Gevoelige gegevens en bijzondere categorieën gegevens: zes van de één en een half dozijn van de ander?

Juridische Watch nr. 43 – Januari 2022

Gevoelige gegevens en bijzondere categorieën gegevens: zes van de één en een half dozijn van de ander?. Wanneer het gaat om gegevens over de gezondheid, politieke opvattingen of godsdienstige opvattingen, dan is de kwalificatie ‘gevoelige gegevens’ de eerste die bij ons opkomt.die speciale bescherming behoeven in de zin van de Europese Verordening Gegevensbescherming.

De CNIL classificeert gevoelige gegevens op haar website ook als ‘bijzondere categorieën van gegevens’ die onder de AVG vallen.

Betekent dit dat deze twee begrippen hetzelfde zijn?

Deze vraag is van belang omdat de interpretatie ervan leidt tot de toepassing van een reeks wettelijke bepalingen die bindend zijn voor de verwerkingsverantwoordelijke.

De AVG bepaalt dat ‘persoonsgegevens die vanwege hun aard bijzonder gevoelig zijn uit het oogpunt van fundamentele vrijheden en rechten, specifieke bescherming verdienen, omdat de context waarin zij worden verwerkt, aanzienlijke risico’s voor deze vrijheden en rechten met zich mee kan brengen.’

Er zijn bepaalde gevoelige gegevens expliciet geïdentificeerd en de verwerking daarvan is verboden, met uitzondering van de uitzonderingen die zijn gespecificeerd in artikel 9 van de AVG.

Het gaat hierbij om bijzondere categorieën van gegevens waaruit de vermeende raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, evenals verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Gelet op de risico's, met name van discriminatie, die de verwerking van dergelijke gegevens met zich meebrengt, vereist de Europese verordening een grotere verantwoordingsplicht van verwerkingsverantwoordelijken en een zorgvuldig gebruik van gegevens, met inachtneming van de uitzonderingen die de wet biedt.

Hierbij gaat het vooral om vitale of belangrijke publieke belangen, die een dergelijke inmenging eerder rechtvaardigen.

Er dient rekening mee te worden gehouden dat andere gegevens, die soms ook als gevoelig worden aangemerkt, maar niet in de lijst van artikel 9 van de AVG zijn opgenomen, eveneens specifieke bescherming genieten..

Zo wordt het begrip gevoelige gegevens soms, bijvoorbeeld in de officiële documenten van de Britse en Belgische gegevensbeschermingsautoriteiten, opgevat als een informele omschrijving van een bredere reeks gegevens waarvan de verwerking als bijzonder schadelijk voor de betrokken personen kan worden beschouwd.

Naast de bijzondere categorieën gegevens uit artikel 9 kunnen ook gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (artikel 10), maar ook telecommunicatiegegevens of unieke identificatiegegevens onderworpen zijn aan specifieke beschermingsmaatregelen, in het kader van de AVG of de e-privacyrichtlijn.

De aanstelling van een FG, het bijhouden van een register van verwerkingsoperaties en het uitvoeren van impactanalyses zijn dus zowel gericht op de bijzondere categorieën van gegevens van artikel 9 als op de justitiële gegevens van artikel 10 van de AVG (in geval van grootschalige verwerking van deze gegevens).

Om misverstanden te voorkomen, wordt aanbevolen de begrippen uit de AVG te gebruiken en te verwijzen naar de bijzondere categorieën van gegevens zoals bedoeld in artikel 9, of naar de andere bepalingen van de AVG die andere specifieke gegevens beschermen, en zo de toepasselijke beginselen duidelijk te identificeren..

Zelfs binnen speciale categorieën van gegevens kan het soms een uitdaging zijn om te bepalen wat binnen het bereik van de AVG valt.

Wanneer de resultaten van een medische analyse dus zonder meer onder de categorie gezondheidsgegevens vallen, kan daar ook andere, minder voor de hand liggende informatie in worden gevonden, onafhankelijk van het kader van zorgprofessionals en zorgpaden.

Denk bijvoorbeeld aan gegevens die een verbonden horloge registreert, die de hartslag of eventuele slaapstoornissen analyseren.

Dergelijke gegevens die door een derde partij online worden verzonden en geanalyseerd, vallen daarom onder het strikte kader van artikel 9 van de AVG.

Het is anders als de informatie op de terminal van de gebruiker opgeslagen blijft en alleen voor hem toegankelijk is.

Naast de aard van de gegevens is de context waarin deze gegevens worden verwerkt en de informatie die daaruit wordt afgeleid, van doorslaggevend belang.

Zo kan een foto de huidskleur van de gefotografeerde persoon onthullen en kan het ook biometrische gegevens bevatten.

Aan de hand van een achternaam kan met enige waarschijnlijkheid de etnische afkomst van de betrokken persoon worden afgeleid.

Deze ‘ruwe’ gegevens zijn echter geen speciale categorieën van gegevens.

Afhankelijk van de doeleinden waarvoor ze worden verwerkt, kunnen ze dat worden.

Een bestand waarin personen bij naam worden genoemd op basis van hun vermoedelijke etnische afkomst, is verboden (met uitzondering van de uitzondering genoemd in artikel 9 van de AVG), ook al kan de juistheid van de afleidingen niet worden gegarandeerd.

Zo bepaalt de AVG ook dat "de verwerking van foto's niet systematisch mag worden beschouwd als verwerking van bijzondere categorieën van persoonsgegevens, aangezien deze alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van een specifieke technische methode die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maakt."

De reikwijdte van de bepalingen betreffende bijzondere categorieën van gegevens is derhalve ruim en vatbaar voor interpretatie, afhankelijk van de context van de verwerking.

Bij twijfel zijn het discriminerende karakter van de informatie en het beoogde doel nuttige elementen voor de beoordeling.

En ook

Frankrijk:

Op 30 december verklaarde de Raad van State het beroep van Quadrature du Net en andere eisers tegen het besluit van 27 maart 2020 betreffende de databank DataJust ongegrond..

Deze databank maakt de verwerking van gerechtelijke gegevens, waaronder gevoelige gegevens, met behulp van een algoritme mogelijk, om de beoordeling van schadevergoedingen in zaken van burgerlijke en bestuursrechtelijke aansprakelijkheid te vergemakkelijken.

De Raad van State verwierp op 28 januari ook het beroep van Google LLC en Google Ireland Limited tegen de beslissing van de CNIL, waarbij het bedrijf in december 2020 een boete van 100 miljoen euro kreeg opgelegd wegens illegaal gebruik van cookies.

Met deze beslissing bevestigt de CNIL de bevoegdheid om dergelijke sancties op te leggen aan bedrijven die in andere Europese landen zijn gevestigd, en wordt het evenredige karakter van de sancties bevestigd.

In het Publicatieblad van 26 december 2021 werd een decreet gepubliceerd waarin toestemming werd gegeven voor het aanmaken van een bestand ter bestrijding van ransomware, genaamd “MISP-PJ”.

In dit bestand worden gedurende zes jaar gegevens bewaard van personen die slachtoffer zijn geworden van een computeraanval, evenals technische informatie over de aanval en de dader.

Het Hof van Cassatie heeft in een arrest van 10 november geoordeeld dat bewijsmateriaal dat in strijd is met het recht op privacy van de werknemer, toch voor de rechter mag worden behouden.

Ook al is de behandeling die het toezicht op werknemers zonder hun medeweten mogelijk maakt onrechtmatig, dan is het aan de rechter om het bewijsrecht en de rechten van de werknemer tegen elkaar af te wegen en per geval te beoordelen of de eerlijkheid van de procedure is gerespecteerd.

Europa:

Google Analytics ligt in het vizier van meerdere gegevensbeschermingsautoriteiten:

• Oostenrijk heeft zojuist besloten dat het gebruik ervan niet voldoet aan de AVG-vereisten met betrekking tot grensoverschrijdende gegevensstromen, zoals gespecificeerd door het Europese Hof van Justitie in zijn Schrems II-arrest.
• De Europese Toezichthouder voor gegevensbescherming heeft het Europees Parlement op dezelfde basis een sanctie opgelegd voor het illegaal overdragen van gegevens naar de Verenigde Staten.
• Nederland, dat twee klachten over Google Analytics in behandeling heeft, waarschuwt dat het gebruik ervan mogelijk illegaal is, en Noorwegen maakte op 26 januari bekend dat het de zaak ook onderzoekt.

De kwestie van de overdrachten naar de Verenigde Staten staat ook centraal in de uitspraak van de Staatsrechtbank van München van 20 januari :Wanneer een gebruiker Google-lettertypen downloadt, wordt zijn IP-adres automatisch naar de Verenigde Staten verzonden.

De rechtbank achtte deze overdracht onrechtmatig en kende aan eiser een schadevergoeding toe van € 100,-.

De Europese toezichthoudende autoriteit heeft op 20 januari uitspraak gedaan over een ontwerpverordening inzake politieke advertenties.

Hij pleit voor een volledig verbod op microtargeting in politieke marketing, waarbij het de bedoeling is om specifieke groepen kiezers te beïnvloeden op basis van hun onlineprofiel.

Ook pleit de wet voor beperkingen op de categorieën gegevens die voor dergelijke marketingdoeleinden gebruikt kunnen worden.

Op 27 januari stuurden de Europese Commissie en het netwerk van nationale consumentenbeschermingsautoriteiten een brief naar WhatsApp waarin ze het bedrijf verzoeken gebruikers duidelijker te informeren over de gebruiksvoorwaarden van hun gegevens..

Het bedrijf wordt verzocht de wijzigingen in zijn algemene voorwaarden en zijn beleid inzake gegevensbescherming te specificeren en te voldoen aan de Europese wetgeving.

Het Europees Instituut voor Innovatie en Technologie (EIT) publiceerde op 20 januari een tool om het gebruik van kunstmatige intelligentie door Europese bedrijven te bevorderen.

Met de ‘kunstmatige intelligentie maturiteitstool’ moeten bedrijven kunnen beoordelen in hoeverre ze klaar zijn voor het gebruik van AI, conform het Europese wettelijke kader.

Op 15 december 2021 lanceerde de Europese Commissie een consortiumproject ter ondersteuning van de ontwikkeling van technologieën van de volgende generatie.

Het consortium, genaamd "European Alliance for Industrial Data, Edge and Cloud", is de opvolger van het Gaia-X-project en staat ook open voor buitenlandse bedrijven, op voorwaarde dat zij voldoen aan de Europese veiligheidseisen (intellectueel eigendom, aanbestedingen, informatie) en de belangrijkste doelstellingen van de Europese Unie op dit gebied.

Het Europees Comité voor gegevensbescherming heeft tijdens zijn plenaire vergadering van 18 januari richtsnoeren aangenomen over het recht van personen op toegang tot hun gegevens..

Om tegemoet te komen aan de vraag naar een uniforme interpretatie van de regels inzake het gebruik van cookies, kondigt het Comité de oprichting aan van een werkgroep over dit onderwerp.

Het Hof van Justitie van de Europese Unie heeft in zijn arrest van 25 november jongstleden geoordeeld dat in het kader van een gratis berichtendienst die door reclame wordt gefinancierd, Dergelijke reclame die automatisch in een elektronische inbox wordt weergegeven, kan worden beschouwd als een prospectie-e-mail en is daarom onderworpen aan de voorwaarde van voorafgaande toestemming van de gebruiker zoals voorzien in de Europese e-privacyrichtlijn.

De Italiaanse autoriteit voor gegevensbescherming heeft een aantal corrigerende maatregelen en een boete van ruim 26.000 euro aan Enel Energia opgelegd. voor illegale verwerking van gegevens van miljoenen gebruikers voor telemarketingdoeleinden.

De Noorse Autoriteit voor gegevensbescherming heeft de Dienst Openbare Wegen een boete van € 400.000 opgelegd. voor het onrechtmatig bewaren van gegevens over tolovergangen.

In Portugal heeft de Autoriteit Persoonsgegevens de stad Lissabon een boete van € 1.250.000 opgelegd voor het delen van persoonlijke en gevoelige gegevens van demonstranten.met derden, waaronder de ambassades en ministeries van Buitenlandse Zaken van de landen die het doelwit zijn van de demonstranten.

De hoogste bestuursrechter in Beieren heeft geoordeeld dat de eis dat niet-gevaccineerde studenten een negatief testcertificaat moeten overleggen, niet van toepassing is. om COVID-19 te voorkomen of om een test ter plaatse te ondergaan, wordt gerechtvaardigd door artikel 9(2)(i) van de AVG, dat de verwerking van gevoelige gegevens om redenen van algemeen belang met betrekking tot de gezondheid toestaat.

Internationaal :

De Conferentie van Duitse gegevensbeschermingsautoriteiten heeft op 15 november een rapport gepubliceerd waarin de bevindingen van een analyse door SI Vladeck over de wettelijk kader voor toezichtmaatregelen in de Verenigde Staten.

Het bevat nuttige informatie over de voorwaarden waaronder het Amerikaanse recht van toepassing is op Europese bedrijven en dochterondernemingen. 

Altijd In de Verenigde Staten beschuldigen vier procureurs-generaal Google ervan zijn gebruikers te misleidenen blijven degenen volgen die hun trackingvoorkeuren hebben gewijzigd en het verzamelen van hun gegevens hebben geweigerd.

De rechtszaken werden aangespannen door de staten Texas, Washington, Indiana en het District of Columbia.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.