Liječnik u Italiji se dosjetio genijalne ideje da iskoristi podatke svojih 500 pacijenata i da im pošalje email da će se kandidirati na lokalnim izborima pa ih moli za podršku i glasove.
Kad ga je nadzorno tijelo za zaštitu osobnih podataka, saznavši za slučaj iz medija, zatražilo objašnjenje zakonitog temelja za korištenje email adresa svojih pacijenata, liječnik se očitovao da je emailove poslao temeljem njihove izričite privole za marketing i newsletter i da su email adrese dobrim dijelom samo pseudonimi iz kojih je teško saznati o kojem se pacijentu radi.
Talijansko nadzorno tijelo je naglasilo da email adrese pacijenata, kakve god da jesu, spadaju u osobne podatke i to u podatke koji se odnose na zdravlje, jer predstavljaju kontaktne podatke izravno ili neizravno identificiranog pacijenta.
Temelj takvoj tvrdnji nalaze u uvodnoj izjavi (35) GDPR-a:
„Osobni podaci koji se odnose na zdravlje trebali bi obuhvaćati sve podatke koji se odnose na zdravstveno stanje ispitanika, a koji otkrivaju informacije u vezi s prijašnjim, trenutačnim ili budućim fizičkim ili mentalnim zdravstvenim stanjem ispitanika. To uključuje informacije o pojedincu prikupljene tijekom registracije za ili tijekom pružanja tom pojedincu zdravstvenih usluga kako je navedeno u Direktivi 2011/24/EU Europskog parlamenta i Vijeća (1); broj, simbol ili oznaku koja je pojedincu dodijeljena u svrhu njegove jedinstvene identifikacije za zdravstvene svrhe; informacije izvedene iz testiranja ili ispitivanja dijela tijela ili tjelesne tvari, među ostalim iz genetskih podataka i bioloških uzoraka; i bilo kakvu informaciju o, na primjer, bolesti, invalidnosti, riziku od bolesti, medicinskoj povijesti, kliničkom tretmanu ili fiziološkom ili biomedicinskom stanju ispitanika neovisno o njegovu izvoru, kao na primjer od liječnika ili drugog zdravstvenog djelatnika, bolnice, medicinskog uređaja ili dijagnostičkog testa in vitro.“
i u presudi Europskog suda u slučaju C-21/23 nakon koje je sud objavio i press release:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2024-10/cp240159en.pdf
Izdvajamo:
„…the Court finds that information entered by customers (such as their name, the delivery address and the information required for individualising the medicinal products) when ordering pharmacy-only medicinal products online constitutes data concerning health within the meaning of the GDPR, even where the sale of those medicinal products does not require a prescription.
Those data are capable of revealing information about the health status of an identified or identifiable data subject by means of an intellectual operation involving comparison or deduction because a link is established between that person and a medicinal product, its therapeutic indications or its uses, irrespective of whether that information concerns the customer or any other person for whom the customer places the order.“
Poveznica na slučaj u Italiji:
Image from FreePik
#gdprcroatia
