Menu

Zijn financiële gegevens gevoelige gegevens?

Financiële gegevens geven zeer veel informatie over een persoon prijs. Zo kan er uit de transactiegeschiedenis van een persoon heel wat worden afgeleid. Denk maar aan maandelijks lidgeld aan een politieke partij, stortingen op een rekening in de Kaaimaneilanden, ziekenhuisfacturen of tickets voor een eroticabeurs. De vraag stelt zich dan ook of die persoonsgegevens ook als gevoelig worden gezien onder artikel 9 van de AVG.

27-04-2021 -

De AVG neemt financiële gegevens niet expliciet op als gevoelig persoonsgegeven en verwijst tenslotte naar gegevens die betrekking hebben tot ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid of seksueel gedrag. Ook de Richtlijn betreffende betalingsdiensten in de interne markt (“PSD2”) biedt op dat punt geen soelaas. Zij definieert gevoelige betalingsgegevens als gegevens waarmee fraude gepleegd kan worden en roept daarmee een richtlijn-specifieke definitie in het leven die niet in het licht van de AVG geïnterpreteerd moet worden.

Het is moeilijk te betwisten dat de hiervoor aangehaalde voorbeelden van transactiegegevens als gevoelig te kwalificeren zijn, gelet op de inzichten die ze bieden. Minder duidelijk is bijvoorbeeld informatie over iemands sociale situatie, schulden of spaargedrag. Enige aanwijzing kon al gevonden worden in de DPIA-richtlijnen van Werkgroep 29, de voorloper van de EDPB, die stellen dat financiële gegevens gevoelig zijn wanneer hun schending een vergaande impact kan hebben op het dagelijkse leven van de betrokkene. Ook de recente EDPB-richtlijnen over de interactie tussen de AVG en PSD2 scheppen duidelijkheid. Zo wordt er gesteld dat de kans aannemelijk is dat een financiële dienstverlener die de transactiegeschiedenis van een betrokkene verwerkt, ook gevoelige persoonsgegevens verwerkt.

Met uitzondering van gegevens die eventueel betrekking hebben op strafbare feiten die verwerkt kunnen worden op grond van anti-witwas wetgeving, brengt de kwalificatie van financiële gegevens als gevoelige persoonsgegevens vergaande gevolgen met zich mee voor de financiële instelling. Verwerking van die gegevens is tenslotte verboden als de verantwoordelijke zich niet op een van de uitzonderingsgronden kan beroepen, waarvan uitdrukkelijke toestemming de enige uitzonderingsgrond met enige relevantie in de fintech-sector lijkt. Het is een interessante vraag hoe zich dat verhoudt met de grondslag voor verwerkingen onder PSD2, die steeds de uitvoering van de overeenkomst is. De kwalificatie van sommige financiële gegevens als gevoelig zou dus betekenen dat er hier een onmogelijkheid ontstaat, aangezien de uitvoering van de overeenkomst geen verwerkingsgrond is voor gevoelige persoonsgegevens.

Meer informatie? Check onze publicatie ‘Tijdschrift Privacy & Persoonsgegevens’.

Ook interessant

Recht

Privacy en gegevensbescherming van de werknemer in de private en publieke sector (P&P)

Koen Naert

Bestel

Recht

Privacy en Gedragsverandering (P&P)

Kurt Penninck

Bestel

Recht

Privacy & Persoonsgegevens: Handleiding voor een goed cookiebeleid

Bart Van den Brande
Matthias Vandamme

Bestel

Recht

Privacy & Persoonsgegevens: Cahier: GDPR in vraag & antwoord

Tom De Schepper
Miet Remans
Ward Van Hal

Bestel

Recht

Tijdschrift Privacy & Persoonsgegevens

Frederic Debusseré
Vincent Dooms
Isabel Plets
Frankie Schram
Brendan Van Alsenoy
Laura De Boel
Griet Verhenneman

Bestel

Recht

Big Data Rapport

Cliff Beeckman
Frank De Smet
Dieter Verhaeghe

Bestel