義大利某牙醫請病患寫自己的病史時,其中在傳染性疾病欄,該病患寫下自己染有愛滋病的病史。該牙醫因該名病患具有愛滋病史拒絕提供診療,此遭義大利個資保護機關認為該名牙醫違反GDPR第5條之蒐集個資的限制,因此開罰。

為什麼開罰?

義大利個資機關所依據主要的理由為,

蒐集過去病史等個人資料的目的應是為病患提供適切的診療方式,即個資提供目的與個資使用方式必須具有關聯性、最小性。特別是個人病史等是特種資料,特種資料的蒐集、利用以及處理必須符合GDPR第9條(h)

(h)基於歐盟法或歐盟會員國法或與醫療專業人員之契約,且在符合第3項所定條件以及保護措施下,為了預防醫療、產業醫療或者、與勞工的業務遂行能力的評價、醫療上診斷、醫療或者社會福祉、治療之提供、醫療制度或是社會福祉制度等相關服務管理有必要之情形。

GDPR article9(h)

基於拒絕治療的目的下蒐集特種個資並不符合蒐集個資的規範。並且義大利過去已確立了為愛滋病患者進行醫療有了相關的防護措施建議。因此以上述之理由認為該牙醫蒐集特種個資的目的以及處理方式違反了GDPR的規定。

台灣的診所蒐集個資的狀況呢?

數天前,前往一家牙醫診所看診,由於是初診,需要填妥相關個人資料(戶籍地址、電話、身分證字號、病史以及要拍全牙的X光片),但該張個人資料單上並未說明個資的蒐集目的、處理以及利用方式。

經一一向櫃檯人員詢問,櫃檯人員也不太清楚互相確認後才能知道該個資蒐集處理目的為何。但該個資是否會限縮在此目的使用,抱持著些許懷疑的態度。電話是為了聯繫預約用,是否會另外作為行銷診所優惠之用等,也尚不明確。此外全牙的X光片在大災害發生時對於身份的辨認有其效果,例如在日本東北大地震時因為身體、顏面面目全非的狀況下,已經難以辨識人別,也無基因的資料庫時,就是靠著牙醫診所的全牙X光片進行高精度的身份辨認。
朝日新聞:https://www.asahi.com/articles/ASP393RHGP38ULBJ010.html

雖在大災害發生時使用全牙X光片應會符合個資保護相關法規的例外得使用的狀況,但可從上述之例可知,全牙X光片同樣也屬於極度個人生物辨識資料,隨著科技的日新月異,或有可能發展出不同的處理模式。因此對於該像個資的蒐集處理利用需要有更明確的限制。

由此可知,目前針對個資的蒐集、處理、利用的流程,台灣還尚未有太高的意識。期許不久的未來這部分可以多有改善。

如果你想更了解GDPR,可參考以下連結

GDPR條文:https://gdpr-info.eu

歐盟官方直屬機構認證課程(有中文字幕):https://pinkrose.info/2xweI

線上公開課程(2.5hr):https://tinyurl.com/29tuhnb7