Tundlikud andmed ja eriliigid: kuus ühest ja pool tosinat teisest?

Õiguslik valve nr 43 – Jaanuar 2022

Tundlikud andmed ja eriliigid: kuus ühest ja pool tosinat teisest?. Tervise, poliitiliste või usuliste vaadetega seotud andmete käsitlemisel tuleb esmalt meelde mõiste „tundlikud andmed”., mis vajavad Euroopa andmekaitsemääruse tähenduses erilist kaitset.

CNIL liigitab oma veebisaidil tundlikke andmeid ka isikuandmete kaitse üldmäärusega reguleeritud „erilisteks andmekategooriateks“.

Kas see tähendab, et need kaks mõistet on samad?

See küsimus on oluline, kuna selle tõlgendamine viib rea andmetöötlejale siduvate õigusnormide kohaldamiseni.

Isikuandmete kaitse üldmäärus sätestab, et „isikuandmed, mis on oma olemuselt eriti tundlikud põhivabaduste ja -õiguste seisukohast, väärivad erilist kaitset, kuna kontekst, milles neid töödeldakse, võib nendele vabadustele ja õigustele kaasa tuua märkimisväärseid riske“.

Teatud hulk tundlikke andmeid on selgesõnaliselt määratletud ja nende töötlemine on keelatud, välja arvatud GDPR-i artiklis 9 sätestatud erandid.

Need on eriliigid andmed, mis paljastavad väidetava rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumise, samuti geneetiliste andmete, biomeetriliste andmete töötlemine füüsilise isiku unikaalseks tuvastamiseks, terviseandmete või füüsilise isiku seksuaalelu või seksuaalse sättumuse kohta käivate andmete töötlemine.

Arvestades selliste andmete töötlemisega kaasnevaid riske, eriti diskrimineerimise riske, nõuab Euroopa määrus andmetöötlejate suuremat vastutust ja andmete hoolikat kasutamist kooskõlas seaduses sätestatud eranditega.

Need viitavad peamiselt elutähtsatele või olulistele avalikele huvidele, mis tõenäolisemalt õigustavad sellist sekkumist.

Tuleb märkida, et ka muud andmed, mida mõnikord samuti delikaatseks liigitatakse, kuid mis ei kuulu isikuandmete kaitse üldmääruse artikli 9 loetellu, kuuluvad erikaitse alla..

Seega käsitletakse tundlike andmete mõistet mõnikord, näiteks Briti ja Belgia andmekaitseasutuste ametlikes dokumentides, mitteametlikult laiema andmekogumi hõlmavana, mille töötlemist võib pidada asjaomastele isikutele eriti kahjulikuks.

Lisaks artiklis 9 sätestatud eriliikidele võivad isikuandmete kaitse üldmääruse või e-privaatsuse direktiivi kontekstis erikaitsemeetmed kehtida ka süüdimõistvate kohtuotsuste ja süütegudega seotud andmete (artikkel 10), aga ka telekommunikatsiooniandmete või unikaalsete identifikaatorite kohta.

Andmekaitseametniku määramine, töötlemistoimingute registri pidamine ja mõjuanalüüside tegemine hõlmavad seega nii isikuandmete kaitse üldmääruse artikli 9 eriliike kui ka artikli 10 kohtuandmeid (nende andmete ulatusliku töötlemise korral).

Arusaamatuste vältimiseks on soovitatav kasutada isikuandmete kaitse üldmääruse (GDPR) termineid ja viidata kas artiklis 9 sätestatud eriliikidele andmetele või muudele isikuandmete kaitse üldmääruse sätetele, mis kaitsevad muid konkreetseid andmeid, ning seega selgelt määratleda kohaldatavad põhimõtted..

Isegi eriliste andmekategooriate puhul võib mõnikord olla keeruline kindlaks teha, mis kuulub GDPR-i kohaldamisalasse.

Seega, kui meditsiinilise analüüsi tulemused kuuluvad aruteluta terviseandmete kategooriasse, võib sealt leida ka muud vähem ilmset teavet, mis ei sõltu tervishoiutöötajate ja hooldusradade raamistikust.

Näiteks mõtleme ühendatud kella salvestatud andmetele, mis analüüsivad pulssi või võimalikke unehäireid.

Seega kuuluvad kolmanda osapoole poolt veebis edastatud ja analüüsitud andmed isikuandmete kaitse üldmääruse artikli 9 range raamistiku alla.

Teistsugune on olukord siis, kui teave jääb kasutaja terminali salvestatuks ja sellele pääseb ligi ainult tema.

Lisaks andmete olemusele on määravaks elemendiks kontekst, milles neid andmeid töödeldakse, ja teave, mis neist tuletatakse.

Seega võib foto paljastada pildistatud isiku nahavärvi ja kujutada endast ka biomeetrilisi andmeid.

Perekonnanime abil saab teatud tõenäosusega järeldada asjaomase isiku etnilist päritolu.

Need „toorandmed” ei ole siiski erilised andmekategooriad.

Sõltuvalt eesmärkidest, milleks neid töödeldakse, võivad need muutuda sellisteks.

Fail, mis liigitab inimesi nimepidi nende tõenäolise etnilise päritolu järgi, on keelatud (välja arvatud GDPR-i artiklis 9 sätestatud erand), isegi kui järelduste täpsus ei ole tagatud.

Samamoodi täpsustab isikuandmete kaitse üldmäärus, et „fotode töötlemist ei tohiks süstemaatiliselt pidada isikuandmete eriliikide töötlemiseks, arvestades, et need kuuluvad biomeetriliste andmete määratluse alla ainult siis, kui neid töödeldakse spetsiifilise tehnilise meetodi abil, mis võimaldab füüsilise isiku unikaalset tuvastamist või autentimist“.

Seega on andmete erikategooriaid käsitlevate sätete ulatus nii lai kui ka tõlgendatav erinevalt, olenevalt töötlemise kontekstist.

Kahtluse korral on selle teabe diskrimineeriv iseloom ja taotletav eesmärk kasulikud hindamiselemendid.

Ja ka

Prantsusmaa:

30. detsembril pidas riiginõukogu Quadrature du Neti ja teiste hagejate apellatsioonkaebust 27. märtsi 2020. aasta määruse peale, mis käsitles DataJusti andmebaasi, põhjendamatuks..

See andmebaas võimaldab algoritmi abil töödelda kohtuandmeid, sealhulgas tundlikke andmeid, et hõlbustada hüvitise hindamist tsiviil- ja haldusvastutuse küsimustes.

Riiginõukogu lükkas 28. jaanuaril tagasi ka Google LLC ja Google Ireland Limitedi apellatsioonkaebuse CNIL-i otsuse peale, millega ettevõttele määrati 2020. aasta detsembris küpsiste ebaseadusliku kasutamise eest 100 miljoni euro suurune trahv.

See otsus kinnitab CNIL-i volitusi rakendada seda tüüpi sanktsioone teistes Euroopa riikides asutatud ettevõtete vastu ja kinnitab sanktsioonide proportsionaalsust.

26. detsembril 2021 avaldas ametlik ajaleht dekreedi, mis lubas luua lunavara vastu võitlemiseks mõeldud faili nimega „MISP-PJ”.

See fail säilitab kuus aastat arvutirünnakute ohvriks langenud inimeste andmeid ning rünnaku ja selle toimepanija kohta käivat tehnilist teavet.

Kassatsioonikohus otsustas 10. novembri otsusega, et töötaja privaatsusõigust rikkudes saadud tõendeid võib siiski kohtus säilitada.

Isegi kui kohtlemine, mis nägi ette töötajate jälgimist ilma nende teadmata, on ebaseaduslik, on kohtuniku ülesanne tasakaalustada tõendiõigust ja töötaja õigusi ning kontrollida igal üksikjuhul eraldi, kas menetluse õiglust on austatud.

Euroopa:

Google Analytics on mitme andmekaitseasutuse sihikul:

• Austria otsustas just, et selle kasutamine ei vasta isikuandmete kaitse üldmääruse (GDPR) nõuetele piiriüleste andmevoogude osas, nagu Euroopa Kohus on oma Schrems II otsuses täpsustanud.
• Euroopa andmekaitseinspektor on Euroopa Parlamendile samal alusel karistuse määranud andmete ebaseadusliku edastamise eest Ameerika Ühendriikidesse.
• Holland, kes menetleb kahte Google Analyticsi puudutavat kaebust, hoiatab, et selle kasutamine võib olla ebaseaduslik, ja Norra teatas 26. jaanuaril, et uurib samuti asja.

Ameerika Ühendriikidesse üleandmiste küsimus on ka Müncheni Riigikohtu 20. jaanuari otsuse keskmes. Kui kasutaja laadib alla Google'i fonte, edastatakse tema IP-aadress automaatselt Ameerika Ühendriikidesse.

Kohus pidas seda ülekannet ebaseaduslikuks ja mõistis hagejale 100 euro suuruse hüvitise.

Euroopa Järelevalveasutus tegi 20. jaanuaril otsuse poliitilise reklaami määruse eelnõu kohta.

Oma arvamuses soovitab ta täielikult keelustada poliitilises turunduses mikrosihtimise, mille eesmärk on mõjutada teatud valijarühmi nende veebiprofiili põhjal.

Samuti pooldab see sellistel turunduslikel eesmärkidel kasutatavate andmekategooriate piiramist.

27. jaanuaril saatsid Euroopa Komisjon ja riiklike tarbijakaitseasutuste võrgustik WhatsAppile kirja, milles nõuti, et ettevõte teavitaks kasutajaid selgemini nende andmete kasutustingimustest..

Ettevõttel palutakse täpsustada oma üldtingimustes ja andmekaitsepoliitikas tehtud muudatusi ning järgida Euroopa õigust.

Euroopa Innovatsiooni- ja Tehnoloogiainstituut (EIT) avaldas 20. jaanuaril tööriista, mis on loodud selleks, et edendada tehisintellekti kasutamist Euroopa ettevõtete poolt.

„Tehisintellekti küpsuse tööriist“ peaks võimaldama ettevõtetel hinnata oma valmisolekut tehisintellekti kasutamiseks kooskõlas Euroopa õigusraamistikuga.

15. detsembril 2021 käivitas Euroopa Komisjon konsortsiumiprojekti järgmise põlvkonna tehnoloogiate arendamise toetamiseks.

Konsortsium, mida nimetatakse "Euroopa Tööstusandmete, Edge'i ja Pilve Liiduks", võtab Gaia-X projekti juhtimise üle ning on avatud ka välismaistele ettevõtetele, tingimusel et nad järgivad Euroopa turvanõudeid (intellektuaalomand, hanked, teave) ja Euroopa Liidu peamisi eesmärke selles valdkonnas.

Euroopa Andmekaitsenõukogu võttis 18. jaanuari plenaaristungil vastu suunised üksikisikute õiguse kohta oma andmetele juurde pääseda..

Küpsiste kasutamist käsitlevate eeskirjade ühtse tõlgendamise nõudmistele vastamiseks teatab komitee sellekohase töörühma loomisest.

Euroopa Liidu Kohus leidis oma 25. novembri otsuses, et reklaamiga rahastatava tasuta sõnumsideteenuse kontekstis Sellist reklaami, mis kuvatakse automaatselt elektroonilises postkastis, võib pidada potentsiaalsete klientide otsimiseks mõeldud e-kirjaks ja seetõttu kehtib selle suhtes Euroopa e-privaatsuse direktiivi kohaselt kasutaja eelneva nõusoleku tingimus.

Itaalia andmekaitseamet on Enel Energiale kehtestanud mitu parandusmeedet ja üle 26 000 euro suuruse trahvi. miljonite kasutajate andmete ebaseadusliku töötlemise eest telemarketingi eesmärgil.

Norra andmekaitseamet määras maanteeametile 400 000 euro suuruse trahvi. tasuliste ületuskohtade andmete ebaõige säilitamise eest.

Portugalis trahvis andmekaitseamet Lissaboni linna 1 250 000 euroga meeleavaldajate isikuandmete ja tundlike andmete jagamise eest.s kolmandate osapooltega, sealhulgas meeleavaldajate sihtmärgiks olevate riikide saatkondade ja välisministeeriumidega.

Baieri kõrgeim halduskohus otsustas, et vaktsineerimata õpilastele esitatava negatiivse testitulemuse nõue tühistatakse. COVID-19 tõttu või kohapealse testi tegemise eesmärgil on see õigustatud isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkti i alusel, mis lubab tundlikke andmeid töödelda tervisega seotud avaliku huvi tõttu.

Rahvusvaheline:

Saksamaa andmekaitseasutuste konverents avaldas 15. novembril aruande, milles võetakse kokku SI Vladecki tehtud analüüsi tulemused Ameerika Ühendriikide jälitusmeetmete õiguslik raamistik.

See sisaldab kasulikku teavet Ameerika õiguse kohaldamise tingimuste kohta Euroopa äriühingutele ja tütarettevõtetele. 

Alati Ameerika Ühendriikides süüdistavad neli peaprokuröri Google'it oma kasutajate petmises, jätkates nende jälgimist, kes on jälgimiseelistusi muutnud ja keeldunud oma andmete kogumisest.

Hagi esitasid Texase, Washingtoni, Indiana ja Columbia ringkonna osariigid.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.