Bundesverwaltungsgericht (BVwG) ändar en personuppgiftsansvarigs sanktionsavgift och sätter ner avgiften till 2 000 euro i enlighet med artikel 83 dataskyddsförordningen (GDPR).
Av domen framgår att en personuppgiftsansvarig som var läkare använt den nationella hälso- och sjukvårdsportalen för att få tillgång till information om vaccinationsstatus för en registrerad som sökt ett jobb. Datenschutzbehördes (DSB) inledde en utredning mot den personuppgiftsansvarige som i sin tur erkände en överträdelse av artikel 9 GDPR, eftersom denne olagligen behandlat den registrerades hälsouppgifter. DSB utdömde en sanktionsavgift på 3 500 euro för överträdelsen av artikel 9 GDPR. Den personuppgiftsansvarige överklagade beslutet och hävdade att sanktionsavgiften var oproportionerlig.
Vid bedömningen av om sanktionsavgiften var proportionerlig tittade DVwG på hur DSB tillämpat artikel 83.2 GDPR på de aktuella omständigheterna. Vad gäller artikel 83.2 (a) GDPR är det sant att den personuppgiftsansvariges ställning som läkare bör betraktas som en försvårande omständighet. DVwG konstaterade dock att dessa uppgifter i vilket fall som helst borde ha lämnats ut till den personuppgiftsansvarige under anställningsintervjun, i enlighet med österrikisk lag. Den personuppgiftsansvarig hade dessutom endast behandlat vaccinationsuppgifter och inga andra särskilda kategorier av personuppgifter i enlighet med artikel 9 GDPR. Vidare skedde behandlingen under pandemin vilket DVWG utgjorde en förmildrande omständighet enligt artikel 83.2 (k) GDPR. Mot bakgrund av ovanstående satte DVwG ned sanktionsavgiften till 2 000 euro.