Ευαίσθητα Προσωπικά Δεδομένα και GDPR – Τι πρέπει να προσέξετε

Η έλευση του GDPR, έθεσε χωρίς αμφιβολία του κανόνες για την αποφυγή κάθε είδους αυθαιρεσίας, στην επεξεργασία των προσωπικών δεδομένων. Ωστόσο, υπάρχουν ορισμένοι τύποι δεδομένων που ο Γενικός Κανονισμός Προστασίας Δεδομένων θεωρεί ευαίσθητα προσωπικά δεδομένα. Ως εκ τούτου τα ταξινομεί στην ειδική κατηγορία προσωπικών δεδομένων.

Ποιες είναι οι ειδικές κατηγορίες προσωπικών δεδομένων;

Ο GDPR προσδιορίζει σαφώς ποια δεδομένα θεωρούνται ευαίσθητα προσωπικά δεδομένα και εμπίπτουν στην ειδική αυτή κατηγορία:

  • Δεδομένα που σχετίζονται με φυλετική ή εθνική καταγωγή.
  • Πολιτικές πεποιθήσεις.
  • Θρησκευτικές ή φιλοσοφικές πεποιθήσεις.
  • Συνδικαλιστική ένταξη.
  • Γενετικά δεδομένα.
  • Βιομετρικά δεδομένα με σκοπό τη μοναδική ταυτοποίηση ενός φυσικού προσώπου.
  • Δεδομένα υγείας.
  • Δεδομένα που αφορούν τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό ενός ατόμου.

Η επεξεργασία των παραπάνω τύπων δεδομένων απαγορεύεται από τον GDPR. Ωστόσο, υπάρχουν ορισμένες εξαιρέσεις στον κανόνα.

Ευαίσθητα Προσωπικά Δεδομένα και GDPR: Εξαιρέσεις από την απαγόρευση επεξεργασίας ευαίσθητων προσωπικών δεδομένων.

Υπάρχουν ορισμένες ορισμένες εξαιρέσεις στην απαγόρευση επεξεργασίας δεδομένων ειδικής κατηγορίας.
Όπου επιτρέπεται από τη νομοθεσία της Ένωσης ή του κράτους μέλους και πραγματοποιείται βάσει ειδικών διασφαλίσεων για την προστασία των προσωπικών δεδομένων και άλλων θεμελιωδών δικαιωμάτων, τα ευαίσθητα προσωπικά δεδομένα μπορούν να υποβληθούν σε επεξεργασία στον τομέα:

  • Εργατικό δίκαιο.
  • Νόμος κοινωνικής προστασίας (συμπεριλαμβανομένων των συντάξεων).
  • Λόγοι ασφάλειας υγείας.
  • Προστασία ζωτικού συμφέροντος του υποκειμένου των δεδομένων.
  • Δημόσια υγεία και διαχείριση υπηρεσιών υγείας στο πλαίσιο νομικής αξίωσης.
  • Αρχειοθέτηση, έρευνα και στατιστικές (εάν επιτρέπεται από το νόμο).
  • Δημόσιο συμφέρον.

Η αιτιολογική σκέψη 52 εξηγεί ότι η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα μπορεί να επιτρέπεται όταν επιτρέπεται από τη νομοθεσία της Ένωσης ή του κράτους μέλους, εάν τα ευαίσθητα δεδομένα προστατεύονται από κατάλληλες διασφαλίσεις και εάν προστατεύονται τα άλλα θεμελιώδη δικαιώματα.

Τα ευαίσθητα δεδομένα μπορούν επίσης να υποβληθούν σε επεξεργασία εάν είναι προς το δημόσιο συμφέρον, στον τομέα του εργατικού δικαίου, του δικαίου κοινωνικής προστασίας, συμπεριλαμβανομένων των συντάξεων και για λόγους ασφάλειας υγείας, παρακολούθησης και επαγρύπνησης, την πρόληψη ή τον έλεγχο μεταδοτικών ασθενειών και άλλες σοβαρές απειλές για υγεία.

Ευαίσθητα Προσωπικά Δεδομένα και GDPR: Σε ποιες περιπτώσεις μπορεί να γίνει επεξεργασία των ευαίσθητων προσωπικών δεδομένων;

1. Ρητή συγκατάθεση.

Η επεξεργασία ευαίσθητων προσωπικών δεδομένων είναι δυνατή εάν το υποκείμενο των δεδομένων έχει δώσει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων.

Ένα άτομο μπορεί να δώσει ρητή συγκατάθεση για έναν ή περισσότερους καθορισμένους σκοπούς, εκτός εάν η Ευρωπαϊκή Ένωση ή το κράτος μέλος αποφασίσει ότι η απαγόρευση δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων.

2. Απασχόληση, κοινωνική ασφάλιση και κοινωνική προστασία.

Εάν η επεξεργασία ευαίσθητων δεδομένων επιτρέπεται από το νόμο και είναι απαραίτητη για την άσκηση των δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων. Ή εάν είναι απαραίτητο για την εκπλήρωση των υποχρεώσεων που σχετίζονται με το εργασιακό, την κοινωνική ασφάλιση και το δίκαιο κοινωνικής προστασίας.

Σε κάθε περίπτωση, πρέπει να υπάρχουν επαρκείς εγγυήσεις για την προστασία των θεμελιωδών δικαιωμάτων και συμφερόντων του υποκειμένου των δεδομένων.

3. Ζωτικά συμφέροντα.

Ενδέχεται να υποβληθούν σε επεξεργασία ευαίσθητα δεδομένα, εάν είναι ζωτικής σημασίας για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου ατόμου και το υποκείμενο των δεδομένων είναι φυσικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή του.

4. Μη κερδοσκοπικοί φορείς.

Εάν η επεξεργασία πραγματοποιείται με τις κατάλληλες διασφαλίσεις από ίδρυμα, σωματείο ή οποιονδήποτε άλλο μη κερδοσκοπικό φορέα με πολιτικό, φιλοσοφικό, θρησκευτικό ή συνδικαλιστικό σκοπό.
Με την προϋπόθεση ότι η επεξεργασία αφορά μόνο τα μέλη, τα πρώην μέλη ή τα άτομα που έχουν τακτική επαφή μαζί της σχετικά με τους σκοπούς της.

Ο μη κερδοσκοπικός οργανισμός πρέπει να διασφαλίσει ότι τα προσωπικά δεδομένα δεν αποκαλύπτονται εκτός αυτού του φορέα χωρίς την κατάλληλη συναίνεση των υποκειμένων των δεδομένων.

5. Πληροφορίες που δημοσιοποιούνται από το ίδιο το υποκείμενο των δεδομένων.

Επιτρέπεται η επεξεργασία ευαίσθητων προσωπικών δεδομένων ενός υποκειμένου των δεδομένων εάν το υποκείμενο των δεδομένων έχει ήδη κάνει τα δεδομένα δημόσια και προσβάσιμα.

6. Νομικές αξιώσεις ή δικαστικές πράξεις.

Η επεξεργασία δεδομένων είναι απαραίτητη για τη θεμελίωση, άσκηση ή υπεράσπιση νομικών αξιώσεων ή όποτε τα δικαστήρια ενεργούν υπό τη δικαστική τους ιδιότητα. Είτε σε δικαστική διαδικασία είτε σε διοικητική ή εξώδικη διαδικασία.

7. Δημόσιο συμφέρον.

Η επεξεργασία ευαίσθητων δεδομένων επιτρέπεται εάν διακυβεύεται σημαντικό δημόσιο συμφέρον. Ωστόσο, η επεξεργασία θα πρέπει να επιτρέπεται από το νόμο και ανάλογη με τον επιδιωκόμενο στόχο.

Η επεξεργασία θα πρέπει επίσης να διενεργείται σε σχέση με το δικαίωμα προστασίας δεδομένων και να παρέχει μέτρα διασφάλισης των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

8. Περιπτώσεις υγείας ή κοινωνικής φροντίδας.

Η επεξεργασία είναι απαραίτητη για τους σκοπούς της προληπτικής ή επαγγελματικής ιατρικής, για την αξιολόγηση:

  • Η ικανότητα εργασίας του εργαζομένου.
  • Ιατρική διάγνωση.
  • Η παροχή υγειονομικής και κοινωνικής φροντίδας.
  • Παροχή υγειονομικής περίθαλψης.
  • Διαχείριση της υγείας.
  • Διαχείριση συστημάτων και υπηρεσιών κοινωνικής φροντίδας.

Αυτή η επεξεργασία πρέπει να επιτρέπεται από τη νομοθεσία της Ένωσης ή του κράτους μέλους ή βάσει σύμβασης με επαγγελματία υγείας. Πρέπει να παρέχονται πρόσθετες διασφαλίσεις για την προστασία ευαίσθητων δεδομένων.

Ο GDPR αναφέρει επίσης ότι τα κράτη μέλη μπορούν να προσθέσουν περαιτέρω ειδικούς όρους και περιορισμούς για γενετικά, βιομετρικά δεδομένα ή δεδομένα υγείας.

Η αιτιολογική σκέψη 53 ασχολείται με την επεξεργασία ευαίσθητων δεδομένων στον τομέα της υγείας και του κοινωνικού τομέα.

9. Περιπτώσεις δημόσιας υγείας.

Η επεξεργασία ευαίσθητων δεδομένων στοχεύει στην πρόληψη ή τον έλεγχο μεταδοτικών ασθενειών και άλλων απειλών για την υγεία.

Αυτό το είδος επεξεργασίας στοχεύει σε διασυνοριακές απειλές για την υγεία και διασφαλίζει υψηλά πρότυπα ασφάλειας της υγειονομικής περίθαλψης, των φαρμακευτικών προϊόντων ή των ιατροτεχνολογικών προϊόντων.

Η επεξεργασία στο όνομα της δημόσιας υγείας πρέπει να βασίζεται στη νομοθεσία της ΕΕ ή του κράτους μέλους με κατάλληλα μέτρα και εγγυήσεις για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ιδίως του επαγγελματικού απορρήτου.

10. Αρχειοθέτηση, έρευνα και στατιστικές.

Σε περίπτωση που η επεξεργασία γίνεται για:

  • Σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον.
  • Επιστημονική ή ιστορική έρευνα.
  • Στατιστικούς σκοπούς.

Η επεξεργασία γίνεται σύμφωνα με το άρθρο 89 παράγραφος 1 και βασίζεται στη νομοθεσία, η οποία είναι ανάλογη με τον στόχο που θέλει να επιτευχθεί και με συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

Ευαίσθητα Προσωπικά Δεδομένα και GDPR: Ποια είναι η διαφορά μεταξύ προσωπικών δεδομένων και ευαίσθητων προσωπικών δεδομένων;

Η διαφορά μεταξύ προσωπικών δεδομένων και ευαίσθητων προσωπικών δεδομένων είναι ότι η επεξεργασία ευαίσθητων προσωπικών δεδομένων απαιτεί πρόσθετη προστασία που παρέχεται από τον GDPR, καθώς η επεξεργασία αυτών των τύπων δεδομένων μπορεί να ενέχει σοβαρούς και απαράδεκτους κινδύνους για τα θεμελιώδη ανθρώπινα δικαιώματα και ελευθερίες.

Επίσης, για εσάς ως υπεύθυνο επεξεργασίας ή επεξεργασίας, εφαρμόζονται διαφορετικά σύνολα κανόνων κατά την επεξεργασία ειδικών κατηγοριών δεδομένων.

Ταυτόχρονα, τα κράτη μέλη μπορούν επίσης να θεσπίσουν περαιτέρω όρους, συμπεριλαμβανομένων περιορισμών, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία.

Παραδείγματα ειδικής κατηγορίας δεδομένων.

Κατά τη διερεύνηση της λίστας με τα δεδομένα που θεωρούνται ευαίσθητα προσωπικά δεδομένα, εισάγονται νέοι όροι και ως εκ τούτου χρειάζονται περαιτέρω διευκρίνιση.

Παραδείγματα βιομετρικών δεδομένων:

  • Αναγνώριση προσώπου.
  • Δακτυλικά αποτυπώματα.
  • Αναγνώριση φωνής.
  • Σάρωση ίριδας.
  • Επαλήθευση παλάμης.
  • Αναγνώριση αμφιβληστροειδούς.

Είναι οι φωτογραφίες ευαίσθητα προσωπικά δεδομένα;

Σύμφωνα με την αιτιολογική σκέψη 51, οι φωτογραφίες θεωρούνται βιομετρικά δεδομένα μόνο όταν υποβάλλονται σε επεξεργασία με συγκεκριμένο μέσο που επιτρέπει τη μοναδική αναγνώριση ενός ατόμου στη φωτογραφία, παρά το γεγονός ότι η φωτογραφία μπορεί να αποκαλύψει τη φυλετική ταυτότητα κάποιου ή άλλες ευαίσθητες πληροφορίες.

Παραδείγματα δεδομένων υγείας:

  • Πληροφορίες που συγκεντρώθηκαν κατά το check-in ή την εγγραφή σε υγειονομική μονάδα ή κατά τη διάρκεια της αίτησης για ιατρική περίθαλψη.
  • Ιατρικό ιστορικό ασθενούς.
  • Πληροφορίες για οποιαδήποτε αναπηρία, ασθένεια, ιατρική διάγνωση, ιατρική θεραπεία, ιατρικές γνωματεύσεις.
  • Αποτελέσματα υγειονομικών εξετάσεων, ιατρική εξέταση.
  • Δεδομένα παρακολούθησης φυσικής κατάστασης.
  • Λεπτομέρειες ραντεβού.
  • Ιατρικά τιμολόγια από τα οποία μπορείτε να μάθετε λεπτομέρειες για την υγεία των ατόμων.

Παραδείγματα γενετικών δεδομένων:

  • Χρωμοσωμική ανάλυση.
  • Ανάλυση δεοξυριβονουκλεϊκού οξέος (DNA).
  • Ανάλυση ριβονουκλεϊκού οξέος (RNA).

Βήματα που πρέπει να ληφθούν κατά την επεξεργασία ευαίσθητων προσωπικών δεδομένων.

1. Εξετάστε εναλλακτικές λύσεις.

Κατά την επεξεργασία ευαίσθητων προσωπικών δεδομένων, το πρώτο πράγμα είναι να βεβαιωθείτε ότι δεν υπάρχει άλλος τρόπος για την επίτευξη του επιθυμητού στόχου που θα ήταν λιγότερο παρεμβατικός στα ευαίσθητα προσωπικά δεδομένα του ατόμου.

2. Διασφαλίστε τη νομιμότητα της επεξεργασίας.

Για να είναι νόμιμη η επεξεργασία, πρέπει να συμμορφώνεστε με το Άρθρο 6 του GDPR – Νομιμότητα της επεξεργασίας.
Προσδιορίστε τη νόμιμη βάση για την επεξεργασία προσωπικών δεδομένων στη συγκεκριμένη περίπτωσή σας και βεβαιωθείτε ότι η επεξεργασία σας γίνεται σύμφωνα με τις αρχές GDPR.

3. Προσδιορίστε την εξαίρεση.

Ελέγξτε το άρθρο 9 και προσδιορίστε ποιες από τις 10 πιθανές εξαιρέσεις για την επεξεργασία ευαίσθητων προσωπικών δεδομένων ισχύουν για την περίπτωσή σας.

Εάν δεν μπορείτε να βρείτε μια κατάλληλη εξαίρεση για την περίπτωσή σας, τότε δεν θα μπορείτε να επεξεργαστείτε ευαίσθητα δεδομένα.

4. Προσδιορίστε τις επιπλέον προϋποθέσεις.

Εάν εντοπίσατε την κατάλληλη εξαίρεση, υπάρχουν λίγες από αυτές που απαιτούν περαιτέρω υποστήριξη στο δίκαιο της ΕΕ ή στο δίκαιο των κρατών μελών.

Εάν θέλετε να βεβαιωθείτε ότι η επεξεργασία είναι συμβατή, επικοινωνήστε με την εποπτική αρχή σας και βεβαιωθείτε ότι εξοικειωθείτε με τον κανονισμό και τους νόμους που διέπουν τον τομέα του ενδιαφέροντός σας για να πληροίτε πρόσθετους όρους.

Λάβετε αυτό υπόψη κατά την επεξεργασία δεδομένων που σχετίζονται με την απασχόληση, την κοινωνική ασφάλιση και την κοινωνική προστασία. ευαίσθητα δεδομένα προς το δημόσιο συμφέρον δεδομένα σχετικά με την υγεία, την κοινωνική περίθαλψη ή τη δημόσια υγεία και την αρχειοθέτηση της έρευνας και των στατιστικών.

5. Εξοικειωθείτε με τις υποχρεώσεις σας.

Η επεξεργασία ειδικών κατηγοριών δεδομένων μπορεί να συνεπάγεται άλλες υποχρεώσεις, όπως διορισμό ΥΠΔ (DPO), διεξαγωγή Εκτίμησης Αντίκτυπου σχετικά με την Προστασία Δεδομένων (ΕΑΠΔ), συμμόρφωση με το άρθρο 22 σχετικά με την αυτοματοποιημένη λήψη ατομικών αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, και την εφαρμογή κατάλληλων μέτρων για τη διασφάλιση των δικαιωμάτων, ελευθεριών και νόμιμων του υποκειμένου των δεδομένων τα ενδιαφέροντα.

Φροντίστε να είστε εξοικειωμένοι με όλες τις υποχρεώσεις σας. Η επεξεργασία δεδομένων ειδικής κατηγορίας μπορεί να επηρεάσει τις άλλες υποχρεώσεις σας, ιδίως την ανάγκη τεκμηρίωσης.

6. Διεξάγετε την Εκτίμηση Αντίκτυπων Επιπτώσεων των Δεδομένων (ΕΑΠΔ).

Το επόμενο βήμα θα είναι να αξιολογήσετε εάν χρειάζεται να ολοκληρώσετε μια εκτίμηση αντίκτυπων στην προστασία δεδομένων (ΕΑΠΔ) για οποιοδήποτε είδος επεξεργασίας που είναι πιθανό να είναι υψηλού κινδύνου. Η διεξαγωγή μιας DPIA είναι μια σημαντική πτυχή των υποχρεώσεων λογοδοσίας του GDPR ενός οργανισμού.

7. Τεκμηριώστε τα πάντα.

Τεκμηριώστε ολόκληρη τη διαδικασία και ενημερώστε τις σημειώσεις του απορρήτου σας, συμπεριλαμβανομένων όλων των σχετικών πληροφοριών σχετικά με την επεξεργασία δεδομένων ειδικής κατηγορίας.

8. Πραγματοποιήστε επιπλέον βήματα.

Επικοινωνήστε με την εποπτική αρχή σας (Αρχή Προστασίας Δεδομένων) για να μάθετε εάν υπάρχουν πρόσθετοι περιορισμοί εάν επεξεργάζεστε γενετικά δεδομένα, βιομετρικά δεδομένα ή δεδομένα που αφορούν την υγεία. Ειδικότερα με αυτή τη μέθοδο, θα μπορείτε να είστε ακόμα πιο σίγουροι πως κινήστε πάντοτε σε νόμιμα πλαίσια.

Ευαίσθητα Προσωπικά Δεδομένα και GDPR: Εν κατακλείδι.

Από όλα τα παραπάνω, γίνεται άμεσα αντιληπτό πως η επεξεργασία ευαίσθητων προσωπικών δεδομένων, πραγματοποιείται αυστηρά σε πολύ ιδιαίτερες περιπτώσεις. Με τη τήρηση των κανόνων όπως ορίζει ο GDPR, πραγματοποιείτε ένα ακόμα σημαντικό βήμα ως προς την αξιοπιστία των πρακτικών που χρησιμοποιεί ο οργανισμός σας.

Tags: ,