Arkaluonteiset tiedot ja erityiset tietoluokat: kuusi ja puoli tusinaa muuta?

Oikeudellinen valvonta nro 43 – Tammikuu 2022

Arkaluonteiset tiedot ja erityiset tietoluokat: kuusi ja puoli tusinaa muuta?. Terveyteen, poliittisiin tai uskonnollisiin mielipiteisiin liittyvien tietojen käsittelyssä mieleen tulee heti määritelmä "arkaluonteiset tiedot"., jotka vaativat erityistä suojaa Euroopan tietosuoja-asetuksen tarkoittamalla tavalla.

CNIL luokittelee myös verkkosivustollaan arkaluonteiset tiedot "erityisluokkiin", joita säännellään GDPR:ssä.

Tarkoittaako tämä, että nämä kaksi käsitystä ovat sama asia?

Kysymys on tärkeä, koska sen tulkinta johtaa useiden rekisterinpitäjää sitovien oikeudellisten säännösten soveltamiseen.

GDPR:ssä täsmennetään, että ”henkilötiedot, jotka luonteensa vuoksi ovat erityisen arkaluonteisia perusvapauksien ja -oikeuksien kannalta, ansaitsevat erityistä suojaa, koska niiden käsittelyn asiayhteys voi aiheuttaa merkittäviä riskejä näille vapauksille ja oikeuksille”.

Tietty määrä arkaluonteisia tietoja on nimenomaisesti tunnistettu, ja niiden käsittely on kielletty lukuun ottamatta GDPR:n 9 artiklassa määriteltyjä poikkeuksia.

Nämä ovat erityisiä tietoluokkia, jotka paljastavat väitetyn rodullisen tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset tai ammattiliiton jäsenyyden, sekä geneettisten tietojen, biometristen tietojen käsittelyä luonnollisen henkilön yksiselitteiseksi tunnistamiseksi, terveyttä koskevien tietojen tai luonnollisen henkilön seksuaalielämää tai seksuaalista suuntautumista koskevien tietojen käsittelyä.

Ottaen huomioon tällaisten tietojen käsittelyyn liittyvät riskit, erityisesti syrjinnän riskit, EU-asetus edellyttää rekisterinpitäjien lisääntynyttä vastuullisuutta ja tietojen huolellista käyttöä laissa säädettyjä poikkeuksia noudattaen.

Nämä viittaavat pääasiassa elintärkeisiin tai tärkeisiin yleisiin etuihin, jotka todennäköisemmin oikeuttavat tällaisen puuttumisen.

On huomattava, että myös muut tiedot, jotka joskus luokitellaan arkaluonteisiksi, mutta joita ei ole sisällytetty GDPR:n 9 artiklan luetteloon, kuuluvat erityisen suojan piiriin..

Arkaluonteisten tietojen käsitettä pidetään siis joskus, esimerkiksi Britannian ja Belgian tietosuojaviranomaisten virallisissa asiakirjoissa, epävirallisesti kattavan laajemman tietojoukon, jonka käsittelyä voidaan pitää erityisen haitallisena asianomaisille henkilöille.

Artiklassa 9 mainittujen erityisten tietoluokkien lisäksi rikostuomioihin ja rikkomuksiin liittyvät tiedot (artikla 10) mutta myös televiestintätiedot tai yksilölliset tunnisteet voivat olla erityisten suojatoimenpiteiden kohteena GDPR:n tai sähköisen viestinnän tietosuojadirektiivin yhteydessä.

Tietosuojavastaavan nimittäminen, käsittelytoimien rekisterin ylläpito ja vaikutusanalyysien suorittaminen kohdistuvat siten sekä yleisen tietosuoja-asetuksen 9 artiklan erityisiin tietoryhmiin että 10 artiklan mukaisiin oikeudellisiin tietoihin (jos näitä tietoja käsitellään laajamittaisesti).

Väärinkäsitysten välttämiseksi on suositeltavaa käyttää GDPR:n termejä ja viitata joko 9 artiklassa säädettyihin erityisiin tietoryhmiin tai GDPR:n muihin säännöksiin, jotka suojaavat muita erityistietoja, ja siten selkeästi yksilöidä sovellettavat periaatteet..

Jopa erityisten tietoluokkien sisällä voi joskus olla haastavaa määrittää, mikä kuuluu GDPR:n soveltamisalaan.

Jos lääketieteellisen analyysin tulokset siis kuuluvat ilman erillistä keskustelua terveystietojen kategoriaan, sieltä voi löytyä myös muita, vähemmän ilmeisiä tietoja, jotka ovat riippumatta terveydenhuollon ammattilaisten ja hoitopolkujen viitekehyksestä.

Ajattelemme esimerkiksi älykellon tallentamia tietoja, jotka analysoivat sykettä tai mahdollisia unihäiriöitä.

Tällaiset kolmannen osapuolen verkossa lähettämät ja analysoimat tiedot kuuluvat siksi GDPR:n 9 artiklan tiukan kehyksen piiriin.

Tilanne on toinen, jos tiedot tallennetaan käyttäjän päätelaitteeseen ja ne ovat vain hänen käytettävissään.

Datan luonteen lisäksi ratkaisevaa on konteksti, jossa tätä dataa käsitellään, ja siitä johdettavat tiedot.

Siten valokuva voi paljastaa valokuvattavan henkilön ihonvärin ja olla myös biometrinen tieto.

Sukunimeä voidaan käyttää jonkinasteisella todennäköisyydellä päättelemään kyseisen henkilön etninen alkuperä.

Nämä ”raakadatan” tiedot eivät kuitenkaan ole erityisiä tietoluokkia.

Riippuen siitä, mihin tarkoituksiin niitä käsitellään, niistä voi tulla tällaisia.

Tiedosto, jossa ihmiset on luokiteltu nimeltä heidän todennäköisen etnisen alkuperänsä mukaan, on kielletty (lukuun ottamatta GDPR:n 9 artiklassa säädettyä poikkeusta), vaikka päätelmien tarkkuutta ei voidakaan taata.

Vastaavasti GDPR:ssä täsmennetään, että "valokuvien käsittelyä ei pitäisi järjestelmällisesti pitää erityisten henkilötietoryhmien käsittelynä, koska ne kuuluvat biometristen tietojen määritelmän piiriin vain silloin, kun niitä käsitellään käyttämällä erityistä teknistä menetelmää, joka mahdollistaa luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen".

Erityisiä tietoryhmiä koskevien säännösten soveltamisala on siksi sekä laaja että tulkinnanvarainen käsittelyn asiayhteydestä riippuen.

Epäselvissä tapauksissa tiedon syrjivä luonne ja tavoiteltu tarkoitus ovat hyödyllisiä arviointitekijöitä.

Ja myös

Ranska:

Valtioneuvosto katsoi 30. joulukuuta Quadrature du Netin ja muiden hakijoiden valituksen 27. maaliskuuta 2020 annetusta DataJust-tietokantaa koskevasta asetuksesta perusteettomaksi..

Tässä tietokannassa käsitellään oikeudellisia tietoja, mukaan lukien arkaluonteisia tietoja, algoritmin avulla korvausten arvioinnin helpottamiseksi siviili- ja hallinnollisessa vastuussa.

Valtioneuvosto hylkäsi myös 28. tammikuuta Google LLC:n ja Google Ireland Limitedin valituksen CNIL:n päätöksestä, jolla yhtiölle oli määrätty 100 miljoonan euron sakko joulukuussa 2020 evästeiden laittomasta käytöstä.

Tämä päätös vahvistaa CNIL:n toimivallan määrätä tällaisia seuraamuksia muissa Euroopan maissa toimiville yrityksille ja vahvistaa seuraamusten oikeasuhteisuuden.

Virallisessa lehdessä julkaistiin 26. joulukuuta 2021 asetus, joka valtuutti luomaan kiristysohjelmien torjuntaan tarkoitetun tiedoston nimeltä ”MISP-PJ”.

Tämä tiedosto tallentaa kuusi vuotta tietokonehyökkäysten uhrien tiedot sekä hyökkäykseen ja sen tekijään liittyvät tekniset tiedot.

Kassaatiotuomioistuin totesi 10. marraskuuta antamassaan päätöksessä, että todisteita, jotka on hankittu työntekijän yksityisyyden suojaa loukkaamalla, voidaan kuitenkin säilyttää tuomioistuimessa.

Vaikka kohtelu, jolla työntekijöitä valvottiin heidän tietämättään, olisi laitonta, tuomarin on punnittava todisteluoikeutta ja työntekijän oikeuksia ja tarkistettava tapauskohtaisesti, onko menettelyn oikeudenmukaisuutta noudatettu.

Eurooppa:

Google Analytics on useiden tietosuojaviranomaisten tähtäimessä:

• Itävalta on juuri päättänyt, että sen käyttö ei ole GDPR:n vaatimusten mukaista rajat ylittävien tietovirtojen osalta, kuten Euroopan unionin tuomioistuin on määritellyt Schrems II -päätöksessään.
• Euroopan tietosuojavaltuutettu on määrännyt Euroopan parlamentille seuraamuksia samalla perusteella laittomasta tietojen siirtämisestä Yhdysvaltoihin.
• Alankomaat, joka käsittelee kahta Google Analyticsia koskevaa valitusta, varoittaa, että sen käyttö saattaa olla laitonta, ja Norja ilmoitti 26. tammikuuta tutkivansa asiaa myös.

Yhdysvaltoihin tehtävien siirtojen kysymys on myös Münchenin osavaltion tuomioistuimen 20. tammikuuta tekemän päätöksen ytimessä. Kun käyttäjä lataa Google-fontteja, hänen IP-osoitteensa lähetetään automaattisesti Yhdysvaltoihin.

Oikeus katsoi siirron laittomaksi ja myönsi kantajalle 100 euron korvauksen.

Euroopan valvontaviranomainen antoi 20. tammikuuta päätöksen poliittisen mainonnan asetusluonnoksesta.

Hän suosittelee lausunnossaan mikrokohdentamisen täydellistä kieltoa poliittisessa markkinoinnissa, jolla pyritään vaikuttamaan tiettyihin äänestäjäryhmiin heidän verkkoprofiilinsa perusteella.

Se kannattaa myös rajoituksia tietoluokille, joita voidaan käyttää tällaisiin markkinointitarkoituksiin.

Euroopan komissio ja kansallisten kuluttajansuojaviranomaisten verkosto lähettivät 27. tammikuuta WhatsAppille kirjeen, jossa vaadittiin yritystä tiedottamaan käyttäjille selkeämmin heidän tietojensa käyttöehdoista..

Yritystä pyydetään täsmentämään yleisiin ehtoihinsa ja tietosuojakäytäntöönsä tehdyt muutokset sekä noudattamaan eurooppalaista lainsäädäntöä.

Euroopan innovaatio- ja teknologiainstituutti (EIT) julkaisi 20. tammikuuta työkalun, jonka tarkoituksena on edistää tekoälyn käyttöä eurooppalaisissa yrityksissä.

”Tekoälyn kypsyystyökalun” pitäisi antaa yrityksille mahdollisuus arvioida valmiusastettaan tekoälyn käyttöön eurooppalaisen lainsäädännön mukaisesti.

Euroopan komissio käynnisti 15. joulukuuta 2021 konsortiohankkeen seuraavan sukupolven teknologioiden kehittämisen tukemiseksi.

"European Alliance for Industrial Data, Edge and Cloud" -niminen konsortio ottaa vastuun Gaia-X-hankkeesta ja on avoin myös ulkomaisille yrityksille, edellyttäen että ne noudattavat eurooppalaisia turvallisuusvaatimuksia (immateriaalioikeudet, hankinnat, tiedot) ja Euroopan unionin keskeisiä tavoitteita tällä alalla.

Euroopan tietosuojaneuvosto hyväksyi täysistunnossaan 18. tammikuuta ohjeet yksilöiden oikeudesta tutustua omiin tietoihinsa..

Vastatakseen evästeiden käyttöä koskevien sääntöjen yhdenmukaista tulkintaa koskeviin vaatimuksiin komitea ilmoittaa perustavansa työryhmän käsittelemään asiaa.

Euroopan unionin tuomioistuin totesi 25. marraskuuta antamassaan tuomiossa, että mainoksilla rahoitetun ilmaisen viestipalvelun yhteydessä Tällaista sähköisessä postilaatikossa automaattisesti näkyvää mainontaa voidaan pitää prospektointisähköpostina, ja siihen sovelletaan siksi käyttäjän ennakkosuostumusta Euroopan sähköisen viestinnän tietosuojadirektiivin mukaisesti.

Italian tietosuojaviranomainen on määrännyt Enel Energialle useita korjaavia toimenpiteitä ja yli 26 000 euron sakon. miljoonien käyttäjien tietojen laittomasta käsittelystä telemarkkinointitarkoituksiin.

Norjan tietosuojaviranomainen on määrännyt tiehallinnolle 400 000 euron sakon. maksullisia ylityksiä koskevien tietojen virheellisestä säilyttämisestä.

Portugalissa tietosuojaviranomainen sakotti Lissabonin kaupunkia 1 250 000 eurolla mielenosoittajien henkilötietojen ja arkaluonteisten tietojen jakamisesta.kolmansien osapuolten, kuten mielenosoittajien kohteina olleiden maiden suurlähetystöjen ja ulkoministeriöiden, kanssa.

Baijerin korkein hallinto-oikeus on päättänyt, että rokottamattomien opiskelijoiden vaatimus negatiivisen testituloksen esittämisestä on nyt lakannut. covidiin tai paikan päällä tehtävään testiin osallistuminen on perusteltua yleisen tietosuoja-asetuksen 9(2)(i) artiklan nojalla, joka sallii arkaluonteisten tietojen käsittelyn terveyteen liittyvän yleisen edun vuoksi.

Kansainvälinen:

Saksan tietosuojaviranomaisten konferenssi julkaisi 15. marraskuuta päivätyn raportin, jossa esitetään yhteenveto SI Vladeckin tekemän analyysin tuloksista aiheesta Yhdysvaltojen valvontatoimenpiteiden oikeudellinen kehys.

Se sisältää hyödyllistä tietoa edellytyksistä, joilla Yhdysvaltain lakia sovelletaan eurooppalaisiin yrityksiin ja tytäryhtiöihin. 

Aina Yhdysvalloissa neljä oikeusministeriä syyttää Googlea käyttäjiensä huijaamisesta, jatkaen niiden seuraamista, jotka ovat muuttaneet seuranta-asetuksiaan ja kieltäytyneet tietojensa keräämisestä.

Kanteet nostivat Texasin, Washingtonin, Indianan ja Columbian piirikunnan osavaltiot.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.