De AVG neemt financiële gegevens niet expliciet op als gevoelig persoonsgegeven en verwijst tenslotte naar gegevens die betrekking hebben tot ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid of seksueel gedrag. Ook de Richtlijn betreffende betalingsdiensten in de interne markt (“PSD2”) biedt op dat punt geen soelaas. Zij definieert gevoelige betalingsgegevens als gegevens waarmee fraude gepleegd kan worden en roept daarmee een richtlijn-specifieke definitie in het leven die niet in het licht van de AVG geïnterpreteerd moet worden.
Het is moeilijk te betwisten dat de hiervoor aangehaalde voorbeelden van transactiegegevens als gevoelig te kwalificeren zijn, gelet op de inzichten die ze bieden. Minder duidelijk is bijvoorbeeld informatie over iemands sociale situatie, schulden of spaargedrag. Enige aanwijzing kon al gevonden worden in de DPIA-richtlijnen van Werkgroep 29, de voorloper van de EDPB, die stellen dat financiële gegevens gevoelig zijn wanneer hun schending een vergaande impact kan hebben op het dagelijkse leven van de betrokkene. Ook de recente EDPB-richtlijnen over de interactie tussen de AVG en PSD2 scheppen duidelijkheid. Zo wordt er gesteld dat de kans aannemelijk is dat een financiële dienstverlener die de transactiegeschiedenis van een betrokkene verwerkt, ook gevoelige persoonsgegevens verwerkt.
Met uitzondering van gegevens die eventueel betrekking hebben op strafbare feiten die verwerkt kunnen worden op grond van anti-witwas wetgeving, brengt de kwalificatie van financiële gegevens als gevoelige persoonsgegevens vergaande gevolgen met zich mee voor de financiële instelling. Verwerking van die gegevens is tenslotte verboden als de verantwoordelijke zich niet op een van de uitzonderingsgronden kan beroepen, waarvan uitdrukkelijke toestemming de enige uitzonderingsgrond met enige relevantie in de fintech-sector lijkt. Het is een interessante vraag hoe zich dat verhoudt met de grondslag voor verwerkingen onder PSD2, die steeds de uitvoering van de overeenkomst is. De kwalificatie van sommige financiële gegevens als gevoelig zou dus betekenen dat er hier een onmogelijkheid ontstaat, aangezien de uitvoering van de overeenkomst geen verwerkingsgrond is voor gevoelige persoonsgegevens.
