Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 15 000 euro mot en läkare för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade tagit emot ett oönskat sms från läkaren, som hon inte kände personligen. Efter att ha undersökt saken upptäckte hon via Facebook att läkaren var knuten till ett sjukhus som hon ofta besökte. Meddelandet innehöll politiskt innehåll som främjade läkarens politiska ställning. Ett liknande klagomål lämnades in av en annan registrerad dagen därpå.
HDPA inledde en utredning och kontaktade sjukhuset för att få dess synpunkter i ärendet. Därefter bjöd HDPA in läkaren för att ta upp klagomålen. I sitt svar gjorde läkaren bland annat följande påståenden: (i) telefonnumren tillhörde antingen personer i hans personliga nätverk eller genererades med hjälp av en slumpgenerator, (ii) efter att ha skickat meddelandena laddade han upp en samtyckesblankett och ett integritetsmeddelande på sin Facebook-sida, (iii) han åberopade berättigat intresse enligt artikel 6.1 (f) GDPR som rättslig grund för behandlingen av uppgifterna för att kommunicera sin politiska verksamhet, samt (iv) han förnekade att han haft tillgång till eller använde patientuppgifter från sjukhusjournaler för sin politiska kampanj.
HDPA begärde detaljerade klargöranden från läkaren, bland annat om det totala antalet mottagare av meddelandet, ursprunget till deras telefonnummer, hur ofta samtyckesformuläret användes, den exakta tidsramen för publicering av integritetsmeddelandet och åtgärder som vidtagits för att säkerställa att mottagarna kunde utöva sina rättigheter enligt GDPR.
Läkaren uppgav att 4 772 personer fått meddelandet och hävdade att 75 procent av dem kom från hans personliga nätverk. Han hävdade vidare att de registrerade kunde utöva sina rättigheter via hans Facebook-sida.
HDPA erhöll en telefonlista över patienter från sjukhuset för jämförelse. Bland de 4 772 mottagarna matchade 3 392 nummer dem på sjukhusets lista. Dessutom innehöll båda listorna 17 telefonnummer med identiska fel. När läkaren konfronterades med detta ändrade han sin tidigare inställning och hävdade att patienter inom hans personliga nätverk ingick i hans kontaktlista, en detalj som han utelämnat vid tidigare utfrågningar. HDPA begärde ytterligare klargöranden och bjöd in läkaren till ett nytt muntligt förhör för att ta itu med dessa upptäckter och inkonsekvenser.
HDPD ansåg, efter att ha hört läkaren, sjukhuset och de registrerade, att läkaren brutit mot principerna om laglighet, rättvisa och öppenhet mot artiklarna 5.1 (a), 6.1 och 6.4 GDPR när det gällde personuppgifter om hans patienter, och därmed också brutit mot artikel 9 GDPR. Han underlät också att underlätta utövandet av de registrerades rättigheter enligt bland annat artiklarna 13 och 14 GDPR.
HDPA:s slutsatser grundade sig på att läkaren konsekvent ändrade sina förklaringar som svar på de bevis som lades fram av HDPA, vilket undergrävde hans trovärdighet, samt att han inte på ett trovärdigt sätt kunde identifiera källorna till de telefonnummer som använts, vilket gör det osannolikt att en så stor del av patienternas kontaktuppgifter skulle ha inkluderats av misstag eller genererats slumpmässigt.
Med tanke på att överträdelsen rör särskilda kategorier av personuppgifter artikel 9 GDPR, ansvarsnivån för läkaren som är läkare, i kombination med hans tystnadsplikt, och slutligen de motsägelsefulla argument som framfördes i förhören, beslutade HDPA att utdöma en sanktionsavgift på 15 000 euro för överträdelsen av de grundläggande principerna och de som anges i artikel 12.2 GDPR.