Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 2 000 euro mot en förvaltare av bostäder för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en bostadsrättsförvaltare, i egenskap av personuppgiftsansvarig, den 5 augusti 2021 skickat ett e-postmeddelande till alla bostadsrättsmedlemmar för att informera dem om att en familj, de registrerade, testat positivt för covid-19 och att sanitära åtgärder därför vidtagits.
Den 10 september 2021 lämnade de registrerade in ett klagomål till Garante och hävdade att den personuppgiftsansvarige kränkt deras rätt till integritet. Till sitt försvar hävdade den personuppgiftsansvarige att han fått kännedom om familjens hälsotillstånd från den person som städade bostadsrätten, som i sin tur hade fått kännedom från andra boende. Han hävdade att undantaget från det allmänna förbudet mot behandling av hälsouppgifter enligt artikel 9.2 (e) GDPR var tillämpligt eftersom informationen uppenbarligen offentliggjorts.
Enligt den personuppgiftsansvariges uppfattning var det de registrerade själva som avslöjat informationen för den person som arbetade i byggnaden. Den personuppgiftsansvarige ansåg därför att ett giltigt samtycke lämnats till den fortsatta behandlingen av de registrerades personuppgifter. Den personuppgiftsansvarige uppgav dessutom att syftet med e-postmeddelandet var att förhindra smitta mellan grannar, vilket är ett berättigat intresse.
För det första bekräftade Garante att den personuppgiftsansvarige behandlat en särskild kategori av personuppgifter genom att lämna ut de registrerades hälsostatus till medlemmarna i bostadsrättsföreningen. Enligt Garante påverkades inte undantaget i artikel 9.2 GDPR av nödlagstiftningen i samband med covid-19-pandemin. Det allmänna förbudet mot att lämna ut hälsouppgifter gällde därför.
För det andra, vad gäller påståendet att uppgifterna redan offentliggjorts, angav Garante att det faktum att de registrerade beslutat att anförtro sitt hälsotillstånd till tredje part inte innebär att uppgifterna offentliggjorts eller att de registrerade samtycker till dess vidarebehandling.
För det tredje betonade Garante att, i enlighet med principen om uppgiftsminimering, syftet att förhindra smitta kunde ha uppnåtts med mindre ingripande medel för de registrerades integritet. Till exempel kunde deras namn ha utelämnats från e-postmeddelandet.
Sammanfattningsvis konstaterade Garante överträdelser av artiklarna 5.1 (c), 9.1, 9.2, 9.2 (e), 11, 12 och 15 GDPR.
TechLaw bistår verksamheter i frågor som rör dataskydd, behandling av hälsouppgifter och uppgiftsminimering. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.