Citlivé údaje a špeciálne kategórie údajov: šesť z jedného a pol tucta ostatných?

Právne upozornenie č. 43 – január 2022

Citlivé údaje a špeciálne kategórie údajov: šesť z jedného a pol tucta ostatných?. Pri práci s údajmi týkajúcimi sa zdravia, politických alebo náboženských názorov okamžite napadne pojem „citlivé údaje“., ktoré si vyžadujú osobitnú ochranu v zmysle európskeho nariadenia o ochrane údajov.

CNIL tiež klasifikuje citlivé údaje na svojej webovej stránke ako „špeciálne kategórie údajov“ regulované GDPR.

Znamená to, že tieto dva pojmy sú rovnaké?

Táto otázka je dôležitá, pretože jej výklad vedie k uplatneniu série právnych ustanovení, ktoré sú pre prevádzkovateľa záväzné.

GDPR špecifikuje, že „osobné údaje, ktoré sú svojou povahou obzvlášť citlivé z hľadiska základných slobôd a práv, si zaslúžia osobitnú ochranu, pretože kontext, v ktorom sa spracúvajú, by mohol predstavovať významné riziká pre tieto slobody a práva.“

Bolo výslovne identifikované určité množstvo citlivých údajov a ich spracovanie je zakázané s výnimkou výnimiek uvedených v článku 9 GDPR.

Ide o špeciálne kategórie údajov, ktoré odhaľujú údajný rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odboroch, ako aj spracovanie genetických údajov, biometrických údajov na účely jedinečnej identifikácie fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

Vzhľadom na riziká, najmä diskriminácie, ktoré prináša spracovanie takýchto údajov, európske nariadenie vyžaduje zvýšenú zodpovednosť prevádzkovateľov údajov a starostlivé používanie údajov v súlade s výnimkami stanovenými zákonom.

Tieto sa týkajú najmä životne dôležitých alebo dôležitých verejných záujmov, ktoré s väčšou pravdepodobnosťou odôvodňujú takýto zásah.

Treba poznamenať, že aj iné údaje, ktoré sú niekedy tiež kvalifikované ako citlivé, ale nie sú uvedené v zozname v článku 9 GDPR, podliehajú osobitnej ochrane..

Pojem citlivých údajov sa preto niekedy chápe, napríklad v oficiálnych dokumentoch britských a belgických orgánov na ochranu údajov, ako neformálne zahŕňajúci širší súbor údajov, ktorých spracovanie môže byť považované za obzvlášť škodlivé pre dotknuté osoby.

Okrem osobitných kategórií údajov v článku 9 môžu byť údaje týkajúce sa odsúdení za trestné činy a priestupkov (článok 10), ale aj telekomunikačné údaje alebo jedinečné identifikátory predmetom osobitných ochranných opatrení v kontexte GDPR alebo smernice o súkromí a elektronických komunikáciách.

Vymenovanie zodpovednej osoby, vedenie registra spracovateľských operácií a vykonávanie analýz vplyvu sa teda zameriavajú na osobitné kategórie údajov podľa článku 9 aj na súdne údaje podľa článku 10 GDPR (v prípade rozsiahleho spracovania týchto údajov).

Aby sa predišlo nedorozumeniam, odporúča sa používať pojmy GDPR a odkazovať buď na osobitné kategórie údajov uvedené v článku 9, alebo na iné ustanovenia GDPR, ktoré chránia iné špecifické údaje, a tým jasne identifikovať uplatniteľné zásady..

Aj v rámci špeciálnych kategórií údajov môže byť niekedy náročné určiť, čo patrí do rozsahu pôsobnosti GDPR.

Ak teda výsledky lekárskej analýzy spadajú bez diskusie do kategórie zdravotných údajov, dajú sa tam nájsť aj iné, menej zrejmé informácie, nezávisle od rámca zdravotníckych pracovníkov a postupov starostlivosti.

Napríklad máme na mysli údaje zaznamenané pripojenými hodinkami, analýzu srdcovej frekvencie alebo možné poruchy spánku.

Takéto údaje prenášané a analyzované online treťou stranou preto podliehajú prísnemu rámcu článku 9 GDPR.

Iné je, ak informácie zostávajú uložené v termináli používateľa a sú prístupné iba jemu.

Okrem povahy údajov je určujúcim prvkom kontext, v ktorom budú tieto údaje spracované, a informácie, ktoré z nich budú odvodené.

Fotografia teda môže odhaliť farbu pleti fotografovanej osoby a zároveň predstavovať biometrický údaj.

Priezvisko možno s určitou mierou pravdepodobnosti použiť na odvodenie etnického pôvodu dotknutej osoby.

Tieto „surové“ údaje však nie sú špeciálnymi kategóriami údajov.

V závislosti od účelov, na ktoré sa spracúvajú, sa nimi môžu stať.

Súbor klasifikujúci osoby uvedené podľa mena podľa ich pravdepodobného etnického pôvodu bude zakázaný (s výnimkou výnimky uvedenej v článku 9 GDPR), a to aj v prípade, že presnosť odvodených údajov nie je zaručená.

Podobne GDPR špecifikuje, že „spracovanie fotografií by sa nemalo systematicky považovať za spracovanie osobitných kategórií osobných údajov, keďže tieto spadajú pod definíciu biometrických údajov iba vtedy, ak sa spracúvajú pomocou špecifickej technickej metódy umožňujúcej jedinečnú identifikáciu alebo autentifikáciu fyzickej osoby.“

Rozsah pôsobnosti ustanovení týkajúcich sa osobitných kategórií údajov je preto široký a podlieha výkladu v závislosti od kontextu spracovania.

V prípade pochybností sú diskriminačná povaha týchto informácií a sledovaný účel užitočnými prvkami posúdenia.

A tiež

Francúzsko:

Štátna rada 30. decembra vyhlásila odvolanie spoločnosti Quadrature du Net a ďalších žiadateľov proti dekrétu z 27. marca 2020 týkajúcemu sa databázy DataJust za nedôvodné..

Táto databáza umožňuje spracovanie súdnych údajov vrátane citlivých údajov pomocou algoritmu s cieľom uľahčiť posudzovanie odškodnenia vo veciach občianskoprávnej a administratívnej zodpovednosti.

Štátna rada 28. januára tiež zamietla odvolanie spoločností Google LLC a Google Ireland Limited proti rozhodnutiu CNIL, ktoré spoločnosti v decembri 2020 uložilo pokutu 100 miliónov eur za nezákonné používanie súborov cookie.

Toto rozhodnutie potvrdzuje oprávnenie CNIL uvaliť tento typ sankcií na spoločnosti so sídlom v iných európskych krajinách a potvrdzuje primeranú povahu sankcií.

Úradný vestník z 26. decembra 2021 zverejnil dekrét povoľujúci vytvorenie súboru určeného na boj proti ransomvéru s názvom „MISP-PJ“.

Tento súbor bude šesť rokov uchovávať údaje o ľuďoch, ktorí sa stali obeťami počítačových útokov, ako aj technické informácie týkajúce sa útoku a jeho páchateľa.

Kasačný súd vo svojom rozhodnutí z 10. novembra rozhodol, že dôkazy získané v rozpore s právom zamestnanca na súkromie môžu byť napriek tomu uchovávané na súde.

Aj keď je zaobchádzanie, ktoré zabezpečovalo monitorovanie zamestnancov bez ich vedomia, nezákonné, je na sudcovi, aby zvážil právo na dôkaz a práva zamestnanca a v každom jednotlivom prípade overil, či je rešpektovaná spravodlivosť konania.

Európa:

Google Analytics je v hľadáčiku viacerých orgánov na ochranu údajov:

• Rakúsko práve rozhodlo, že jeho používanie nie je v súlade s požiadavkami GDPR týkajúcimi sa cezhraničných tokov údajov, ako ich uviedol Európsky súdny dvor vo svojom rozsudku vo veci Schrems II.
• Európsky dozorný úradník pre ochranu údajov udelil Európskemu parlamentu rovnaké sankcie za nezákonný prenos údajov do Spojených štátov.
• Holandsko, ktoré rieši dve sťažnosti týkajúce sa služby Google Analytics, varuje, že jej používanie môže byť nezákonné, a Nórsko 26. januára oznámilo, že sa touto záležitosťou tiež zaoberá.

Otázka prevodov do Spojených štátov je tiež ústredným bodom rozhodnutia Mníchovského štátneho súdu z 20. januára Keď si používateľ stiahne písma Google, jeho IP adresa sa automaticky prenesie do Spojených štátov.

Súd tento prevod považoval za nezákonný a žalobcovi priznal odškodné vo výške 100 eur.

Európsky orgán dohľadu rozhodol 20. januára o návrhu nariadenia o politickej reklame.

Podľa svojho názoru odporúča úplný zákaz mikrotargetingu v politickom marketingu, ktorého cieľom je ovplyvniť konkrétne skupiny voličov na základe ich online profilu.

Taktiež sa zasadzuje za obmedzenia kategórií údajov, ktoré možno použiť na takéto marketingové účely.

Európska komisia a sieť národných orgánov na ochranu spotrebiteľa 27. januára zaslali spoločnosti WhatsApp list, v ktorom požadujú, aby spoločnosť jasnejšie informovala používateľov o podmienkach používania ich údajov..

Spoločnosť je požiadaná, aby špecifikovala zmeny vykonané vo svojich všeobecných podmienkach, v zásadách ochrany údajov a aby dodržiavala európske právo.

Európsky inovačný a technologický inštitút (EIT) zverejnil 20. januára nástroj určený na podporu využívania umelej inteligencie európskymi spoločnosťami.

„Nástroj zrelosti umelej inteligencie“ by mal spoločnostiam umožniť posúdiť stupeň ich pripravenosti na používanie umelej inteligencie v súlade s európskym právnym rámcom.

Európska komisia spustila 15. decembra 2021 konzorciálny projekt na podporu vývoja technológií novej generácie.

Konzorcium s názvom „Európska aliancia pre priemyselné dáta, edge a cloud“ preberá od projektu Gaia-X a je otvorené aj zahraničným spoločnostiam, pokiaľ spĺňajú európske bezpečnostné požiadavky (duševné vlastníctvo, obstarávanie, informácie) a kľúčové ciele Európskej únie v tejto oblasti.

Európsky výbor pre ochranu údajov prijal na svojom plenárnom zasadnutí 18. januára usmernenia týkajúce sa práva jednotlivcov na prístup k ich údajom..

V reakcii na požiadavky na jednotný výklad pravidiel týkajúcich sa používania súborov cookie výbor oznamuje vytvorenie pracovnej skupiny na túto tému.

Súdny dvor Európskej únie vo svojom rozsudku z 25. novembra minulého roka uviedol, že v kontexte bezplatnej služby zasielania správ financovanej z reklamy, Takáto reklama automaticky zobrazovaná v elektronickej schránke sa môže považovať za vyhľadávací e-mail, a preto podlieha podmienke predchádzajúceho súhlasu používateľa, ako je stanovené v európskej smernici o súkromí a elektronických komunikáciách.

Taliansky úrad na ochranu údajov uložil spoločnosti Enel Energia niekoľko nápravných opatrení a pokutu viac ako 26 000 eur. za nezákonné spracovanie údajov miliónov používateľov na účely telemarketingu.

Nórsky úrad na ochranu údajov udelil Správe verejných ciest pokutu 400 000 eur. za nesprávne uchovávanie údajov týkajúcich sa spoplatnených priecestí.

V Portugalsku udelil úrad na ochranu údajov mestu Lisabon pokutu 1 250 000 eur za zdieľanie osobných a citlivých údajov protestujúcich.s tretími stranami vrátane veľvyslanectiev a ministerstiev zahraničných vecí krajín, na ktoré sa protestujúci zameriavajú.

Najvyšší správny súd Bavorska rozhodol, že požiadavka, aby neočkovaní študenti predložili potvrdenie o negatívnom teste na covid alebo na podrobenie sa testu na mieste je odôvodnené článkom 9(2)(i) GDPR, ktorý umožňuje spracovanie citlivých údajov z dôvodov verejného záujmu týkajúcich sa zdravia.

Medzinárodné:

Konferencia nemeckých orgánov na ochranu údajov zverejnila 15. novembra správu, ktorá sumarizuje zistenia analýzy vykonanej spoločnosťou SI Vladeck na právny rámec pre sledovacie opatrenia v Spojených štátoch.

Obsahuje užitočné informácie o podmienkach uplatňovania amerického práva na európske spoločnosti a dcérske spoločnosti. 

Vždy V Spojených štátoch štyria generálni prokurátori obviňujú spoločnosť Google z klamania svojich používateľov., pričom naďalej sledujeme tých z nich, ktorí zmenili preferencie sledovania a odmietli zhromažďovanie svojich údajov.

Žaloby podali štáty Texas, Washington, Indiana a okres Columbia.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.