我們今天來看一下跟特種個資有關的小案件。
2021年8月5日,奧地利法院作出決議,由於被告M先生未經原告S小姐的同意,將M小姐的病歷寄給M小姐工作的單位,違反GDPR第9條規定,針對特種個資(Sensitive Data)的處理或利用需經過當事人同事,因此開出一張600歐元的罰單。
在本案裡面,M先生因為跟S小姐的私人爭議,把跟S小姐其他的爭議案件中取得的病歷資料,寄給S小姐工作的單位,使得S小姐的隱私因而曝光。這事似乎在我們日常生活中屢見不鮮,那麼,我們可以主張甚麼樣的個資權利保護嗎?
‧甚麼是特種個資?我可以蒐集、處理跟利用它嗎?
首先問問各位受過充足個資保護與資安訓練的朋友們:甚麼是特種個資?
通常大家都可以很快地回答出來:病歷、醫療、基因、性生活、健康檢查及犯罪前科。
再問:特種個資跟一般個資有甚麼不同?
通常會很快地回答:要蒐集要經過特別書面同意或者法令有規定。
…鳩都嘛得!我國個資法第六條第一項前段是這樣寫的:
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。 …
原則不能蒐集,書面同意、法令規定都是例外喔!
‧那GDPR定義的敏感性個人資料跟我國的特種個資有甚麼不同?
我國個資法第6條定義的特種個資包含:病歷、醫療、基因、性生活、健康檢查及犯罪前科。
GDPR所定義之Sensitive Data(=我國的特種個資),則是任何得以揭露種族、政治理念、宗教信仰、工會會籍、健康或性生活、性取向、基因資料或生物統計資料等因子,原則上也是禁止蒐集、處理或利用,只有在符合特定法定情形的狀況下,才可使用。
其實GDPR的寫法較寬,有關宗教、政治傾向跟性取向(以及可能可以直接間接判讀出相關取向的資料)都算是特種個資,原則禁止/例外(例如明確書面同意、法令規定等)才能蒐集。
‧惡意散布特種個資或一般個資在法律上的評價有甚麼不同嗎?
其實洩漏或不當使用個資,不管是哪種個資,都是違法行為。但法院在考量罰鍰或者處罰輕重的時候會視行為內容、影響、可能造成的損害、洩漏的資料酌情考量。也不要忘記,惡意散佈或洩漏個資,除了違反個資保護相關法令,也可能違反其他的法規喔!例如以本案為例,他可能還會有誹謗及公共侮辱的罪嫌的爭議。
那麼這個小案件分享如上,我們明天來看一個”大一點”的案件!
判決全文
5 August 2021 (Verfahrenszahl: DSB-D550.214)
https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20210805_2021_0_518_795_00/DSBT_20210805_2021_0_518_795_00.html