Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 10 000 euro mot en läkare för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en läkare skickat ett e-postmeddelande till sina patienter under kommunalvalet juni 2024. I mejlet informerade läkaren patienterna om sin kandidatur som kommunalråd och bad om deras stöd och röster.
Garante fick kännedom om läkarens agerande genom en rapport och nyhetsartiklar och förhörde läkaren. Han uppgav att han samlade in e-postadresserna direkt från patienter som kontaktade honom för att få medicinsk information eller hjälp. Han hävdade också att e-postmeddelandena skickades med stöd av ett uttryckligt samtycke som erhållits genom ett informationsmeddelande där ”Marknadsföringsåtgärder, information via telematik och nyhetsbrev” angavs som ändamål för behandlingen. Läkaren hävdade också att många e-postadresser var pseudonymer eller fantasinamn och att de därför inte kunde hänföras till specifika personer. Läkaren bekräftade att cirka 500 patienter fick e-postmeddelandet.
Garante konstaterade inledningsvis att patienters e-postadresser utgör personuppgifter och särskilt hälsouppgifter, eftersom de är kontaktuppgifter till direkt eller indirekt identifierbara patienter. Vidare konstaterade Garante att läkaren saknade en giltig rättslig grund för att behandla uppgifterna för valändamål. Det samtycke som erhållits från patienterna var inte giltigt för valpropaganda eftersom detta specifika syfte inte uttryckligen nämndes i det informationsmeddelande som lämnades till patienterna.
Garante konstaterade även att läkaren, genom att inkludera alla 500 mottagare i fältet ”kopia” (CC) i stället för fältet ”blind kopia” (BCC), i onödan avslöjat alla sina patienters identitet för varandra, vilket avslöjade deras status som patienter.
Sammantaget fastställde Garante att läkaren brutit mot principerna om laglighet, korrekhet och öppenhet, ändamålsbegränsning samt integritet och konfidentialitet enligt artikel 5.1 (a), (b) och (f) GDPR), samt att läkaren behandlat känsliga personuppgifter utan lämplig rättslig grund i strid med artikel 9 GDPR.