De achillespees van onze privacy: hoe zit het met blessures van voetballers en privacy?

31 januari 2019 | Privacy

31/01/2019

Neymar, één van de beste en duurste voetballers ter wereld, zou zich opnieuw hebben geblesseerd aan zijn middenvoetsbeentje. Dat is dezelfde blessure die hem reeds meerdere maanden aan de kant heeft gehouden in het verleden. Dit werd gecommuniceerd door zijn club, Paris Saint-Germain. De vraag kan worden gesteld of deze berichtgeving toegelaten is onder de GDPR aangezien het hier om medische persoonsgegevens gaat.

Alvorens dieper kan worden ingegaan op de toelaatbaarheid van dergelijke communicatie, moet worden bekeken welke gegevens nu weer als persoonsgegevens kunnen worden beschouwd en hoe het precies zit met medische persoonsgegevens.

Persoonsgegevens

Samengevat bepaalt de GDPR dat persoonsgegevens alle gegevens zijn die betrekking hebben op een geïdentificeerde of identificeerbare levend, natuurlijk persoon. Heel veel informatie kan dus als een persoonsgegeven worden gekwalificeerd. Denk hierbij aan naam, adres, telefoonnummer, e-mail, foto’s, .. . Ook medische gegevens kunnen als persoonsgegevens worden beschouwd aangezien ze betrekking hebben op een bepaald persoon. De GDPR stelt dat persoonsgegevens mogen worden verwerkt indien bepaalde voorwaarden worden nageleefd. Zo moet de verwerkingsverantwoordelijke, onder andere, een rechtvaardigingsgrond hebben voor de verwerking. Van zodra één van de zes rechtvaardigingsgronden door de verwerkingsverantwoordelijke kan worden ingeroepen, kunnen de persoonsgegevens worden verwerkt voor een bepaald doel.

Medische gegevens

Wanneer het gaat om medische gegevens liggen de kaarten anders. Artikel 9 van de GDPR geeft aan dat de verwerking van bijzondere persoonsgegevens in principe verboden is. Hieronder vallen niet alleen persoonsgegevens waaruit ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of lidmaatschap van een vakbond kunnen worden opgemaakt, maar ook genetische gegevens, biometrische gegevens, gegevens betreffende seksueel gedrag en/of voorkeur en gegevens over gezondheid. Informatie over de blessure van een speler, zou dus niet mogen worden verwerkt door de voetbalclub.

Gelukkig voorziet de GDPR in uitzonderingen. De verwerking van deze medische gegevens is wel toegestaan indien, onder andere, de verwerking noodzakelijk is omwille van verplichtingen en/of rechten uit het arbeidsrecht of het sociale zekerheidsrecht, uitdrukkelijke toestemming werd bekomen, vitale belangen op het spel staan, de informatie door de speler zelf openbaar werd gemaakt of wanneer de verwerking noodzakelijk is voor doeleinden van preventieve of (arbeids)geneeskundige aard. Hieruit kan worden opgemaakt dat voetbalclubs als verwerkingsverantwoordelijken wel degelijk verschillende gronden kunnen inroepen waarop de verwerking mag worden gebaseerd. Tot zover geen probleem dus. De vraag moet echter worden gesteld of het verspreiden van informatie over de blessure van een speler als een verwerking kan worden gekwalificeerd die onder één van bovenstaande uitzonderingen valt.

De enige potentiële uitzonderingsgronden die door de clubs kunnen worden ingeroepen voor het verspreiden van deze informatie lijken de toestemming van de speler en de situatie waarin de voetballer deze informatie zelf openbaar heeft gemaakt. Er dient echter een grote kanttekening te worden gemaakt inzake de toestemming als rechtvaardigingsgrond.

De vrije toestemming

Wanneer de verwerking van persoonsgegevens op toestemming wordt gebaseerd, moet deze vrij, ondubbelzinnig en geïnformeerd gebeuren. De Belgische Gegevensbeschermingsautoriteit en de European Data Protection Board hebben in het verleden reeds aangegeven dat moeilijk van een vrije toestemming kan worden gesproken in een werknemer-werkgever relatie. De werknemer zou zich immers verplicht kunnen voelen om deze toestemming te geven uit angst voor de mogelijke nadelige gevolgen bij een weigering. Aangezien voetbalclubs als werkgever van de spelers worden beschouwd, kunnen medische gegevens dan ook moeilijk worden vrijgegeven op basis van de toestemming van de voetballer. Het zou beargumenteerd kunnen worden dat spelers hun toestemming moeten geven voor het delen van medische gegevens alvorens het contract werd ondertekend met de club omdat op dat moment nog geen sprake is van een ondergeschiktheidsrelatie tussen de partijen. Echter kan je ook hier moeilijk stellen dat dergelijke toestemming vrij zou worden gegeven.

Enkel wanneer de voetballer de medische gegevens zelf openbaar heeft gemaakt, kan worden gesteld dat de club het recht heeft om deze gegevens naar de buitenwereld toe te communiceren, volgens de letter van de wet. Dit strookt uiteraard niet met de normale gang van zaken en zou betekenen dat spelers eerst zelf een aankondiging moeten doen betreffende hun blessure, alvorens hun club hierover kan communiceren.

Is er dan geen andere oplossing? De Belgische uitvoeringswet van de GDPR voorziet in een specifieke uitzondering met betrekking tot het verwerken van persoonsgegevens voor journalistieke doeleinden. Volgens de wet moet hieronder worden verstaan: “De voorbereiding, het verzamelen, opstellen, voortbrengen, verspreiden of archiveren ten behoeve van het informeren van het publiek, met behulp van elke media en waarbij de verwerkingsverantwoordelijke zich de naleving van journalistieke deontologische regels tot taak stelt”. Deze uitzondering laat journalisten toe om persoonsgegevens te verwerken met als doel het informeren van het publiek. De bepaling geeft echter aan dat het moet gaan om verwerkingsverantwoordelijken die zich de naleving van journalistieke deontologische regels tot taak stellen. Ook de voorbereidende werken bij de uitvoeringswet geven aan dat het moet gaan om journalisten. Het lijkt er dus op dat voetbalclubs zich ook niet op deze uitzondering kunnen beroepen, in tegenstelling tot Nederland waar de journalistieke exceptie dit wel lijkt toe te staan. Dit zorgt voor absurde toestanden waarin journalisten informatie over blessures van spelers naar buiten kunnen brengen, maar hun eigen voetbalclubs dit niet zomaar mogen doen.

Bekende spelers

Ten slotte kan ook iets worden gezegd over de bekendheid van voetballers. Hebben supporters niet het recht geïnformeerd te worden over de toestand van de spelers van hun favoriete club? Voetbal is immers big business waarmee heel veel geld gemoeid is. Tot op een zekere hoogte zou je kunnen argumenteren dat bekende voetballers een beperkter recht op privacy hebben en dat hun clubs dus het recht zouden hebben om over hun kwetsuren te communiceren. Deze redenering gaat zeker op wanneer het gaat om wereldsterren zoals Ronaldo, Messi en Neymar. Ook spelers uit de Jupiler Pro League zou je hier eventueel nog onder kunnen plaatsen. Wanneer het echter gaat om spelers uit de lagere klassen, kan deze redenering moeilijk worden doorgetrokken. VCE Huise-Ouwegem uit 4e Provinciale B kan dus moeilijk rechtvaardigen de medische gegevens van hun spelers openbaar te maken.

Privacy-friendly communication

Heeft de GDPR ervoor gezorgd dat voetbalclubs geen informatie meer kunnen delen over de blessures van hun spelers? Naar de letter van de wet lijkt het daar inderdaad op neer te komen. Enkel wanneer de speler zelf de informatie openbaar maakt, kan de voetbalclub hierover communiceren. Het verkrijgen van toestemming van de speler is hier immers moeilijk te rechtvaardigen. Aangezien dit indruist tegen elke vorm van common sense, is een optreden van de wetgever aangeraden. Om in de tussentijd zo privacy-friendly om te gaan met deze zaken, zouden voetbalclubs ervoor kunnen opteren om wel mee te delen dat speler X geblesseerd is voor 3 weken, maar hierbij niet aan te geven wat de precieze blessure is. Hierdoor wordt ook het principe van dataminimalisatie uit de GDPR gerespecteerd. Dit is het zoveelste voorbeeld van een situatie waarin de wetgever onvoldoende heeft geanticipeerd op de mogelijke gevolgen van haar wetgeving. Een rode kaart is hier dan ook zeker op zijn plaats.

Geschreven door Aëgir Snoeck

Onze diensten

Information Technology

Intellectuele Eigendom

Privacy

e-Compliance