Läti isikuandmete kaitse järelevalveasutus „Datu Valsts Inspekcija“ määras tööandjale 6 250 eurot trahvi töötaja terviseandmete ebaseadusliku avaldamise eest.
Järelevalveasutusele laekus kaebus selle kohta, et tööandja informeeris töötaja tervislikust seisundist tema kolleege e-kirjaga, mis sisaldas selle töötaja ees- ja perekonnanime ning terviseseisundit, täpsemalt nakkushaiguse diagnoosi.
Juhtumit uurides jõudis järelevalveasutus järeldusele, et tööandja rikkus selliselt toimides isikuandmete töötlemise reegleid, kuna selline töötlemistoiming ei olnud vajalik tööandja eesmärkide saavutamiseks ning andmete avaldamiseks puudus õiguslik alus.
Tööandja vaidlustas järelevalveasutuse otsuse kohtus. Kohtulahendit veel ei ole.
Terviseandmed kuuluvad eriliigiliste (varasema nimega delikaatsete) isikuandmete hulka, mille töötlemine on GDPR artikli 9 lõike 1 kohaselt keelatud. Sama artikli lõige 2 sätestab rea erandeid, millistel juhtudel on töötlemine siiski lubatud (vt: https://www.privacy-regulation.eu/et/9.htm).
Terviseandmete teemat on Covid-19 pandeemia kontekstis käsitlenud ka Euroopa Andmekaitsenõukogu:
Küsimusele, kas tööandja võib COVID-19 nakatunu andmed töökaaslastele või välistele isikutele avalikustada vastas Euroopa Andmekaitsenõukogu järgmiselt: tööandja peab organisatsiooni juhtumitest informeerima ning võtma kasutusele kõik kaitsemeetmed kuid ei tohi avalikustada rohkem infot kui vajalik. Kui peaks tekkima tarvidus avalikustada nakatunu(te) nimed (nt ennetuse otstarbel) ning see on kooskõlas siseriikliku regulatsiooniga, tuleb kõnealuseid töötajaid sellest ette teavitada ning võtta kasutusele kõik meetmed, et kaitsta nende isikute väärikust.