Itálie: dotazník s citlivými údaji pro žadatele o očkování proti opičím neštovicím
Údaje shromážděné za účelem posouzení rizika očkování proti opičím neštovicím byly považovány za porušení zásad zákonnosti, spravedlnosti a transparentnosti, integrity a důvěrnosti (čl. 5 odst. 1 písm. a), čl. 5 odst. 1 písm. f) a článek 13 GDPR).
Okolnosti
Italskému úřadu pro ochranu osobních údajů byla podána řada stížností od několika subjektů údajů proti Národnímu ústavu pro infekční choroby Lazzaro Spallanzani (dále jen "správce údajů"). Stížnosti se týkaly postupu správce údajů při očkování proti opičím neštovicím. Správce údajů požádal zájemce o očkování, aby vyplnili dotazník a zaslali jej na interní e-mailovou adresu. Bez vyplnění dotazníku se subjekty údajů nemohly objednat na očkování.
Dotazník obsahoval otázky jako např.:
“Spadáte pod jednu z následujících definic: gay - transgender - bisexuál l - muž, který má sex s muži?"
“Měl/a jste v nedávné minulosti (poslední 3 měsíce) více sexuálních partnerů?"
“Účastnil se váš sexuální partner či partneři skupinových sexuálních akcí?"
“Prodělal/a váš/e sexuální partner/ka v poslední době pohlavně přenosnou infekci (syfilis, kapavka, chlamydie) alespoň jednou v posledním roce?"
“Máte vy nebo váš sexuální partner/ka ve zvyku spojovat sexuální akty s užíváním chemických drog (chemsex)?"
Tyto informace spadají do tzv. zvláštní zvláštních osobních údajů podle článku 9 GDPR, protože se týkají jak zdravotních údajů, tak údajů o sexuální orientaci nebo pohlavním životě osoby. Článek 13 GDPR ukládá správcům údajů povinnost poskytnout subjektům údajů informace týkající se zpracování, mimo jiné například účely zpracování, právní základ pro zpracování a dobu, po kterou budou údaje uchovávány. Správce údajů během tohoto procesu neposkytl subjektům údajů informace týkající se zpracování.
V rámci šetření stížností si italský úřad pro ochranu údajů vyžádal od italského ministerstva zdravotnictví další informace o tom, jaký je jeho oficiální přístup k poskytování očkování proti opičím neštovicím. Ministerstvo uvedlo, že regionální zdravotní ústavy od něj nedostaly žádný pokyn, že by mělo dojít k předchozí identifikaci osob, které mají být očkovány, očkování mělo být zcela dobrovolné.
Dne 25. října 2022 si úřad v reakci na stížnosti vyžádal od správce údajů další informace a požádal jej, aby prokázal dodržování zásad zákonnosti a korektnosti, minimalizace údajů, transparentnosti a integrity a důvěrnosti (čl. 5 odst. 1 písm. a), c) a f) obecného nařízení o ochraně osobních údajů).
Správce údajů odpověděl, že na začátku epidemie viru opičích neštovic bylo více žádostí než dostupných vakcín. V důsledku toho museli shromáždit informace o subjektech údajů, aby mohli žadatele upřednostnit vzhledem k omezené dostupnosti v té době. Správce rovněž uvedl, že rezervační e-maily z této první fáze rezervací byly vymazány a nebyla vytvořena žádná databáze se shromážděnými informacemi.
Správce dále uvedl, že po prvním období výskytu mimořádné situace byly přijaty následující kroky ke změně jejich systému očkování:
Změnili interní e-mailovou adresu, kterou subjekty údajů používaly k podávání žádostí o očkování.
Osoby, které si rezervovaly očkování, již nemusely vyplňovat dotazník, aby mohly vakcínu obdržet.
A dále poskytli subjektům údajů, které se registrují na očkování, informace nezbytné podle článku 13 GDPR.
Stanovisko
Italský úřad pro ochranu údajů zjistil porušení článku 13 GDPR, čl. 5 odst. 1 písm. a) GDPR a čl. 5 odst. 1 písm. f) GDPR. Toto rozhodnutí vycházelo z následujících důvodů:
Za prvé, článek 13 GDPR v souladu s čl. 5 odst. 1 písm. a) GDPR vyžaduje, aby osobní údaje byly zpracovávány zákonným a transparentním způsobem. Ačkoli tedy shromažďování údajů správcem údajů za účelem upřednostnění žadatelů o očkování nebylo samo o sobě protiprávní, netransparentnost tohoto zpracování byla protiprávní. Správce neposkytl subjektům údajů příslušné informace o zpracování, jak vyžaduje článek 13 obecného nařízení o ochraně osobních údajů. Toto nesdělení bylo považováno za porušení zásady transparentnosti podle čl. 5 odst. 1 písm. a) a za porušení povinností uvedených v článku 13. Pro účely nařízení GDPR není vyžádání citlivých údajů za účelem stanovení priorit u rizikovějších pacientů protiprávní. Tato skutečnost však měla být sdělena v zásadách ochrany osobních údajů.
Zadruhé, italský úřad pro ochranu osobních údajů navíc zjistil, že způsoby zpracování nebyly v souladu s čl. 5 odst. 1 písm. f) nařízení GDPR. Ustanovení čl. 5 odst. 1 písm. f) GDPR požaduje, aby správci zajistili "odpovídající zabezpečení" a "technická a organizační opatření". Úřad vyložil, že opatření správce pro zpracování údajů, spočívající v používání společné interní e-mailové adresy v počátečním období propuknutí krize, nebyla dostatečná k zajištění odpovídající úrovně zabezpečení.
Úřad klasifikoval porušení jako "méně závažné" podle 148. bodu odůvodnění obecného nařízení o ochraně osobních údajů a pokynů WP 253, protože správce aktualizoval svůj systém zpracování údajů a během řízení o stížnosti prokázal spolupráci. V důsledku toho vydal úřad správci varování podle čl. 58 odst. 2 písm. b) nařízení GDPR a čl. 83 odst. 2 nařízení GDPR.