Občutljivi podatki in posebne kategorije podatkov: šest od enega in pol ducata drugih?

Pravna ura št. 43 – Januar 2022

Občutljivi podatki in posebne kategorije podatkov: šest od enega in pol ducata drugih?. Ko gre za podatke v zvezi z zdravjem, političnimi ali verskimi mnenji, takoj pride na misel opredelitev "občutljivi podatki"., ki zahtevajo posebno zaščito v smislu Evropske uredbe o varstvu podatkov.

CNIL na svojem spletnem mestu občutljive podatke prav tako razvršča kot "posebne kategorije podatkov", ki jih ureja GDPR.

Ali to pomeni, da sta ta dva pojma enaka?

Vprašanje je pomembno, ker njegova razlaga vodi do uporabe vrste pravnih določb, ki so zavezujoče za upravljavca podatkov.

GDPR določa, da »osebni podatki, ki so po svoji naravi še posebej občutljivi z vidika temeljnih svoboščin in pravic, zaslužijo posebno zaščito, saj bi lahko kontekst, v katerem se obdelujejo, povzročil znatna tveganja za te svoboščine in pravice«.

Določena količina občutljivih podatkov je bila izrecno opredeljena in njihova obdelava je prepovedana, razen izjem, določenih v 9. členu GDPR.

Gre za posebne kategorije podatkov, ki razkrivajo domnevno rasno ali etnično poreklo, politična mnenja, verska ali filozofska prepričanja ali članstvo v sindikatu, pa tudi obdelavo genetskih podatkov, biometričnih podatkov za namene enolične identifikacije posameznika, podatkov o zdravju ali podatkov o spolnem življenju ali spolni usmerjenosti posameznika.

Glede na tveganja, zlasti diskriminacije, ki jih prinaša obdelava takšnih podatkov, evropska uredba zahteva večjo odgovornost upravljavcev podatkov in skrbno uporabo podatkov v skladu z izjemami, ki jih določa zakon.

Te se nanašajo predvsem na vitalne ali pomembne javne interese, ki bolj verjetno upravičujejo takšen vdor.

Treba je opozoriti, da so tudi drugi podatki, ki so včasih prav tako opredeljeni kot občutljivi, vendar niso vključeni na seznam iz 9. člena GDPR, predmet posebnega varstva..

Pojem občutljivih podatkov se tako včasih, na primer v uradnih dokumentih britanskih in belgijskih organov za varstvo podatkov, neformalno obravnava kot širši nabor podatkov, katerih obdelava se lahko šteje za posebej škodljivo za zadevne osebe.

Poleg posebnih kategorij podatkov iz člena 9 lahko za podatke, ki se nanašajo na kazenske obsodbe in prekrške (člen 10), pa tudi na telekomunikacijske podatke ali edinstvene identifikatorje, veljajo tudi posebni varstveni ukrepi v okviru GDPR ali Direktive o e-zasebnosti.

Imenovanje pooblaščene osebe za varstvo podatkov, vzdrževanje registra postopkov obdelave in izvajanje analiz učinka so torej usmerjeni tako na posebne kategorije podatkov iz 9. člena kot na sodne podatke iz 10. člena GDPR (v primeru obsežne obdelave teh podatkov).

Da bi se izognili morebitnim nesporazumom, je priporočljivo uporabljati izraze GDPR in se sklicevati bodisi na posebne kategorije podatkov, kot so določene v členu 9, bodisi na druge določbe GDPR, ki varujejo druge specifične podatke, in tako jasno opredeliti veljavna načela..

Tudi znotraj posebnih kategorij podatkov je lahko določitev, kaj spada v področje uporabe GDPR, včasih izziv.

Če torej rezultati medicinske analize brez razprave spadajo v kategorijo zdravstvenih podatkov, bi tam lahko našli tudi druge manj očitne informacije, neodvisno od okvira zdravstvenih delavcev in poti oskrbe.

Na primer, razmišljamo o podatkih, ki jih beleži povezana ura, analizira srčni utrip ali morebitne motnje spanja.

Za takšne podatke, ki jih tretja oseba posreduje in analizira na spletu, zato velja strogi okvir 9. člena GDPR.

Drugače je, če podatki ostanejo shranjeni v uporabnikovem terminalu in so dostopni samo njemu.

Poleg narave podatkov je odločilni element tudi kontekst, v katerem bodo ti podatki obdelani, in informacije, ki bodo iz njih izpeljane.

Tako lahko fotografija razkrije barvo kože fotografirane osebe in predstavlja tudi biometrični podatek.

Priimek se lahko z določeno stopnjo verjetnosti uporabi za sklepanje o etničnem poreklu zadevne osebe.

Vendar ti »surovi« podatki niso posebne kategorije podatkov.

Glede na namene, za katere se obdelujejo, lahko to tudi postanejo.

Datoteka, ki razvršča osebe po imenu glede na njihovo verjetno etnično poreklo, bo prepovedana (razen izjeme iz 9. člena GDPR), tudi če točnost sklepov ni zagotovljena.

Podobno GDPR določa, da „obdelave fotografij ne bi smeli sistematično šteti za obdelavo posebnih kategorij osebnih podatkov, saj te spadajo v opredelitev biometričnih podatkov le, če se obdelujejo z uporabo posebne tehnične metode, ki omogoča enolično identifikacijo ali avtentikacijo posameznika.“

Področje uporabe določb o posebnih kategorijah podatkov je zato široko in predmet razlage, odvisno od konteksta obdelave.

V primeru dvoma sta diskriminatorna narava teh informacij in zasledovani namen koristna elementa ocene.

In tudi

Francija:

Državni svet je 30. decembra pritožbo Quadrature du Net in drugih vlagateljev zoper odlok z dne 27. marca 2020 o podatkovni zbirki DataJust obravnaval kot neutemeljeno..

Ta zbirka podatkov omogoča obdelavo sodnih podatkov, vključno z občutljivimi podatki, z uporabo algoritma, da se olajša ocena odškodnine v zadevah civilne in upravne odgovornosti.

Državni svet je 28. januarja zavrnil tudi pritožbo družb Google LLC in Google Ireland Limited zoper odločitev CNIL, ki je družbi decembra 2020 naložila globo v višini 100 milijonov evrov zaradi nezakonite uporabe piškotkov.

Ta odločitev potrjuje pooblastilo CNIL za uvedbo tovrstnih sankcij proti podjetjem s sedežem v drugih evropskih državah in potrjuje sorazmernost sankcij.

Uradni list z dne 26. decembra 2021 je objavil odlok, ki dovoljuje vzpostavitev datoteke, namenjene boju proti izsiljevalski programski opremi, z imenom »MISP-PJ«.

V tej datoteki bodo šest let shranjeni podatki o žrtvah računalniških napadov, pa tudi tehnične informacije o napadu in njegovem storilcu.

Kasacijsko sodišče je v sodbi z dne 10. novembra razsodilo, da se dokazi, pridobljeni s kršitvijo pravice zaposlenega do zasebnosti, kljub temu lahko hranijo na sodišču.

Tudi če je ravnanje, ki je predvidevalo spremljanje zaposlenih brez njihove vednosti, nezakonito, je naloga sodnika, da tehta pravico do dokazov in pravice zaposlenega ter v vsakem primeru posebej preveri, ali je bila spoštovana pravičnost postopka.

Evropa:

Google Analytics je v središču pozornosti več organov za varstvo podatkov:

• Avstrija je pravkar odločila, da njegova uporaba ni v skladu z zahtevami GDPR glede čezmejnega pretoka podatkov, kot jih je določilo Evropsko sodišče v sodbi v zadevi Schrems II.
• Evropski nadzornik za varstvo podatkov je na isti podlagi sankcioniral Evropski parlament zaradi nezakonitega prenosa podatkov v Združene države.
• Nizozemska, ki obravnava dve pritožbi glede storitve Google Analytics, opozarja, da je njena uporaba morda nezakonita, Norveška pa je 26. januarja sporočila, da prav tako preučuje zadevo.

Vprašanje premestitev v Združene države je tudi v središču odločitve državnega sodišča v Münchnu z dne 20. januarja Ko uporabnik prenese Googlove pisave, se njegov IP-naslov samodejno prenese v Združene države Amerike.

Sodišče je ta prenos ocenilo kot nezakonit in tožniku prisodilo odškodnino v višini 100 evrov.

Evropski nadzorni organ je 20. januarja odločil o osnutku uredbe o političnem oglaševanju.

Po svojem mnenju priporoča popolno prepoved mikrotargetiranja v političnem trženju, katerega cilj je vplivati na določene skupine volivcev na podlagi njihovega spletnega profila.

Prav tako zagovarja omejitve kategorij podatkov, ki se lahko uporabljajo za takšne trženjske namene.

Evropska komisija in mreža nacionalnih organov za varstvo potrošnikov sta 27. januarja podjetju WhatsApp poslali pismo, v katerem zahtevata, da podjetje uporabnike jasneje obvesti o pogojih uporabe njihovih podatkov..

Podjetje se poziva, naj navede spremembe svojih splošnih pogojev, politike varstva podatkov in naj upošteva evropsko zakonodajo.

Evropski inštitut za inovacije in tehnologijo (EIT) je 20. januarja objavil orodje, namenjeno spodbujanju uporabe umetne inteligence v evropskih podjetjih.

„Orodje za ocenjevanje zrelosti umetne inteligence“ bi moralo podjetjem omogočiti, da ocenijo svojo stopnjo pripravljenosti za uporabo umetne inteligence v skladu z evropskim pravnim okvirom.

Evropska komisija je 15. decembra 2021 začela konzorcijski projekt za podporo razvoju tehnologij naslednje generacije.

Konzorcij, imenovan »Evropsko zavezništvo za industrijske podatke, rob in oblak«, prevzema projekt Gaia-X in je odprt tudi za tuja podjetja, če ta izpolnjujejo evropske varnostne zahteve (intelektualna lastnina, javna naročila, informacije) in ključne cilje Evropske unije na tem področju.

Evropski odbor za varstvo podatkov je na plenarnem zasedanju 18. januarja sprejel smernice o pravici posameznikov do dostopa do njihovih podatkov..

V odgovor na zahteve po enotni razlagi pravil o uporabi piškotkov Odbor napoveduje ustanovitev delovne skupine na tem področju.

Sodišče Evropske unije je v svoji sodbi z dne 25. novembra lani menilo, da je v okviru brezplačne storitve sporočanja, ki se financira z oglaševanjem, Takšno oglaševanje, ki se samodejno prikazuje v elektronskem nabiralniku, se lahko šteje za e-poštno sporočilo za iskanje potencialnih strank in je zato podvrženo pogoju predhodnega soglasja uporabnika, kot je določeno v evropski direktivi o e-zasebnosti.

Italijanski organ za varstvo podatkov je družbi Enel Energia naložil več korektivnih ukrepov in globo v višini več kot 26.000 evrov. zaradi nezakonite obdelave podatkov milijonov uporabnikov za namene telemarketinga.

Norveški organ za varstvo podatkov je Upravo za javne ceste oglobil s 400.000 evri. zaradi nepravilnega hrambe podatkov o cestninskih prehodih.

Na Portugalskem je organ za varstvo podatkov mestu Lizbona naložil globo v višini 1.250.000 evrov zaradi delitve osebnih in občutljivih podatkov protestnikov.s tretjimi stranmi, vključno z veleposlaništvi in zunanjimi ministrstvi držav, na katere so bili protestniki usmerjeni.

Najvišje upravno sodišče Bavarske je razsodilo, da je zahteva, da necepljeni študenti predložijo potrdilo o negativnem testu, ukinjena. Obdelava občutljivih podatkov zaradi covida ali testiranja na kraju samem je upravičena s členom 9(2)(i) GDPR, ki dovoljuje obdelavo občutljivih podatkov zaradi razlogov javnega interesa v zvezi z zdravjem.

Mednarodno:

Konferenca nemških organov za varstvo podatkov je 15. novembra objavila poročilo, ki povzema ugotovitve analize, ki jo je izvedel SI Vladeck o pravni okvir za nadzorne ukrepe v Združenih državah Amerike.

Vsebuje koristne informacije o pogojih uporabe ameriškega prava za evropska podjetja in hčerinske družbe. 

Vedno V Združenih državah Amerike štirje generalni državni tožilci obtožujejo Google, da je zavajal svoje uporabnike., pri čemer še naprej spremljamo tiste, ki so spremenili nastavitve sledenja in zavrnili zbiranje svojih podatkov.

Tožbe so vložile zvezne države Teksas, Washington, Indiana in okrožje Columbia.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.