Gevoelige gegevens
Sommige gegevens zijn zo delicaat dat ze alleen in heel specifieke gevallen mogen worden verwerkt. Een naam en adres zijn eerder onschuldige gegevens, maar dat geldt niet voor bv. ras, gezondheid, politieke opvattingen, religieuze overtuigingen, seksuele voorkeuren of uw gerechtelijk verleden.
De AVG en de Kaderwet voorzien een verhoogde bescherming bij het gebruik en de verwerking van volgende gevoelige persoonsgegevens:
- de bijzondere categorieën van persoonsgegevens zoals vermeld in artikel 9.1 AVG, meer bepaald:
- ras of etnische afkomst;
- politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond;
- genetische gegevens (bv. een DNA analyse) (zie ook overweging 34 bij de AVG);
- biometrische gegevens met het oog op unieke identificatie (bv. vingerafdrukgegevens of iris- of gelaatsherkenning);
- gezondheidsgegevens (zie ook overweging 35 bij de AVG);
- gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.
- persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (artikel 10 AVG)
Voor de bijzondere categorieën van persoonsgegevens uit artikel 9.1 van de AVG geldt een principieel verwerkingsverbod. Op dit principieel verbod voorziet artikel 9.2 van de AVG niettemin een aantal uitzonderingen, hetzij welbepaalde situaties waarin de verwerking van deze gevoelige gegevens toch is toegelaten zoals:
- de betrokkene heeft er uitdrukkelijk mee ingestemd;
- de verwerking is noodzakelijk ter uitvoering van verplichtingen ingevolge het arbeidsrecht of het sociale zekerheids- en sociale beschermingsrecht;
- de verwerking is noodzakelijk ter bescherming van vitale belangen;
- verwerkingen door verenigingen en instanties -werkzaam op politiek; levensbeschouwelijk, godsdienstig of vakbondsgebied- met betrekking tot hun leden; de gegevens mogen niet aan derden worden meegedeeld zonder toestemming van de betrokkenen;
- de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang door of krachtens de wet;
- de verwerking is noodzakelijk voor het verstrekken van gezondheidszorg;
- voor archivering in het algemeen belang of wetenschappelijk, historisch of statistisch onderzoek
De persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of de daarmee verband houdende veiligheidsmaatregelen (bv. een rijverbod en/of boete opgelegd door de politierechter ingevolge overdreven snelheid of alcoholintoxicatie of een veroordeling tot een gevangenisstraf voor diefstal met geweld), mogen -ingevolge het door artikel 10 van de Kaderwet uitgevoerde artikel 10 van de AVG- enkel worden verwerkt in volgende gevallen:
- door natuurlijke of rechtspersonen voor zover noodzakelijk voor het beheer van hun eigen geschillen;
- door advocaten of juridische raadgevers voor zover de verdediging van de belangen van hun cliënten dit vereist;
- de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang voor een door of krachtens de wet voorgeschreven taak van algemeen belang (bv. de regeling omtrent het Centraal Strafregister in het Wetboek van Strafvordering);
- de verwerking is noodzakelijk voor wetenschappelijk, historisch of statistisch onderzoek;
- de betrokkene heeft er uitdrukkelijk en schriftelijk mee ingestemd;
- voor een doeleinde in het kader waarvan de betrokkene de gegevens zelf heeft openbaar gemaakt.
Bovenop de gebruikelijk bij gegevensverwerking in acht te nemen waarborgen, moet een verwerkingsverantwoordelijke ten aanzien van een verwerking van ‘gevoelige’ persoonsgegevens volgende bijkomende maatregelen nemen:
- De verwerking van de bijzondere categorieën van persoonsgegevens van artikel 9.1 AVG met het oog op het verstrekken van gezondheidszorg (artikel 9.2.h) AVG) moet gebeuren onder de verantwoordelijkheid van een beroepsbeoefenaar die gebonden is door het beroepsgeheim of door een andere persoon die tot geheimhouding is gehouden;
- Voor elke verwerking van ‘gevoelige’ persoonsgegevens conformeert de verwerkingsverantwoordelijke zich met artikelen 9 en 10, §2 van de Kaderwet, meer bepaald:
- hij duidt de (categorieën van) personen aan -met omschrijving van de hoedanigheid waarin- die de gevoelige persoonsgegevens mogen raadplegen;
- hij houdt deze lijst van (categorieën van) personen ter beschikking van de GBA;
- hij ziet erop toe dat deze personen ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen (bv. via contract).
- Geautomatiseerde individuele besluitvorming (waaronder profilering) kan niet op basis van de bijzondere categorieën van persoonsgegevens uit artikel 9.1 AVG, tenzij de betrokkene er uitdrukkelijk heeft mee ingestemd of zulks om redenen van zwaarwegend algemeen belang door of krachtens de wet wordt voorgeschreven. (zie ook overweging 71 bij de AVG)
- Een verwerkingsverantwoordelijke die ‘gevoelige’ persoonsgegevens verwerkt kan nooit worden vrijgesteld van de verplichting tot het houden van een register van verwerkingsactiviteiten (artikel 30.5 AVG).
- Bij een grootschalige verwerking van ‘gevoelige’ persoonsgegevens moet een verwerkingsverantwoordelijke niet alleen een functionaris voor gegevensbescherming aanduiden, maar zal hij ook steeds een gegevensbeschermingseffectbeoordeling moeten uitvoeren (artikel 35.3.b) AVG).