Sensitīvi dati un īpašas datu kategorijas: seši no viena un pusducis citu?

Juridiskā uzraudzība Nr. 43 — 2022. gada janvāris

Sensitīvi dati un īpašas datu kategorijas: seši no viena un pusducis citu?. Strādājot ar datiem, kas saistīti ar veselību, politiskajiem vai reliģiskajiem uzskatiem, uzreiz nāk prātā apzīmējums "sensitīvi dati"., kuriem nepieciešama īpaša aizsardzība Eiropas Datu aizsardzības regulas izpratnē.

CNIL savā tīmekļa vietnē sensitīvos datus klasificē arī kā "īpašas datu kategorijas", ko regulē GDPR.

Vai tas nozīmē, ka šie divi jēdzieni ir viens un tas pats?

Šis jautājums ir svarīgs, jo tā interpretācija noved pie vairāku tiesību normu piemērošanas, kas ir saistošas datu pārzinim.

GDPR nosaka, ka “personas dati, kas pēc savas būtības ir īpaši sensitīvi no pamatbrīvību un tiesību viedokļa, ir pelnījuši īpašu aizsardzību, jo konteksts, kurā tie tiek apstrādāti, varētu radīt ievērojamus riskus šīm brīvībām un tiesībām”.

Ir skaidri identificēts noteikts sensitīvu datu apjoms, un to apstrāde ir aizliegta, izņemot VDAR 9. pantā noteiktos izņēmumus.

Tās ir īpašas datu kategorijas, kas atklāj iespējamo rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai piederību arodbiedrībai, kā arī ģenētisko datu, biometrisko datu apstrādi, lai unikāli identificētu fizisku personu, datus par veselību vai datus par fiziskas personas seksuālo dzīvi vai seksuālo orientāciju.

Ņemot vērā riskus, jo īpaši diskriminācijas riskus, ko rada šādu datu apstrāde, Eiropas regula paredz lielāku datu pārziņu atbildību un rūpīgu datu izmantošanu, ievērojot likumā paredzētos izņēmumus.

Tie galvenokārt attiecas uz vitāli svarīgām sabiedrības interesēm, kas, visticamāk, attaisno šādu iejaukšanos.

Jāatzīmē, ka arī citi dati, kas dažkārt arī tiek klasificēti kā sensitīvi, bet nav iekļauti VDAR 9. panta sarakstā, ir pakļauti īpašai aizsardzībai..

Tādēļ sensitīvu datu jēdziens dažkārt, piemēram, Lielbritānijas un Beļģijas datu aizsardzības iestāžu oficiālajos dokumentos, tiek uzskatīts par neformāli aptverošu plašāku datu kopumu, kuru apstrāde var tikt uzskatīta par īpaši kaitīgu attiecīgajām personām.

Papildus 9. pantā minētajām īpašajām datu kategorijām, datiem par notiesājošiem spriedumiem un pārkāpumiem (10. pants), kā arī telekomunikāciju datiem vai unikālajiem identifikatoriem var piemērot arī īpašus aizsardzības pasākumus saskaņā ar VDAR vai E-privātuma direktīvu.

Tādējādi datu aizsardzības speciālista iecelšana, apstrādes darbību reģistra uzturēšana un ietekmes analīžu veikšana attiecas gan uz 9. pantā minētajām īpašajām datu kategorijām, gan uz 10. pantā minētajiem tiesu datiem (plaša mēroga šo datu apstrādes gadījumā).

Lai izvairītos no jebkādiem pārpratumiem, ieteicams lietot GDPR terminus un atsaukties vai nu uz īpašajām datu kategorijām, kas paredzētas 9. pantā, vai uz citiem GDPR noteikumiem, kas aizsargā citus konkrētus datus, un tādējādi skaidri noteikt piemērojamos principus..

Pat īpašu datu kategoriju gadījumā dažkārt var būt sarežģīti noteikt, kas ietilpst GDPR darbības jomā.

Tādējādi, ja medicīniskās analīzes rezultāti bez diskusijām ietilpst veselības datu kategorijā, tur var atrast arī citu, mazāk acīmredzamu informāciju neatkarīgi no veselības aprūpes speciālistu un aprūpes ceļu ietvara.

Piemēram, mēs domājam par datiem, ko ierakstījis savienots pulkstenis, analizējot sirdsdarbības ātrumu vai iespējamus miega traucējumus.

Tādēļ uz šādiem datiem, ko tiešsaistē pārsūta un analizē trešā persona, attiecas stingrais GDPR 9. panta regulējums.

Citādi ir, ja informācija paliek glabāta lietotāja terminālī un ir pieejama tikai viņam.

Papildus datu raksturam noteicošais elements ir konteksts, kurā šie dati tiks apstrādāti, un informācija, kas no tiem tiks iegūta.

Tādējādi fotoattēls var atklāt fotografētās personas ādas krāsu un arī veidot biometriskos datus.

Uzvārdu var izmantot, lai ar zināmu varbūtības pakāpi secinātu par attiecīgās personas etnisko izcelsmi.

Tomēr šie “neapstrādātie” dati nav īpašas datu kategorijas.

Atkarībā no apstrādes mērķiem, tie var par tādiem kļūt.

Fails, kurā personas tiek klasificētas pēc vārda atbilstoši viņu iespējamajai etniskajai izcelsmei, būs aizliegts (izņemot GDPR 9. pantā noteikto izņēmumu), pat ja secinājumu precizitāte netiek garantēta.

Līdzīgi GDPR nosaka, ka "fotoattēlu apstrāde nebūtu sistemātiski jāuzskata par īpašu personas datu kategoriju apstrādi, ņemot vērā, ka tie atbilst biometrisko datu definīcijai tikai tad, ja tie tiek apstrādāti, izmantojot īpašu tehnisku metodi, kas ļauj veikt fiziskas personas unikālu identifikāciju vai autentifikāciju".

Tāpēc noteikumu par īpašām datu kategorijām darbības joma ir gan plaša, gan pakļauta interpretācijai atkarībā no apstrādes konteksta.

Šaubu gadījumā šīs informācijas diskriminējošais raksturs un sasniedzamais mērķis ir noderīgi novērtējuma elementi.

Un arī

Francija:

Valsts padome 30. decembrī atzina Quadrature du Net un citu pieteikuma iesniedzēju apelāciju par nepamatotu 2020. gada 27. marta dekrētu attiecībā uz DataJust datubāzi..

Šī datubāze nodrošina tiesu datu, tostarp sensitīvu datu, apstrādi, izmantojot algoritmu, lai atvieglotu kompensācijas novērtēšanu civiltiesiskās un administratīvās atbildības jautājumos.

Valsts padome 28. janvārī arī noraidīja Google LLC un Google Ireland Limited apelāciju pret CNIL lēmumu, ar kuru uzņēmumam 2020. gada decembrī tika uzlikts 100 miljonu eiro sods par sīkfailu nelikumīgu izmantošanu.

Šis lēmums apstiprina CNIL pilnvaras piemērot šāda veida sankcijas pret uzņēmumiem, kas dibināti citās Eiropas valstīs, un apstiprina sankciju samērīgo raksturu.

Oficiālajā Vēstnesī 2021. gada 26. decembrī tika publicēts dekrēts, kas pilnvaro izveidot failu ar nosaukumu “MISP-PJ”, kas paredzēts cīņai pret izspiedējvīrusu.

Šajā failā sešus gadus tiks glabāti datoruzbrukumu upuru dati, kā arī tehniskā informācija par uzbrukumu un tā izdarītāju.

Kasācijas tiesa 10. novembra spriedumā lēma, ka pierādījumus, kas iegūti, pārkāpjot darbinieka tiesības uz privātumu, tomēr var saglabāt tiesā.

Pat ja rīcība, kas paredzēja darbinieku uzraudzību bez viņu ziņas, ir nelikumīga, tiesneša pienākums ir līdzsvarot pierādījumu tiesības un darbinieka tiesības un katrā atsevišķā gadījumā pārbaudīt, vai ir ievērots procedūras taisnīgums.

Eiropa:

Google Analytics ir vairāku datu aizsardzības iestāžu uzmanības centrā:

• Austrija tikko ir nolēmusi, ka tās izmantošana neatbilst GDPR prasībām attiecībā uz pārrobežu datu plūsmām, kā noteikusi Eiropas Savienības Tiesa savā Schrems II spriedumā.
• Eiropas Datu aizsardzības uzraudzītājs ir piemērojis sankcijas Eiropas Parlamentam, pamatojoties uz to pašu pamatojumu, par datu nelikumīgu pārsūtīšanu uz Amerikas Savienotajām Valstīm.
• Nīderlande, kas izskata divas sūdzības par Google Analytics, brīdina, ka tā izmantošana varētu būt nelikumīga, un Norvēģija 26. janvārī paziņoja, ka arī izskata šo jautājumu.

Jautājums par pārsūtīšanu uz Amerikas Savienotajām Valstīm ir arī Minhenes Valsts tiesas 20. janvāra lēmuma centrā. Kad lietotājs lejupielādē Google fontus, viņa IP adrese tiek automātiski pārsūtīta uz Amerikas Savienotajām Valstīm.

Tiesa atzina šo pārskaitījumu par nelikumīgu un piesprieda prasītājam kompensāciju 100 eiro apmērā.

Eiropas Uzraudzības iestāde 20. janvārī pieņēma lēmumu par politiskās reklāmas regulējuma projektu.

Savā viedoklī viņš iesaka pilnībā aizliegt mikromērķauditorijas atlasi politiskajā mārketingā, kuras mērķis ir ietekmēt konkrētas vēlētāju grupas, pamatojoties uz viņu tiešsaistes profilu.

Tā arī atbalsta ierobežojumus attiecībā uz datu kategorijām, kuras var izmantot šādiem mārketinga mērķiem.

27. janvārī Eiropas Komisija un valstu patērētāju tiesību aizsardzības iestāžu tīkls nosūtīja vēstuli WhatsApp, pieprasot uzņēmumam skaidrāk informēt lietotājus par viņu datu izmantošanas noteikumiem..

Uzņēmumam tiek lūgts precizēt izmaiņas, kas veiktas tā vispārējos nosacījumos, datu aizsardzības politikā un ievērot Eiropas tiesību aktus.

Eiropas Inovāciju un tehnoloģiju institūts (EIT) 20. janvārī publicēja rīku, kas paredzēts, lai veicinātu mākslīgā intelekta izmantošanu Eiropas uzņēmumos.

"Mākslīgā intelekta brieduma rīkam" būtu jāļauj uzņēmumiem novērtēt savu gatavības pakāpi mākslīgā intelekta izmantošanai saskaņā ar Eiropas tiesisko regulējumu.

2021. gada 15. decembrī Eiropas Komisija uzsāka konsorcija projektu, lai atbalstītu nākamās paaudzes tehnoloģiju izstrādi.

Konsorcijs, ko dēvē par "Eiropas Industriālo datu, perifērijas un mākoņdatošanas aliansi", pārņem Gaia-X projekta vadību un ir atvērts arī ārvalstu uzņēmumiem, ja vien tie ievēro Eiropas drošības prasības (intelektuālais īpašums, iepirkumi, informācija) un Eiropas Savienības galvenos mērķus šajā jomā.

Eiropas Datu aizsardzības kolēģija 18. janvāra plenārsesijā pieņēma vadlīnijas par personu tiesībām piekļūt saviem datiem..

Lai reaģētu uz prasībām pēc vienotas sīkdatņu lietošanas noteikumu interpretācijas, Komiteja paziņo par darba grupas izveidi šajā jautājumā.

Eiropas Savienības Tiesa savā pagājušā gada 25. novembra spriedumā atzina, ka bezmaksas ziņojumapmaiņas pakalpojuma, ko finansē ar reklāmas līdzekļiem, kontekstā Šādu reklāmu, kas automātiski tiek parādīta elektroniskajā iesūtnē, var uzskatīt par potenciālo klientu piesaistes e-pastu, un tāpēc uz to attiecas lietotāja iepriekšējas piekrišanas nosacījums, kā paredzēts Eiropas ePrivātuma direktīvā.

Itālijas datu aizsardzības iestāde ir noteikusi Enel Energia vairākus korektīvus pasākumus un vairāk nekā 26 000 eiro lielu naudas sodu. par miljonu lietotāju datu nelikumīgu apstrādi telemārketinga nolūkos.

Norvēģijas Datu aizsardzības iestāde ir piespriedusi Valsts ceļu pārvaldei 400 000 eiro sodu. par datu nepareizu saglabāšanu saistībā ar maksas ceļu šķērsošanu.

Portugālē datu aizsardzības iestāde piesprieda Lisabonas pilsētai 1 250 000 eiro sodu par protestētāju personas datu un sensitīvu datu kopīgošanu.ar trešajām pusēm, tostarp protestētāju mērķēto valstu vēstniecībām un ārlietu ministrijām.

Bavārijas augstākā administratīvā tiesa ir lēmusi, ka prasība nevakcinētiem studentiem uzrādīt negatīvu testa sertifikātu ir atcelta. lai saslimtu ar Covid vai veiktu testu uz vietas, ir pamatots ar GDPR 9. panta 2. punkta i) apakšpunktu, kas ļauj apstrādāt sensitīvus datus sabiedrības interešu dēļ, kas saistītas ar veselību.

Starptautiskās:

Vācijas Datu aizsardzības iestāžu konference publicēja 15. novembra ziņojumu, kurā apkopoti SI Vladeka veiktās analīzes rezultāti par tiesiskais regulējums novērošanas pasākumiem Amerikas Savienotajās Valstīs.

Tajā ir sniegta noderīga informācija par nosacījumiem Amerikas tiesību aktu piemērošanai Eiropas uzņēmumiem un meitasuzņēmumiem. 

Vienmēr Amerikas Savienotajās Valstīs četri ģenerālprokurori apsūdz Google lietotāju maldināšanā., turpinot izsekot tiem no tiem, kuri ir mainījuši izsekošanas preferences un atteikušies no savu datu vākšanas.

Prasības tiesā iesniedza Teksasas, Vašingtonas, Indiānas un Kolumbijas apgabala štati.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.