Ευαίσθητα δεδομένα και ειδικές κατηγορίες δεδομένων: έξι από τα δύο και μισή ντουζίνα από τα άλλα;

Νομική Παρακολούθηση Αρ. 43 – Ιανουάριος 2022

Ευαίσθητα δεδομένα και ειδικές κατηγορίες δεδομένων: έξι από τα δύο και μισή ντουζίνα από τα άλλα;. Όταν πρόκειται για δεδομένα που σχετίζονται με την υγεία, τις πολιτικές ή τις θρησκευτικές απόψεις, ο χαρακτηρισμός που έρχεται αμέσως στο μυαλό είναι αυτός των «ευαίσθητων δεδομένων»., τα οποία απαιτούν ειδική προστασία κατά την έννοια του Ευρωπαϊκού Κανονισμού για την Προστασία Δεδομένων.

Η CNIL ταξινομεί επίσης τα ευαίσθητα δεδομένα στον ιστότοπό της ως «ειδικές κατηγορίες δεδομένων» που ρυθμίζονται από τον ΓΚΠΔ.

Αυτό σημαίνει ότι αυτές οι δύο έννοιες είναι οι ίδιες;

Το ερώτημα είναι σημαντικό επειδή η ερμηνεία του οδηγεί στην εφαρμογή μιας σειράς νομικών διατάξεων που είναι δεσμευτικές για τον υπεύθυνο επεξεργασίας δεδομένων.

Ο ΓΚΠΔ ορίζει ότι «τα προσωπικά δεδομένα που είναι, εκ φύσεως, ιδιαίτερα ευαίσθητα από την άποψη των θεμελιωδών ελευθεριών και δικαιωμάτων χρήζουν ειδικής προστασίας, επειδή το πλαίσιο στο οποίο υποβάλλονται σε επεξεργασία θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για αυτές τις ελευθερίες και τα δικαιώματα».

Έχει προσδιοριστεί ρητά ένας ορισμένος αριθμός ευαίσθητων δεδομένων και η επεξεργασία τους απαγορεύεται, εκτός από τις εξαιρέσεις που ορίζονται στο άρθρο 9 του ΓΚΠΔ.

Πρόκειται για ειδικές κατηγορίες δεδομένων, οι οποίες αποκαλύπτουν την φερόμενη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση ενός φυσικού προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό ενός φυσικού προσώπου.

Δεδομένων των κινδύνων, ιδίως των διακρίσεων, που προκύπτουν από την επεξεργασία τέτοιων δεδομένων, ο Ευρωπαϊκός Κανονισμός απαιτεί αυξημένη λογοδοσία των υπευθύνων επεξεργασίας δεδομένων και προσεκτική χρήση των δεδομένων σύμφωνα με τις εξαιρέσεις που προβλέπονται από τον νόμο.

Αυτά αναφέρονται κυρίως σε ζωτικά ή σημαντικά δημόσια συμφέροντα, τα οποία είναι πιθανότερο να δικαιολογήσουν μια τέτοια παρέμβαση.

Θα πρέπει να σημειωθεί ότι και άλλα δεδομένα που μερικές φορές χαρακτηρίζονται επίσης ως ευαίσθητα, αλλά δεν περιλαμβάνονται στον κατάλογο του άρθρου 9 του ΓΚΠΔ, υπόκεινται επίσης σε ειδική προστασία..

Συνεπώς, η έννοια των ευαίσθητων δεδομένων θεωρείται μερικές φορές, για παράδειγμα στα επίσημα έγγραφα των βρετανικών και βελγικών αρχών προστασίας δεδομένων, ως άτυπα καλύπτουσα ένα ευρύτερο σύνολο δεδομένων των οποίων η επεξεργασία μπορεί να θεωρηθεί ιδιαίτερα επιβλαβής για τα ενδιαφερόμενα πρόσωπα.

Εκτός από τις ειδικές κατηγορίες δεδομένων του άρθρου 9, τα δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα (άρθρο 10), αλλά και τα δεδομένα τηλεπικοινωνιών ή τα μοναδικά αναγνωριστικά στοιχεία μπορούν επίσης να υπόκεινται σε ειδικά μέτρα προστασίας, στο πλαίσιο του ΓΚΠΔ ή της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.

Ο διορισμός ΥΠΔ, η τήρηση μητρώου πράξεων επεξεργασίας και η διενέργεια αναλύσεων επιπτώσεων στοχεύουν, επομένως, τόσο στις ειδικές κατηγορίες δεδομένων του άρθρου 9 όσο και στα δικαστικά δεδομένα του άρθρου 10 του ΓΚΠΔ (σε περίπτωση επεξεργασίας μεγάλης κλίμακας των εν λόγω δεδομένων).

Για την αποφυγή τυχόν παρεξηγήσεων, συνιστάται η χρήση των όρων του ΓΚΠΔ και η αναφορά είτε στις ειδικές κατηγορίες δεδομένων που προβλέπονται στο άρθρο 9, είτε στις άλλες διατάξεις του ΓΚΠΔ που προστατεύουν άλλα συγκεκριμένα δεδομένα, προσδιορίζοντας έτσι με σαφήνεια τις εφαρμοστέες αρχές..

Ακόμη και εντός ειδικών κατηγοριών δεδομένων, ο προσδιορισμός του τι εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ μπορεί μερικές φορές να αποτελεί πρόκληση.

Έτσι, εάν τα αποτελέσματα μιας ιατρικής ανάλυσης εμπίπτουν χωρίς συζήτηση στην κατηγορία των δεδομένων υγείας, θα μπορούσαν επίσης να βρεθούν εκεί και άλλες, λιγότερο προφανείς πληροφορίες, ανεξάρτητα από το πλαίσιο των επαγγελματιών υγείας και των οδών φροντίδας.

Για παράδειγμα, σκεφτόμαστε δεδομένα που καταγράφονται από ένα συνδεδεμένο ρολόι, αναλύοντας τον καρδιακό ρυθμό ή πιθανές διαταραχές ύπνου.

Τα εν λόγω δεδομένα που διαβιβάζονται και αναλύονται ηλεκτρονικά από τρίτο μέρος υπόκεινται επομένως στο αυστηρό πλαίσιο του άρθρου 9 του ΓΚΠΔ.

Είναι διαφορετικό αν οι πληροφορίες παραμένουν αποθηκευμένες στο τερματικό του χρήστη και είναι προσβάσιμες μόνο σε αυτόν.

Εκτός από τη φύση των δεδομένων, το καθοριστικό στοιχείο είναι το πλαίσιο στο οποίο θα υποβληθούν σε επεξεργασία αυτά τα δεδομένα και οι πληροφορίες που θα εξαχθούν από αυτό.

Έτσι, μια φωτογραφία μπορεί να αποκαλύψει το χρώμα του δέρματος του φωτογραφημένου ατόμου και επίσης να αποτελέσει βιομετρικά δεδομένα.

Ένα επώνυμο μπορεί να χρησιμοποιηθεί για να συναχθεί, με κάποιο βαθμό πιθανότητας, η εθνική καταγωγή του εν λόγω ατόμου.

Αυτά τα «ακατέργαστα» δεδομένα δεν αποτελούν, ωστόσο, ειδικές κατηγορίες δεδομένων.

Ανάλογα με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, ενδέχεται να καταστούν τέτοια.

Ένα αρχείο που ταξινομεί άτομα ονομαστικά ανάλογα με την πιθανή εθνοτική τους καταγωγή θα απαγορεύεται (εκτός από την εξαίρεση που ορίζεται στο Άρθρο 9 του ΓΚΠΔ), ακόμη και αν η ακρίβεια των συμπερασμάτων δεν είναι εγγυημένη.

Ομοίως, ο ΓΚΠΔ ορίζει ότι «η επεξεργασία φωτογραφιών δεν θα πρέπει να θεωρείται συστηματικά ως επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, δεδομένου ότι αυτές εμπίπτουν στον ορισμό των βιομετρικών δεδομένων μόνο όταν υποβάλλονται σε επεξεργασία με συγκεκριμένη τεχνική μέθοδο που επιτρέπει την μοναδική ταυτοποίηση ή επαλήθευση ταυτότητας ενός φυσικού προσώπου».

Το πεδίο εφαρμογής των διατάξεων που αφορούν ειδικές κατηγορίες δεδομένων είναι επομένως ευρύ και υπόκειται σε ερμηνεία ανάλογα με το πλαίσιο της επεξεργασίας.

Σε περίπτωση αμφιβολίας, ο μεροληπτικός χαρακτήρας αυτών των πληροφοριών και ο επιδιωκόμενος σκοπός αποτελούν χρήσιμα στοιχεία αξιολόγησης.

Και επίσης

Γαλλία:

Στις 30 Δεκεμβρίου, το Συμβούλιο της Επικρατείας έκρινε αβάσιμη την έφεση που άσκησαν η Quadrature du Net και άλλοι προσφεύγοντες κατά διατάγματος της 27ης Μαρτίου 2020 σχετικά με τη βάση δεδομένων DataJust..

Αυτή η βάση δεδομένων προβλέπει την επεξεργασία δικαστικών δεδομένων, συμπεριλαμβανομένων ευαίσθητων δεδομένων, χρησιμοποιώντας αλγόριθμο, προκειμένου να διευκολυνθεί η αξιολόγηση της αποζημίωσης σε υποθέσεις αστικής και διοικητικής ευθύνης.

Το Συμβούλιο της Επικρατείας απέρριψε επίσης, στις 28 Ιανουαρίου, την έφεση της Google LLC και της Google Ireland Limited κατά της απόφασης της CNIL, η οποία είχε επιβάλει πρόστιμο 100 εκατομμυρίων ευρώ στην εταιρεία τον Δεκέμβριο του 2020 για παράνομη χρήση cookies.

Η παρούσα απόφαση επιβεβαιώνει την εξουσία της CNIL να επιβάλλει αυτό το είδος κυρώσεων κατά εταιρειών που είναι εγκατεστημένες σε άλλες ευρωπαϊκές χώρες και επιβεβαιώνει τον αναλογικό χαρακτήρα των κυρώσεων.

Η Επίσημη Εφημερίδα της 26ης Δεκεμβρίου 2021 δημοσίευσε ένα διάταγμα που εξουσιοδοτούσε τη δημιουργία ενός αρχείου που προορίζεται για την καταπολέμηση του ransomware και ονομάζεται «MISP-PJ».

Αυτό το αρχείο θα αποθηκεύει για έξι χρόνια τα δεδομένα των ατόμων που πέφτουν θύματα επιθέσεων μέσω υπολογιστών, καθώς και τεχνικές πληροφορίες σχετικά με την επίθεση και τον δράστη της.

Το Ακυρωτικό Δικαστήριο έκρινε, με απόφαση της 10ης Νοεμβρίου, ότι τα αποδεικτικά στοιχεία που αποκτήθηκαν κατά παράβαση του δικαιώματος στην ιδιωτικότητα ενός εργαζομένου μπορούν παρόλα αυτά να διατηρηθούν στο δικαστήριο.

Ακόμη και αν η μεταχείριση που προέβλεπε την παρακολούθηση των εργαζομένων εν αγνοία τους είναι παράνομη, εναπόκειται στον δικαστή να σταθμίσει το δικαίωμα απόδειξης και τα δικαιώματα του εργαζομένου και να επαληθεύσει, κατά περίπτωση, εάν τηρείται η δίκαιη φύση της διαδικασίας.

Ευρώπη:

Το Google Analytics βρίσκεται στο στόχαστρο αρκετών αρχών προστασίας δεδομένων:

• Η Αυστρία μόλις αποφάσισε ότι η χρήση του δεν συμμορφώνεται με τις απαιτήσεις του ΓΚΠΔ σχετικά με τις διασυνοριακές ροές δεδομένων, όπως διευκρινίστηκε από το Ευρωπαϊκό Δικαστήριο στην απόφασή του στην υπόθεση Schrems II.
• Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχει επιβάλει κυρώσεις στο Ευρωπαϊκό Κοινοβούλιο με την ίδια βάση για παράνομη μεταφορά δεδομένων στις Ηνωμένες Πολιτείες.
• Η Ολλανδία, η οποία χειρίζεται δύο καταγγελίες σχετικά με το Google Analytics, προειδοποιεί ότι η χρήση του ενδέχεται να είναι παράνομη και η Νορβηγία ανακοίνωσε στις 26 Ιανουαρίου ότι επίσης διερευνά το θέμα.

Το ζήτημα των μεταφορών προς τις Ηνωμένες Πολιτείες βρίσκεται επίσης στο επίκεντρο της απόφασης του Δικαστηρίου του Μονάχου της 20ής Ιανουαρίου. Όταν ένας χρήστης κατεβάζει γραμματοσειρές Google, η διεύθυνση IP του μεταδίδεται αυτόματα στις Ηνωμένες Πολιτείες.

Το δικαστήριο έκρινε την εν λόγω μεταβίβαση παράνομη και επιδίκασε αποζημίωση 100 ευρώ στον ενάγοντα.

Η Ευρωπαϊκή Εποπτική Αρχή εξέδωσε απόφαση στις 20 Ιανουαρίου σχετικά με σχέδιο κανονισμού για την πολιτική διαφήμιση.

Κατά τη γνώμη του, συνιστά την πλήρη απαγόρευση της μικρο-στόχευσης στο πολιτικό μάρκετινγκ, η οποία στοχεύει στην επιρροή συγκεκριμένων ομάδων ψηφοφόρων με βάση το διαδικτυακό τους προφίλ.

Υποστηρίζει επίσης περιορισμούς στις κατηγορίες δεδομένων που μπορούν να χρησιμοποιηθούν για τέτοιους σκοπούς μάρκετινγκ.

Στις 27 Ιανουαρίου, η Ευρωπαϊκή Επιτροπή και το δίκτυο των εθνικών αρχών προστασίας των καταναλωτών απέστειλαν επιστολή στην WhatsApp απαιτώντας από την εταιρεία να ενημερώσει με μεγαλύτερη σαφήνεια τους χρήστες σχετικά με τους όρους χρήσης των δεδομένων τους..

Η εταιρεία καλείται να διευκρινίσει τις αλλαγές που έγιναν στους γενικούς όρους της, στην πολιτική προστασίας δεδομένων της και να συμμορφωθεί με την ευρωπαϊκή νομοθεσία.

Το Ευρωπαϊκό Ινστιτούτο Καινοτομίας και Τεχνολογίας (EIT) δημοσίευσε στις 20 Ιανουαρίου ένα εργαλείο που έχει σχεδιαστεί για την προώθηση της χρήσης τεχνητής νοημοσύνης από τις ευρωπαϊκές εταιρείες.

Το «εργαλείο ωριμότητας τεχνητής νοημοσύνης» θα πρέπει να επιτρέπει στις εταιρείες να αξιολογούν τον βαθμό ετοιμότητάς τους για τη χρήση της τεχνητής νοημοσύνης, σύμφωνα με το ευρωπαϊκό νομικό πλαίσιο.

Στις 15 Δεκεμβρίου 2021, η Ευρωπαϊκή Επιτροπή ξεκίνησε ένα κοινοπραξιακό έργο για την υποστήριξη της ανάπτυξης τεχνολογιών επόμενης γενιάς.

Με την ονομασία «Ευρωπαϊκή Συμμαχία για Βιομηχανικά Δεδομένα, Περιθώρια και Cloud», η κοινοπραξία αναλαμβάνει το έργο Gaia-X και είναι επίσης ανοιχτή σε ξένες εταιρείες, υπό την προϋπόθεση ότι συμμορφώνονται με τις ευρωπαϊκές απαιτήσεις ασφαλείας (πνευματική ιδιοκτησία, προμήθειες, πληροφορίες) και τους βασικούς στόχους της Ευρωπαϊκής Ένωσης σε αυτόν τον τομέα.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ενέκρινε κατευθυντήριες γραμμές σχετικά με το δικαίωμα πρόσβασης των ατόμων στα δεδομένα τους κατά τη σύνοδο ολομέλειάς του στις 18 Ιανουαρίου..

Για να ανταποκριθεί στα αιτήματα για ομοιόμορφη ερμηνεία των κανόνων που αφορούν τη χρήση των cookies, η Επιτροπή ανακοινώνει τη δημιουργία ομάδας εργασίας επί του θέματος.

Το Δικαστήριο της Ευρωπαϊκής Ένωσης έκρινε, στην απόφασή του της 25ης Νοεμβρίου 2017, ότι, στο πλαίσιο μιας δωρεάν υπηρεσίας ανταλλαγής μηνυμάτων που χρηματοδοτείται από διαφημίσεις, Μια τέτοια διαφήμιση που εμφανίζεται αυτόματα σε ένα ηλεκτρονικό γραμματοκιβώτιο εισερχομένων μπορεί να θεωρηθεί ως email υποψήφιας πελατείας και, ως εκ τούτου, υπόκειται στην προϋπόθεση της προηγούμενης συγκατάθεσης του χρήστη, όπως προβλέπεται στην ευρωπαϊκή οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.

Η ιταλική αρχή προστασίας δεδομένων επέβαλε διάφορα διορθωτικά μέτρα και πρόστιμο άνω των 26.000 ευρώ στην Enel Energia. για παράνομη επεξεργασία δεδομένων εκατομμυρίων χρηστών για σκοπούς τηλεμάρκετινγκ.

Η Νορβηγική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 400.000 ευρώ στη Διοίκηση Δημόσιων Οδών. για ακατάλληλη διατήρηση δεδομένων που αφορούν διόδους.

Στην Πορτογαλία, η αρχή προστασίας δεδομένων επέβαλε πρόστιμο 1.250.000 ευρώ στην πόλη της Λισαβόνας για την κοινοποίηση των προσωπικών και ευαίσθητων δεδομένων διαδηλωτών.με τρίτα μέρη, συμπεριλαμβανομένων των πρεσβειών και των υπουργείων Εξωτερικών των χωρών που στοχεύουν οι διαδηλωτές.

Το ανώτατο διοικητικό δικαστήριο της Βαυαρίας έκρινε ότι η απαίτηση για τους μη εμβολιασμένους μαθητές να προσκομίσουν πιστοποιητικό αρνητικού τεστ... σε covid ή για να υποβληθεί σε επιτόπιο τεστ δικαιολογείται από το άρθρο 9(2)(i) του ΓΚΠΔ, το οποίο επιτρέπει την επεξεργασία ευαίσθητων δεδομένων για λόγους δημόσιου συμφέροντος που σχετίζονται με την υγεία.

Διεθνές:

Η Διάσκεψη των Γερμανικών Αρχών Προστασίας Δεδομένων δημοσίευσε έκθεση με ημερομηνία 15 Νοεμβρίου, η οποία συνοψίζει τα ευρήματα ανάλυσης που διεξήγαγε η SI Vladeck σχετικά με το νομικό πλαίσιο για μέτρα επιτήρησης στις Ηνωμένες Πολιτείες.

Περιέχει χρήσιμες πληροφορίες σχετικά με τους όρους εφαρμογής του αμερικανικού δικαίου σε ευρωπαϊκές εταιρείες και θυγατρικές. 

Πάντοτε Στις Ηνωμένες Πολιτείες, τέσσερις γενικοί εισαγγελείς κατηγορούν την Google ότι εξαπατά τους χρήστες της, συνεχίζοντας να παρακολουθούμε όσους από αυτούς έχουν αλλάξει τις προτιμήσεις παρακολούθησης και αρνήθηκαν τη συλλογή των δεδομένων τους.

Οι αγωγές κατατέθηκαν από τις πολιτείες του Τέξας, της Ουάσινγκτον, της Ιντιάνα και της Περιφέρειας της Κολούμπια.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.