Données sensibles et catégories particulières de données : bonnet blanc et blanc bonnet ?

Osjetljivi podaci i posebne kategorije podataka: šest od jednog i pola tuceta drugih?

Pravni nadzor br. 43 – Siječanj 2022.

Osjetljivi podaci i posebne kategorije podataka: šest od jednog i pola tuceta drugih?. Kada se radi o podacima koji se odnose na zdravlje, politička ili vjerska mišljenja, odmah na pamet pada kvalifikacija "osjetljivi podaci"., koji zahtijevaju posebnu zaštitu u smislu Europske uredbe o zaštiti podataka.

CNIL također klasificira osjetljive podatke na svojoj web stranici kao "posebne kategorije podataka" regulirane GDPR-om.

Znači li to da su ta dva pojma ista?

Pitanje je važno jer njegovo tumačenje vodi do primjene niza zakonskih odredbi koje su obvezujuće za voditelja obrade podataka.

GDPR određuje da „osobni podaci koji su po svojoj prirodi posebno osjetljivi s gledišta temeljnih sloboda i prava zaslužuju posebnu zaštitu, jer kontekst u kojem se obrađuju može prouzročiti značajne rizike za te slobode i prava.“

Određena količina osjetljivih podataka izričito je identificirana, a njihova obrada je zabranjena osim iznimki navedenih u članku 9. GDPR-a.

To su posebne kategorije podataka koje otkrivaju navodno rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije fizičke osobe, podataka o zdravlju ili podataka o spolnom životu ili spolnoj orijentaciji fizičke osobe.

S obzirom na rizike, posebno diskriminacije, koje proizlaze iz obrade takvih podataka, Europska uredba zahtijeva povećanu odgovornost kontrolora podataka i pažljivo korištenje podataka u skladu s iznimkama predviđenim zakonom.

To se uglavnom odnosi na vitalne ili važne javne interese, što će vjerojatnije opravdati takvo uplitanje.

Treba napomenuti da i drugi podaci koji se ponekad također kvalificiraju kao osjetljivi, ali nisu uključeni u popis u članku 9. GDPR-a, također podliježu posebnoj zaštiti..

Pojam osjetljivih podataka stoga se ponekad smatra, na primjer u službenim dokumentima britanskih i belgijskih tijela za zaštitu podataka, neformalnim obuhvaćanjem šireg skupa podataka čija se obrada može smatrati posebno štetnom za dotične osobe.

Uz posebne kategorije podataka iz članka 9., podaci koji se odnose na kaznene osude i prekršaje (članak 10.), ali i telekomunikacijski podaci ili jedinstveni identifikatori također mogu biti predmet posebnih mjera zaštite u kontekstu GDPR-a ili Direktive o e-privatnosti.

Imenovanje službenika za zaštitu podataka, vođenje registra obrade i provođenje analiza učinka stoga su usmjereni i na posebne kategorije podataka iz članka 9. i na pravosudne podatke iz članka 10. GDPR-a (u slučaju obrade tih podataka velikih razmjera).

Kako bi se izbjegli bilo kakvi nesporazumi, preporučuje se korištenje pojmova GDPR-a i pozivanje ili na posebne kategorije podataka kako je predviđeno u članku 9. ili na druge odredbe GDPR-a koje štite druge specifične podatke, te se tako jasno odrede primjenjiva načela..

Čak i unutar posebnih kategorija podataka, određivanje što spada u područje primjene GDPR-a ponekad može biti izazov.

Dakle, ako rezultati medicinske analize bez rasprave spadaju u kategoriju zdravstvenih podataka, tamo se mogu pronaći i druge, manje očite informacije, neovisno o okviru zdravstvenih djelatnika i putova skrbi.

Na primjer, razmišljamo o podacima koje bilježi povezani sat, analizirajući otkucaje srca ili moguće poremećaje spavanja.

Takvi podaci koje treća strana prenosi i analizira online stoga podliježu strogim okvirima članka 9. GDPR-a.

Drugačije je ako informacije ostanu pohranjene u korisnikovom terminalu i dostupne su samo njemu.

Osim prirode podataka, odlučujući element je kontekst u kojem će se ti podaci obrađivati i informacije koje će se iz njih izvesti.

Dakle, fotografija može otkriti boju kože fotografirane osobe, a ujedno predstavlja i biometrijski podatak.

Prezime se može koristiti za zaključivanje, s određenom vjerojatnošću, o etničkom podrijetlu dotične osobe.

Međutim, ovi „sirovi“ podaci nisu posebne kategorije podataka.

Ovisno o svrsi za koju se obrađuju, mogu to i postati.

Datoteka koja klasificira osobe navedene po imenu prema njihovom vjerojatnom etničkom podrijetlu bit će zabranjena (osim iznimke navedene u članku 9. GDPR-a), čak i ako točnost zaključaka nije zajamčena.

Slično tome, GDPR određuje da se „obrada fotografija ne bi trebala sustavno smatrati obradom posebnih kategorija osobnih podataka, s obzirom na to da one spadaju u definiciju biometrijskih podataka samo kada se obrađuju pomoću određene tehničke metode koja omogućuje jedinstvenu identifikaciju ili autentifikaciju fizičke osobe.“

Područje primjene odredbi o posebnim kategorijama podataka stoga je široko i podložno tumačenju ovisno o kontekstu obrade.

U slučaju sumnje, diskriminatorna priroda ovih informacija i svrha kojoj se služe korisni su elementi procjene.

I također

Francuska:

Dana 30. prosinca, Državno vijeće smatralo je žalbu Quadrature du Net i drugih podnositelja zahtjeva protiv uredbe od 27. ožujka 2020. o bazi podataka DataJust neosnovanom..

Ova baza podataka omogućuje obradu pravosudnih podataka, uključujući osjetljive podatke, pomoću algoritma, kako bi se olakšala procjena odštete u pitanjima građanske i upravne odgovornosti.

Državno vijeće je također 28. siječnja odbacilo žalbu tvrtki Google LLC i Google Ireland Limited na odluku CNIL-a kojom je tvrtki u prosincu 2020. izrečena kazna od 100 milijuna eura zbog nezakonite upotrebe kolačića.

Ova odluka potvrđuje ovlasti CNIL-a da poduzme ovu vrstu sankcija protiv tvrtki sa sjedištem u drugim europskim zemljama te potvrđuje proporcionalnu prirodu sankcija.

Službeni list od 26. prosinca 2021. objavio je uredbu kojom se odobrava stvaranje datoteke namijenjene borbi protiv ransomwarea, pod nazivom „MISP-PJ“.

Ova datoteka će šest godina pohranjivati podatke osoba koje su žrtve računalnih napada, kao i tehničke informacije o napadu i njegovom počinitelju.

Kasacijski sud je u presudi od 10. studenog presudio da se dokazi dobiveni kršenjem prava zaposlenika na privatnost ipak mogu zadržati na sudu.

Čak i ako je postupanje koje je predviđalo praćenje zaposlenika bez njihova znanja nezakonito, na sucu je da uravnoteži pravo na dokaze i prava zaposlenika te da od slučaja do slučaja provjeri je li poštovana pravičnost postupka.

Europa:

Google Analytics je na meti nekoliko tijela za zaštitu podataka:

  • Austrija je upravo odlučila da njegova upotreba nije u skladu sa zahtjevima GDPR-a u vezi s prekograničnim protokom podataka, kako je naveo Europski sud pravde u svojoj presudi Schrems II.
  • Europski nadzornik za zaštitu podataka sankcionirao je Europski parlament na istoj osnovi zbog nezakonitog prijenosa podataka u Sjedinjene Američke Države.
  • Nizozemska, koja rješava dvije pritužbe u vezi s Google Analyticsom, upozorava da bi njegova upotreba mogla biti nezakonita, a Norveška je 26. siječnja objavila da također istražuje to pitanje.

Pitanje transfera u Sjedinjene Države također je u središtu odluke Državnog suda u Münchenu od 20. siječnja Kada korisnik preuzme Google fontove, njegova IP adresa se automatski prenosi u Sjedinjene Američke Države.

Sud je ovaj prijenos smatrao nezakonitim i dosudio odštetu tužitelju od 100 eura.

Europsko nadzorno tijelo donijelo je odluku 20. siječnja o nacrtu uredbe o političkom oglašavanju.

Po svom mišljenju, preporučuje potpunu zabranu mikrotargetiranja u političkom marketingu, koji ima za cilj utjecati na određene skupine birača na temelju njihovog online profila.

Također se zalaže za ograničenja kategorija podataka koji se mogu koristiti u takve marketinške svrhe.

Europska komisija i mreža nacionalnih tijela za zaštitu potrošača 27. siječnja poslale su pismo WhatsAppu u kojem zahtijevaju da tvrtka jasnije informira korisnike o uvjetima korištenja njihovih podataka..

Od tvrtke se traži da navede promjene koje su napravljene u njezinim općim uvjetima, politici zaštite podataka i da se pridržava europskog zakonodavstva.

Europski institut za inovacije i tehnologiju (EIT) objavio je 20. siječnja alat osmišljen za promicanje korištenja umjetne inteligencije od strane europskih tvrtki.

„Alat za zrelost umjetne inteligencije“ trebao bi omogućiti tvrtkama da procijene stupanj svoje spremnosti za korištenje umjetne inteligencije, u skladu s europskim pravnim okvirom.

Europska komisija je 15. prosinca 2021. pokrenula konzorcijski projekt za podršku razvoju tehnologija sljedeće generacije.

Konzorcij, nazvan "Europski savez za industrijske podatke, rub i oblak", preuzima projekt Gaia-X i otvoren je i za strane tvrtke, pod uvjetom da se pridržavaju europskih sigurnosnih zahtjeva (intelektualno vlasništvo, nabava, informacije) i ključnih ciljeva Europske unije u ovom području.

Europski odbor za zaštitu podataka usvojio je smjernice o pravu pojedinaca na pristup njihovim podacima na svojoj plenarnoj sjednici 18. siječnja..

Kako bi odgovorio na zahtjeve za jedinstvenim tumačenjem pravila o korištenju kolačića, Odbor najavljuje osnivanje radne skupine na tu temu.

Sud Europske unije je u svojoj presudi od 25. studenog prošle godine utvrdio da je, u kontekstu besplatne usluge razmjene poruka financirane oglašavanjem, takvo oglašavanje koje se automatski prikazuje u elektroničkom inboxu može se smatrati e-poštom za pronalaženje potencijalnih klijenata te je stoga podložno uvjetu prethodne suglasnosti korisnika kako je predviđeno Europskom direktivom o e-privatnosti.

Talijansko tijelo za zaštitu podataka nametnulo je tvrtki Enel Energia nekoliko korektivnih mjera i kaznu od više od 26.000 eura. zbog nezakonite obrade podataka milijuna korisnika u svrhu telemarketinga.

Norveška agencija za zaštitu podataka kaznila je Upravu javnih cesta s 400.000 eura. zbog nepravilnog čuvanja podataka o prijelazima s naplatom cestarine.

U Portugalu je tijelo za zaštitu podataka kaznilo grad Lisabon s 1.250.000 eura zbog dijeljenja osobnih i osjetljivih podataka prosvjednika.s trećim stranama, uključujući veleposlanstva i ministarstva vanjskih poslova zemalja na koje su usmjereni prosvjednici.

Najviši upravni sud Bavarske presudio je da se zahtjev za necijepljene studente da predoče potvrdu o negativnom testu Zahtjev za liječenje od covida ili podvrgavanje testiranju na licu mjesta opravdan je člankom 9(2)(i) GDPR-a, koji dopušta obradu osjetljivih podataka iz razloga javnog interesa koji se odnose na zdravlje.

Međunarodno:

Konferencija njemačkih tijela za zaštitu podataka objavila je izvješće od 15. studenog koje sažima nalaze analize koju je provela SI Vladeck o pravni okvir za mjere nadzora u Sjedinjenim Državama.

Sadrži korisne informacije o uvjetima primjene američkog prava na europske tvrtke i podružnice. 

Uvijek U Sjedinjenim Državama, četiri državna odvjetnika optužuju Google za obmanjivanje korisnika, nastavljajući pratiti one od njih koji su promijenili postavke praćenja i odbili prikupljanje svojih podataka.

Tužbe su podnijele države Teksas, Washington, Indiana i Distrikt Columbia.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.

Otkrijte Viqtor®
hrHR
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL hrHR