Datenschutzbehörde (DSB) har utfärdat en sanktionsavgift på 10 000 euro mot en gynekolog för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade publicerat en negativ recension på en webbplats i sitt eget namn om sina erfarenheter hos en gynekolog. En dag senare svarade gynekologen offentligt på recensionen och avslöjade att den registrerade diagnostiserats med en vaginal infektion. Gynekologen hävdade att han lämnade ut personuppgifterna för att skapa en sanningsenlig bild för läsarna.
DSB ansåg att gynekologen behandlade den registrerades personuppgifter genom att publicera hans svar online. Dessutom ansåg DSB att informationen om en persons vaginala infektion är uppgifter om hälsa enligt artikel 4.15 GDPR. Detta är en särskild kategori av personuppgifter enligt artikel 9.1 GDPR och vars behandling är förbjuden om inte något av undantagen i artikel 9.2 GDPR är tillämpligt. DSB ansåg inte att något undantag var tillämpligt i detta fall varför gynekologen därmed brutit mot artikel 9 GDPR och mot principen om laglighet enligt artikel 5.1 (a) GDPR.
Vidare ansåg DSB att gynekologen brutit mot principen om ändamålsbegränsning enligt artikel 5.1 (b) GDPR. Enligt DSB fanns inte någon konkret koppling mellan syftet med insamlingen av uppgifter (diagnosen) och den fortsatta behandlingen av uppgifterna. Dessutom var det inte förutsebart för den registrerade att gynekologen skulle samla in uppgifter om hennes medicinska diagnos och publicera dessa i ett svar på den registrerades granskning.
Slutligen ansåg DSB att gynekologen brutit mot principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR, eftersom syftet att skapa en sanningsenlig bild för läsarna kunde ha uppfyllts utan att nämna diagnosen.