Jautrūs duomenys ir specialios duomenų kategorijos: šeši iš vieno ir pusė tuzino kitų?

Teisinis stebėjimas Nr. 43 – 2022 m. sausis

Jautrūs duomenys ir specialios duomenų kategorijos: šeši iš vieno ir pusė tuzino kitų?. Kalbant apie duomenis, susijusius su sveikata, politinėmis ar religinėmis pažiūromis, iš karto į galvą ateina „neskelbtinų duomenų“ sąvoka., kuriems reikalinga speciali apsauga, kaip apibrėžta Europos duomenų apsaugos reglamente.

CNIL savo svetainėje taip pat klasifikuoja jautrius duomenis kaip „specialias duomenų kategorijas“, kurias reglamentuoja BDAR.

Ar tai reiškia, kad šios dvi sąvokos yra tas pats?

Šis klausimas yra svarbus, nes jį aiškinant taikomos kelios teisės nuostatos, kurios yra privalomos duomenų valdytojui.

BDAR nurodo, kad „asmens duomenys, kurie dėl savo pobūdžio yra ypač jautrūs pagrindinių laisvių ir teisių požiūriu, nusipelno ypatingos apsaugos, nes jų tvarkymo kontekstas gali kelti didelę riziką šioms laisvėms ir teisėms“.

Tam tikras kiekis jautrių duomenų yra aiškiai identifikuotas, ir jų tvarkymas yra draudžiamas, išskyrus BDAR 9 straipsnyje nurodytas išimtis.

Tai specialios duomenų kategorijos, atskleidžiančios tariamą rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetinių duomenų, biometrinių duomenų tvarkymas siekiant unikaliai identifikuoti fizinį asmenį, duomenys apie sveikatą arba duomenys apie fizinio asmens lytinį gyvenimą ar seksualinę orientaciją.

Atsižvelgiant į riziką, ypač diskriminacijos, kylančią tvarkant tokius duomenis, Europos reglamentas reikalauja didesnės duomenų valdytojų atskaitomybės ir kruopštaus duomenų naudojimo laikantis įstatyme numatytų išimčių.

Tai daugiausia susiję su gyvybiškai svarbiais ar svarbiais viešaisiais interesais, kurie labiau pateisina tokį kišimąsi.

Reikėtų atkreipti dėmesį, kad kitiems duomenims, kurie kartais taip pat laikomi jautriais, bet neįtraukti į BDAR 9 straipsnio sąrašą, taip pat taikoma speciali apsauga..

Todėl jautrių duomenų sąvoka kartais, pavyzdžiui, oficialiuose Jungtinės Karalystės ir Belgijos duomenų apsaugos institucijų dokumentuose, neoficialiai laikoma apimančia platesnį duomenų rinkinį, kurio tvarkymas gali būti laikomas ypač žalingu atitinkamiems asmenims.

Be specialių duomenų kategorijų, nurodytų 9 straipsnyje, duomenims, susijusiems su apkaltinamaisiais nuosprendžiais ir nusikaltimais (10 straipsnis), taip pat telekomunikacijų duomenims ar unikaliems identifikatoriams taip pat gali būti taikomos specialios apsaugos priemonės pagal BDAR arba E. privatumo direktyvą.

Taigi duomenų apsaugos pareigūno skyrimas, tvarkymo operacijų registro tvarkymas ir poveikio analizės atlikimas yra susiję tiek su BDAR 9 straipsnyje nurodytomis specialiomis duomenų kategorijomis, tiek su 10 straipsnyje nurodytais teisminiais duomenimis (didelio masto šių duomenų tvarkymo atveju).

Siekiant išvengti nesusipratimų, rekomenduojama vartoti BDAR terminus ir remtis arba specialiomis duomenų kategorijomis, numatytomis 9 straipsnyje, arba kitomis BDAR nuostatomis, kurios saugo kitus konkrečius duomenis, ir taip aiškiai nustatyti taikytinus principus..

Net ir kalbant apie specialias duomenų kategorijas, kartais gali būti sudėtinga nustatyti, kas patenka į BDAR taikymo sritį.

Taigi, jei medicininės analizės rezultatai be diskusijų patenka į sveikatos duomenų kategoriją, ten galima rasti ir kitos, mažiau akivaizdžios informacijos, nepriklausomai nuo sveikatos priežiūros specialistų sistemos ir priežiūros kelių.

Pavyzdžiui, galvojame apie prijungto laikrodžio įrašytus duomenis, analizuojančius širdies ritmą ar galimus miego sutrikimus.

Todėl tokiems trečiosios šalies internetu perduodamiems ir analizuojamiems duomenims taikoma griežta BDAR 9 straipsnio sistema.

Kitaip yra, jei informacija lieka saugoma naudotojo įrenginyje ir yra prieinama tik jam.

Be duomenų pobūdžio, lemiamas elementas yra kontekstas, kuriame šie duomenys bus tvarkomi, ir informacija, kuri bus iš jų išvesta.

Taigi, nuotrauka gali atskleisti fotografuojamo asmens odos spalvą ir kartu būti laikoma biometriniais duomenimis.

Pavardė gali būti naudojama tam tikra tikimybei nustatyti atitinkamo asmens etninę kilmę.

Tačiau šie „neapdoroti“ duomenys nėra specialios duomenų kategorijos.

Priklausomai nuo tikslų, kuriems jie tvarkomi, jie gali tokiais tapti.

Draudžiama rinkmena, kurioje žmonės būtų klasifikuojami vardais pagal jų tikėtiną etninę kilmę (išskyrus BDAR 9 straipsnyje nustatytą išimtį), net jei išvadų tikslumas nėra garantuojamas.

Panašiai BDAR nurodoma, kad „nuotraukų tvarkymas neturėtų būti sistemingai laikomas specialių kategorijų asmens duomenų tvarkymu, atsižvelgiant į tai, kad šie duomenys patenka į biometrinių duomenų apibrėžimą tik tada, kai jie tvarkomi naudojant konkretų techninį metodą, leidžiantį unikaliai identifikuoti arba patvirtinti fizinio asmens tapatybę“.

Todėl nuostatų dėl specialių duomenų kategorijų taikymo sritis yra plati ir gali būti aiškinama priklausomai nuo tvarkymo konteksto.

Kilus abejonių, diskriminacinis šios informacijos pobūdis ir siekiamas tikslas yra naudingi vertinimo elementai.

Ir taip pat

Prancūzija:

Gruodžio 30 d. Valstybės taryba pripažino „Quadrature du Net“ ir kitų pareiškėjų apeliaciją dėl 2020 m. kovo 27 d. nutarimo dėl „DataJust“ duomenų bazės nepagrįstu..

Šioje duomenų bazėje numatytas teisminių duomenų, įskaitant neskelbtinus duomenis, tvarkymas naudojant algoritmą, siekiant palengvinti kompensacijos vertinimą civilinės ir administracinės atsakomybės bylose.

Valstybės taryba sausio 28 d. taip pat atmetė „Google LLC“ ir „Google Ireland Limited“ apeliaciją dėl CNIL sprendimo, kuriuo 2020 m. gruodžio mėn. bendrovei buvo skirta 100 mln. eurų bauda už neteisėtą slapukų naudojimą.

Šis sprendimas patvirtina CNIL įgaliojimus taikyti tokio tipo sankcijas kitose Europos šalyse įsteigtoms įmonėms ir patvirtina sankcijų proporcingumą.

2021 m. gruodžio 26 d. Oficialiajame leidinyje buvo paskelbtas dekretas, leidžiantis sukurti failą „MISP-PJ“, skirtą kovai su išpirkos reikalaujančiomis programomis.

Šiame faile šešerius metus bus saugomi kompiuterinių atakų aukomis tapusių žmonių duomenys, taip pat techninė informacija apie ataką ir jos vykdytoją.

Kasacinis teismas lapkričio 10 d. nutartimi nusprendė, kad įrodymai, gauti pažeidžiant darbuotojo teisę į privatumą, vis dėlto gali būti saugomi teisme.

Net jei elgesys, kuriuo buvo numatytas darbuotojų stebėjimas jiems nežinant, yra neteisėtas, teisėjas turi subalansuoti teisę į įrodymus ir darbuotojo teises bei kiekvienu atveju atskirai patikrinti, ar laikomasi procedūros sąžiningumo.

Europa:

„Google Analytics“ yra kelių duomenų apsaugos institucijų taikiklyje:

• Austrija ką tik nusprendė, kad jos naudojimas neatitinka BDAR reikalavimų dėl tarpvalstybinių duomenų srautų, kaip nurodė Europos Teisingumo Teismas savo Schrems II sprendime.
• Europos duomenų apsaugos priežiūros pareigūnas tuo pačiu pagrindu skyrė sankcijas Europos Parlamentui už neteisėtą duomenų perdavimą į Jungtines Valstijas.
• Nyderlandai, nagrinėjantys du skundus dėl „Google Analytics“, perspėja, kad šios paslaugos naudojimas gali būti neteisėtas, o Norvegija sausio 26 d. paskelbė, kad taip pat nagrinėja šį klausimą.

Perdavimo į Jungtines Valstijas klausimas taip pat yra Miuncheno valstybinio teismo sausio 20 d. sprendimo centre. Kai vartotojas atsisiunčia „Google“ šriftus, jo IP adresas automatiškai perduodamas į Jungtines Valstijas.

Teismas šį perleidimą pripažino neteisėtu ir priteisė ieškovui 100 eurų kompensaciją.

Europos priežiūros institucija sausio 20 d. priėmė sprendimą dėl politinės reklamos reglamento projekto.

Jo nuomone, jis rekomenduoja visiškai uždrausti mikrotargetingą politinėje rinkodaroje, kuria siekiama paveikti konkrečias rinkėjų grupes pagal jų internetinį profilį.

Taip pat pasisakoma už duomenų kategorijų, kurios gali būti naudojamos tokiais rinkodaros tikslais, apribojimus.

Sausio 27 d. Europos Komisija ir nacionalinių vartotojų teisių apsaugos institucijų tinklas išsiuntė „WhatsApp“ laišką, kuriame reikalaudavo, kad bendrovė aiškiau informuotų vartotojus apie jų duomenų naudojimo sąlygas..

Bendrovės prašoma nurodyti pakeitimus, padarytus jos bendrosiose sąlygose, duomenų apsaugos politikoje, ir laikytis Europos teisės aktų.

Europos inovacijų ir technologijų institutas (EIT) sausio 20 d. paskelbė priemonę, skirtą skatinti dirbtinio intelekto naudojimą Europos įmonėse.

„Dirbtinio intelekto brandos įrankis“ turėtų leisti įmonėms įvertinti savo pasirengimo naudoti dirbtinį intelektą laipsnį, laikantis Europos teisinės sistemos.

2021 m. gruodžio 15 d. Europos Komisija pradėjo konsorciumo projektą, skirtą remti naujos kartos technologijų kūrimą.

Konsorciumas, pavadintas „Europos pramoninių duomenų, periferinių ir debesijos aljansu“, perima „Gaia-X“ projekto valdymą ir yra atviras ir užsienio įmonėms, jei jos laikosi Europos saugumo reikalavimų (intelektinės nuosavybės, viešųjų pirkimų, informacijos) ir pagrindinių Europos Sąjungos tikslų šioje srityje.

Europos duomenų apsaugos valdyba sausio 18 d. plenarinėje sesijoje priėmė gaires dėl asmenų teisės susipažinti su savo duomenimis..

Siekdamas reaguoti į reikalavimus vienodai aiškinti slapukų naudojimo taisykles, Komitetas paskelbia apie darbo grupės šiuo klausimu sukūrimą.

Europos Sąjungos Teisingumo Teismas praėjusių metų lapkričio 25 d. sprendime nusprendė, kad teikiant nemokamą pranešimų siuntimo paslaugą, finansuojamą iš reklamos, Tokia reklama, automatiškai rodoma elektroninėje pašto dėžutėje, gali būti laikoma potencialių klientų paieškos el. laišku, todėl jai taikoma išankstinio naudotojo sutikimo sąlyga, kaip numatyta Europos e. privatumo direktyvoje.

Italijos duomenų apsaugos institucija „Enel Energia“ skyrė keletą taisomųjų priemonių ir daugiau nei 26 000 eurų baudą. už neteisėtą milijonų vartotojų duomenų tvarkymą telemarketingo tikslais.

Norvegijos duomenų apsaugos tarnyba skyrė Viešųjų kelių administracijai 400 000 eurų baudą. už netinkamą duomenų apie mokamus pervažas saugojimą.

Portugalijoje duomenų apsaugos institucija skyrė Lisabonos miestui 1 250 000 eurų baudą už protestuotojų asmeninių ir neskelbtinų duomenų platinimą.su trečiosiomis šalimis, įskaitant šalių, į kurias taikėsi protestuotojai, ambasadas ir užsienio reikalų ministerijas.

Bavarijos aukščiausiasis administracinis teismas nusprendė, kad reikalavimas neskiepytiems studentams pateikti neigiamo testo pažymą panaikinamas. dėl COVID-19 arba atlikti testą vietoje yra pateisinamas BDAR 9(2)(i) straipsnio, kuris leidžia tvarkyti neskelbtinus duomenis dėl viešojo intereso, susijusio su sveikata.

Tarptautinis:

Vokietijos duomenų apsaugos institucijų konferencija lapkričio 15 d. paskelbė ataskaitą, kurioje apibendrinti SI Vladecko atliktos analizės rezultatai. Jungtinėse Valstijose taikomų stebėjimo priemonių teisinė sistema.

Jame pateikiama naudinga informacija apie Amerikos teisės taikymo Europos bendrovėms ir dukterinėms įmonėms sąlygas. 

Visada Jungtinėse Valstijose keturi generaliniai prokurorai kaltina „Google“ vartotojų apgaudinėjimu., toliau stebėdami tuos iš jų, kurie pakeitė sekimo nuostatas ir atsisakė rinkti savo duomenis.

Ieškinius pateikė Teksaso, Vašingtono, Indianos ir Kolumbijos apygardos valstijos.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.