De GDPR maakt een onderscheid tussen gewone persoonsgegevens en bijzondere categorieën van persoonsgegevens. Sommige gegevens van een individu zijn zo gevoelig van aard, dat ze extra bescherming krijgen van de GDPR. Om bijzondere categorieën van persoonsgegevens te verwerken moet je als verwerker of verwerkingsverantwoordelijke aan strengere voorwaarden voldoen in vergelijking met de verwerking van gewone persoonsgegevens. Sterker nog, verwerking ervan is zelfs verboden, tenzij je kan terugvallen op een wettelijke uitzonderingsgrond.
Gevoelig is al snel bijzonder
Vaak omschrijft men deze ‘bijzondere categorieën van persoonsgegevens’ ook als ‘gevoelige gegevens’. ‘Gevoelige gegevens’ staat als dusdanig echter niet in de GDPR zelf, al zal je het wel op die manier in de praktijk tegenkomen. We moeten er ons echter van bewust zijn dat wat voor de ene gevoelig is, dat misschien niet is voor de andere. Het heeft daar dan ook niets mee te maken, maar wel met gevoeligheid in de betekenis dat, bij eventueel misbruik, er een veel grotere impact kan zijn op de privacy van een individu.
Het uitgangspunt is dan ook dat verwerking van dergelijke gegevens verboden is, maar er zijn een aantal welbepaalde situaties (zogenoemde “wettelijke uitzonderingen”) voorzien in de GDPR waarin de verwerking van deze gegevens tóch mogelijk is.
Maar wat is bijzonder?
Welke persoonsgegevens vallen dan in deze bijzondere categorieën? Wel, dat zijn er heel wat. Vanuit een vermoeden van gevoeligheid, definieert de GDPR de volgende soorten van persoonsgegevens als bijzondere persoonsgegevens:
- Persoonsgegevens waaruit iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen blijken;
- Lidmaatschap van een vakbond;
- Gezondheidsgegevens;
- Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
- Persoonsgegevens mbt strafrechtelijke veroordelingen en strafbare feiten
- Genetische gegevens;
- Biometrische gegevens die enkel worden verwerkt om een persoon te identificeren.
Aangezien een bijzonder regime gecreëerd wordt voor deze gegevens, moet je deze lijst dan ook als volledig te beschouwen. Er zijn geen andere gegevens die de GDPR als gevoelig kwalificeert.
Dit betekent dat bv. bankkaartgegevens, hoewel het denkbaar is dat dit soms indruist tegen de intuïtie van mensen, niet tot deze speciale categorie van gegevens behoren.
Hou er echter wel rekening mee dat deze soorten op zich zeer ruim worden geïnterpreteerd! Een brede interpretatie sluit immers aan bij het streven van de GDPR naar een zo ruim mogelijke persoonsgegevensbescherming.
Zo zijn gezondheidsgegevens eigenlijk alle gegevens die iets zeggen over iemands gezondheidstoestand. Zelfs de loutere vaststelling dat iemand gezond is, is dus een bijzonder persoonsgegeven.
Bovendien verhindert deze kwalificatie niet dat je dezelfde beschermingsgraad biedt aan andere, gewone persoonsgegevens. Integendeel, de GDPR legt een minimumbescherming op, dus extra data beveiliging in sommige gevallen echt wel aangewezen zijn.
Wat met biometrische gegevens?
Wat kan je trouwens verstaan onder biometrische gegevens? Het gaat om fysieke, fysiologische of gedragsgerelateerde kenmerken van een persoon die het mogelijk maken om die persoon eenduidig te identificeren of diens identificatie te bevestigen. De twee schoolvoorbeelden hier zijn vingerafdrukken en gezichtsherkenning.
De Gegevensbeschermingsautoriteit (GBA) benadrukt dat hun bijzonder gevoelig karakter te wijten is aan het feit dat ze uniek en onvervangbaar zijn. Dit in tegenstelling tot bijvoorbeeld een wachtwoord.
Als onderneming kan je daarom niet zomaar werknemers onderwerpen aan biometrische procedures opdat ze toegang zouden kunnen krijgen tot computers, lokalen of werkplekapplicaties. Doe je het toch, zorg er dan voor dat je kan aantonen dat ernstige redenen dit rechtvaardigen. Is er immers een meer privacyvriendelijke manier mogelijk, dan ga je geen vingerafdrukidentificatie mogen implementeren. Bovendien moet een onderneming voorkeur geven aan systemen die de werknemers een exclusieve controle garanderen over hun ‘biometrisch profiel’. Dat kan bijvoorbeeld door de biometrische gegevens op te slagen op een beveiligde mobiele drager (bv. een chipkaart) die de werknemer dan moet bewaren. Op die manier wordt de controle van de werknemer op zijn eigen biometrische gegevens, en dus op zijn privacy, immers vergroot.
Wettelijke uitzonderingen?
Wat zijn dan die wettelijke uitzonderingssituaties waarin de verwerking van deze bijzondere categorieën van persoonsgegevens toch mogelijk zijn? Het volstaat dat aan één van de onderstaande omstandigheden is voldaan:
- de betrokkene heeft er uitdrukkelijk mee ingestemd (toestemming);
- de verwerking is noodzakelijk op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht;
- de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene die fysiek of juridisch niet in staat is zijn toestemming te geven;
- de verwerker is actief op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied;
- de gegevens zijn door de betrokkene zelf openbaar gemaakt;
- de verwerking is noodzakelijk in het kader van een rechtsvordering;
- de verwerking is noodzakelijk wegens zwaarwegend algemeen wettelijk belang;
- de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, medische diagnosen, of het verstrekken van gezondheidszorg;
- de verwerking is noodzakelijk in het algemeen belang voor de volksgezondheid;
- de verwerking is noodzakelijk voor de archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of statistische doeleinden.
Let wel op! Vanaf er een wettelijke uitzonderingsgrond toepasselijk is, kan je niet opeens zomaar gaan doen wat je wil met die gegevens. Bij de gegevensverwerking zal je nog steeds rekening moeten houden met de andere verplichtingen die de GDPR oplegt. Denk maar aan de algemene beginselen, zoals transparantie, doelbinding, minimale gegevensverwerking, … Meer leesvoer hierover krijg je binnenkort in een volgende blog!
Toestemming
De eerste wettelijke uitzonderingsgrond (toestemming) lijkt de minst ingewikkelde. Je zou gevoelige gegevens van iemand kunnen verwerken wanneer die persoon daar uitdrukkelijk mee heeft ingestemd. Wanneer je geen andere wettelijke uitzonderingsgrond kan inroepen, gaat men meestal proberen terug te vallen op deze grond.
Let wel op: die toestemming moet geïnformeerd, specifiek, vrij en ondubbelzinnig zijn. Toch niet zo eenvoudig dus!
Enkele andere voorbeelden
Een werkgever kan in een aanwervingsprocedure vragen naar etnische gegevens indien er een wettelijke verplichting op hem zou rusten inzake diversiteit. Is die verplichting er niet, dan kan het enkel wanneer de sollicitant daarmee instemt.
De toekomstige werkgever kan in elk geval niet vragen naar het politieke- of vakbondslidmaatschap tenzij dan weer in het uitzonderingsgeval dat de werkgever zelf een politieke partij, vakbond of ziekteverzekeraar is. Organisaties die dus zelf hun business oriënteren rond een duidelijke vakbonds-, politieke of religieuze visie, kunnen immers van hun werknemers verwachten dat ze trouw zijn aan hun principes.
Een kerncentrale die voor de toegang van de werknemers vingerafdrukidentificatie vereist zou zich voor de verwerking van deze biometrische gegevens kunnen beroepen op de noodzaak van het algemeen belang. Meer precies, de preventie van kernrampen. Hoe delicater de risico’s zijn wanneer onbevoegde personen zouden binnentreden, hoe meer kans je hebt om geldig een biometrische procedure te gebruiken. Een supermarkt daarentegen die aan de ingang een camera met gezichtsherkenning plaatst om klanten te identificeren, zal het enorm moeilijk hebben hier voldoende rechtvaardiging voor te vinden.
Lokale verschillen tussen de lidstaten
Over de verwerking van genetische gegevens, biometrische gegevens en gezondheidsgegevens zegt de GDPR dat de lidstaten van de EU bijkomende voorwaarden, waaronder beperkingen, kunnen opleggen. Er zullen dus per lidstaat nog steeds verschillen bestaan qua gegevensbeschermingsreglementering omtrent deze gegevens. Vandaar het belang het nationaal recht goed na te gaan.
Een voorbeeld in België uit de gezondheidszorg: de Wet van 22 augustus 2002 betreffende de rechten van de patiënt die enkele specifieke voorwaarden oplegt met betrekking tot het patiëntendossier.
Conclusie
Het is sowieso niet eenvoudig om persoonsgegevens op een correcte manier te verwerken. Voor bepaalde categorieën van persoonsgegevens is het echter nog moeilijker door een principieel verwerkingsverbod. Of je kan terugvallen op een van de wettelijke uitzonderingsgronden is dan immers opnieuw een juridische afweging, waarbij je rekening moet houden met de impact op de privacybelangen van het individu.
Vind je het moeilijk om deze afwegingen te maken? Neem contact met onze specialisten via hallo@dejuristen.be.
Geschreven door Larissa De Keyser, Trainee deJuristen, en Kris Seyen, Partner deJuristen
