Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 10 000 euro mot Federación Nacional de Tenis de Mesa för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Federación Nacional de Tenis de Mesa (den personuppgiftsansvarige) organiserat ett test för certifiering av bordtennislärare. Efter att ha anmält sig till testet fick den registrerade ett e-postmeddelande där det krävdes att ett Covid-19-vaccinpass eller ett negativt PCR-test skulle lämnas in för att få tillträde till den plats där testet skulle äga rum. Som svar hävdade den registrerade att ett sådant krav behövde en rättslig grund.
Före testdagen skickade den personuppgiftsansvarige en förteckning till ägaren av platsen med information om namn och identitetsnummer för dem som uppfyllde tillträdeskraven. Den registrerade lämnade in ett klagomål till AEPD och hävdade att de tvingats lämna information om sin hälsa. Den personuppgiftsansvarige hävdade att syftet med behandlingen var att förhindra spridningen av COVID-19. Enligt den personuppgiftsansvarige var behandlingen nödvändig för att skydda deltagarnas vitala intressen och utfördes i allmänhetens intresse i samarbete med den offentliga förvaltningen.
För det första betonade AEPD att godkännandet av regler för smittspridning måste ske i enlighet med de allmänna förebyggande och hygieniska åtgärder mot COVID-19 som anges av folkhälsomyndigheterna. I det aktuella fallet konstaterade AEPD att reglerna för smittspridning som gällde vid tidpunkten för testet inte krävde vaccinationsintyg eller några diagnostiska infektionstester, såsom PCR. AEPD betonade också om provdeltagare inte är anställda och därför inte omfattas av arbetsrättsliga regler.
När det gäller den påstådda rättsliga grunden för behandlingen av hälsouppgifter förkastade AEPD den personuppgiftsansvariges påstående om ett berättigat intresse eftersom deltagarna kunde ge sitt samtycke. På samma sätt ansåg AEPD att idrottsförbund inte är en offentlig verksamhet varför de inte kan åberopa offentliga intressen eller utövandet av offentliga befogenheter. Dessutom påpekade AEPD att det fanns andra åtgärder som var mindre ingripande i deltagarnas privatliv. Det skulle till exempel vara tillräckligt att begära att de visar upp nämnda dokument när de kommer in på testområdet.
Av dessa skäl ansåg AEPD att den personuppgiftsansvarige inte haft en rättslig grund för behandlingen av hälsouppgifter och drog slutsatsen att den personuppgiftsansvarige hade brutit mot artiklarna 6.1 och 9.2 GDPR.
TechLaw bistår verksamheter i frågor som rör hälsouppgifter, känsliga personuppgifter och dataskydd. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AEPD.