Online ljekarna sa sjedištem u Njemačkoj tražila je od svojih kupaca unos određenih podataka. Osim podataka nužnih za provedbu plaćanja i izdavanja računa, tražili su i podatke o datumu rođenja i o spolu (gospodin/gospođa). Jedan ispitanik uputio je pritužbu nadzornom tijelu Donje Saske (LfD), a nadzorno tijelo je potom istražilo slučaj.

Budući da samostalno određuje svrhe i sredstva obrade, ljekarna je u ulozi voditelja obrade. Prema njihovim tvrdnjama, podatak o datumu rođenja tražili su kako bi osigurali da su kupci pravno sposobne osobe te zato što su neki lijekovi u potpunosti ili u određenim dozama namijenjeni samo pojedinim dobnim skupinama. Vezano za podatak o spolu, ljekarna je zauzela stav da im takav podatak omogućuje ugodniju komunikaciju s kupcima te takvu obradu smatraju svojim legitimnim interesom.

Nadzorno tijelo je zaključilo da prikupljanje podataka o datumu rođenja i o spolu, bez da ti podaci imaju svoju svrhu u kontekstu naručenih proizvoda, nije prihvatljivo, te da se radi o kršenju načela zakonitosti i smanjenja količine podataka. Dodatno, ljekarna je kršila i načelo transparentnosti jer u obavijesti o obradi podataka nije spomenuta obrada podataka o spolu. Nadzorno tijelo je naložilo ljekarni da ne prikuplja podatke o datumu rođenja, kao ni podatke o spolu, ako takvi podaci nisu nužni za izdavanje naručenih lijekova.

Slučaj je završio i pred Upravnim sudom u Hanoveru gdje je Sud potvrdio zaključke nadzornog tijela.

Izvor: GDPRhub.eu