אימות תוקפן של תעודות קורונה באמצעות אפליקציית "čTečka" (שטצ'קה) הצ'כית לצורך מטרות לאומיות, מהווה עיבוד אוטומטי של מידע אישי תחת ה-GDPR. כך לפי החלטת בית הדין האירופי הגבוה לצדק (CJEU).
ההחלטה ניתנה במסגרת פסק דין מקדמי שעסק בשאלת פרשנותם של סעיפים ספציפיים בתקנות ה-GDPR, בעקבות תביעה שהגישו אזרחים צ'כים נגד משרד הבריאות בנוגע להסדרת הגישה למקומות ציבוריים במהלך המגפה. לפי מדיניות המשרד, נדרשו התושבים להציג, טרם הכניסה, אישור על חיסונם לקורונה, בדיקה קורונה שלילית או תעודת החלמה מקורונה. האישורים הופיעו בצורה של קוד QR, שאפליקציית čTečka המירה נתונים ממנו לפורמט הניתן לקריאה בידי האדם הבודק את תוקפם.
משרד הבריאות טען כי פעולת הסריקה וההמרה של הנתונים מקוד ה-QR אינה מהווה פעולה של "עיבוד" מידע אישי לפי ה-GDPR. בית הדין דחה את טענת המשרד, בקובעו כי הנתונים המופיעים באישור, דוגמת שמות מלאים ותאריכי לידה מהווים מידע אישי, וכי על פי פרשנות רחבה של המונח "עיבוד", פעולת סריקת קוד ה-QR להמרה והצגת הנתונים תוכל להיחשב כפעולת עיבוד אוטומטית. מכאן, שאימות תוקפם של האישורים באמצעות האפליקציה נחשב לעיבוד של מידע אישי תחת ה-GDPR.