljudele ning isik äratuntav.

Sarnasele seisukohale on asunud ka Austria Ülemkohus (Oberster Gerichtshof – OGH) 23.06.2021 kohtuasjas. Kohus leidis, et nn koduerand hõlmab suhtlusvõrgustike kasutamist vaid siis, kui see piirdub kindlate kasutajagruppidega. Koduerandile ei saa toetuda isikuandmete võrgus avalikuks tegemise korral (näiteks oma sugupuu online – avaldamine).