Ungari andmekaitse järelevalveasutus Nemzeti Adatvédelmi és Információszabadság Hatóság trahvis kohalikku omavalitsust elanike vaktsiiniga hõlmatuse kontrollimisel tehtud vigade eest 3 miljoni forinti (ligikaudu 7 800 €) suuruse trahviga.
Kohalik omavalitsus otsustas kindlaks teha, milline on nende elanike COVID-19 vaktsiiniga hõlmatus. Plaanis oli luua anonüümne statistika, mille põhjal pandeemia olukorras otsuseid teha.
Vastutav töötleja juurdepääsu piirkonnas elavate täiskasvanud isikute nimedele ja aadressidele hindas järelevalveasutus seaduslikuks, kuid küsimustiku sisu osas oli kriitiline. Küsimustikus ei olnud selgelt välja toodud, et andmesubjekti nime, telefoninumbri ja e-posti avaldamine ei olnud vastamiseks kohustuslik. Lisaks puudus teave selle kohta, et juhtudel kui andmesubjekt oma nime, telefoninumbri ja e-posti aadressi küsitlejate käsutusse annab, töödeldakse neid koos sama isiku terviseandmetega.
Rikkumiseks luges järelevalveasutus ka seda, et nõusoleku sai anda alles vastamise lõpus kui isikuandmed olid juba ära saadetud.
Kohalik omavalitsus kui vastutav töötleja sattus vastuollu järgmiste GDPR reeglitega:
- Vastutav töötleja ei teavitanud andmesubjekte kooskõlas art 12(1) ja 14 nõuetega.
- Nime ja kontaktandmete lisamine küsimustikule tõi kaasa ülemäärase isikuandmete töötlemise artiklite 5(1)(b) ja 5(1)(c) tähenduses.
- Andmesubjektide täiendavast andmetöötlusest teavitamata jätmine ei olnud kooskõlas artiklitega 12(1) ja 13.
- Vaktsineerituse andmed on kvalifitseeritavad eriliigiliste isikuandmetena art. 9(1) tähenduses. Kontaktandmete ja terviseandmete segunemine hägustas andmesubjekti poolset nõusolekut artikli 7(2) mõttes, tuues kaasa õigusliku aluse puudumise artikli 6 (1) tähenduses.
Artikli kirjutamisel kasutatud allikas:
