Conținut
Introducere
Categoriile speciale de date cu caracter personal au un articol dedicat în Regulamentul General privind Protecția Datelor. Ne amintim că RGPD urmărește să protejeze datele cetățenilor împotriva utilizării abuzive sau a scurgerilor de informații. Autoritățile de supraveghere impune sancțiuni severe oricărei companii care împărtășește datele utilizatorilor cu terți fără permisiune sau le prelucrează fără știrea persoanei vizate.
Ce este important de reținut, este că datele pe care GDPR urmărește să le protejeze nu sunt egale în ceea ce privește sensibilitatea sau confidențialitatea. Cu cât datele sunt mai sensibile, mai private, cu atât mai mari sunt măsurile necesare pentru a le prelucra. În acest articol, vom discuta despre categoriile speciale de date cu caracter personal din GDPR și cât de sensibile sunt acestea.
Ce sunt datele cu caracter personal?
În primul rând, ce date putem numi date cu caracter personal?
Datele pe care GDPR le consideră date cu caracter personal sunt datele care indică sau conduc la identificarea unei anumite persoane, cum ar fi un nume, o adresă sau un număr de identificare. Există date care, dacă sunt obținute singure, nu conduc la identificarea persoanelor, dar dacă sunt colectate împreună, vă vor permite să identificați o anumită persoană. În acest caz sunt considerate date cu caracter personal. De exemplu, dacă avem un nume specific, să fie Marian, există multe persoane în orice țară cu acest nume. Dar dacă obținem Marian și Strada Independenței nr 37 aceste două informații ne indică o persoană pe nume Marian care locuiește pe Strada Independenței la nr 37 și aici datele sunt considerate personale deci intră sub incidența GDPR.
Atunci când majoritatea oamenilor se gândesc la date cu caracter personal, se gândesc la nume, numere de telefon și adrese. Cu toate acestea, datele cu caracter personal acoperă o serie întreagă de identificatory. Puteți citi mai multe în articolul dedicate despre date cu caracter personal.
Care sunt datele cu caracter personal din categorii speciale (sensibile)
Acestea sunt date cu caracter personal, dar sunt mai private și au legi și proceduri speciale dedicate în GDPR. Categoriile speciale de date cu caracter personal reprezintă informații confidențiale despre o persoană care nu ar trebui să fie divulgate sau cunoscute de nimeni, deoarece ar putea expune persoana respectivă la un risc real sau la incidente de discriminare. Enumerăm mai jos care sunt categoriile speciale de date cu caracter personal:
- Originea rasială sau etnică,
- opinii politice,
- convingeri religioase sau filozofice,
- apartenența la un sindicat,
- date genetice,
- date biometrice,
- date privind sănătatea (mentală și fizică),
- viața sexuală,
- orientare sexuală.
Datele legate de cele de mai sus sunt considerate date cu caracter personal de categorie specială și vom explica în detaliu fiecare dintre ele.
Datele referitoare la copiii cu vârsta sub 18 ani au, de asemenea, condiții similare cu cele necesare pentru prelucrarea datelor cu caracter personal din categoria specială. Cu toate acestea, nu toate datele referitoare la copiii cu vârsta sub 18 ani se încadrează în categoria datelor cu caracter personal de categorie specială.
Datele din cazierul judiciar au, de asemenea, condiții de prelucrare similare cu cele ale datelor cu caracter personal din categoria specială, deși nu sunt clasificate în categoria datelor cu caracter personal din categoria specială.
Ce înțelege GDPR prin “prelucrare”? Termenul “prelucrare” include, în linii mari, majoritatea lucrurilor care pot fi făcute cu datele, cum ar fi colectarea, înregistrarea, stocarea, modificarea, analiza, utilizarea (inclusiv ca listă de distribuție), partajarea, ștergerea sau distrugerea. Oricare dintre aceste activități intră sub incidența termenului de prelucrare.
De ce datele cu caracter personal din categoria specială sunt atât de sensibile?
Trebuie să evitați prelucrarea datelor cu caracter personal din categoria specială dacă o astfel de prelucrare nu este necesară. Un responsabil cu protecția datelor va sublinia totdeauna în instruirile GDPR, importanța acordării unei atenții sporite acestor prelucrări, întrucât scurgerea oricărei părți, chiar și a unei mici părți din datele cu caracter personal din categoria specială, ar putea expune persoana la rasism sau la orice alt pericol. Dacă trebuie să tratați categoria specială de date cu caracter personal, veți avea nevoie de mai multe măsuri de protecție. Datele din categorie specială pot fi prelucrate numai în anumite circumstanțe pe care le vom prezenta în acest articol. În cazul în care prelucrați aceste date în afara acelor circumstanțe specifice stabilite de GDPR, vor exista sancțiuni și amenzi care pot fi mai mari decât cele care ar fi impuse în cazul unei încălcări normale a datelor cu caracter personal.
Ce sunt datele genetice?
Datele genetice sunt definite în textul GDPR ca fiind:
“date genetice” înseamnă date cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice despre fiziologia sau sănătatea persoanei fizice respective și care rezultă, în special, din analiza unui eșantion biologic de la persoana fizică în cauză”.
Pe baza acestui articol, orice analiză ADN care permite instituției să obțină date care indică originea sau etnia unei persoane este considerată dată genetică. De asemenea, analizele de ARN, deoarece ARN-ul reprezintă codurile care alcătuiesc caracteristicile fizice ale unei persoane.
Eșantionul genetic de la o persoană, dacă nu este analizat, nu este considerat dată cu caracter personal, dar dacă este analizat și se obțin din el date care indică o anumită persoană, atunci, în acest caz, este considerat dată cu caracter personal. Analizele genetice pot identifica o anumită persoană fără a avea nici măcar un nume pe ea, deoarece nu există două persoane cu AND identic, deci datele genetice sunt date cu caracter personal special chiar și fără un nume pe ele.
Ce sunt datele biometrice?
Datele biometrice sunt identificate în contextul GDBR ca fiind:
“date biometrice” înseamnă date cu caracter personal rezultate în urma unei prelucrări tehnice tehnice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, care permit sau confirmă identificarea unică a persoanei fizice respective, cum ar fi imagini faciale sau date dactiloscopice“.
Care este semnificația datelor dactiloscopice? Datele dactiloscopice sunt datele legate de amprentele digitale, orice serviciu sau companie care ia amprentele digitale ale utilizatorilor săi, respectă procedurile de prelucrare a datelor de categorie specială. De exemplu, dacă firma dumneavoastră produce chei de ușă cu amprente, atunci aici trebuie să tratați datele clienților dumneavoastră ca date de categorie specială. Amprenta facială este, de asemenea, o dată biometrică.
Amprentele digitale și amprentele feței nu sunt singurele exemple de date biometrice, orice informație care nu se potrivește între două persoane este considerată dată biometrică. Datele biometrice includ tehnici de identificare biometrică fizică, fiziologică și comportamentală, toate acestea fiind considerate date speciale sau sensibile.
Exemple de date biometrice fizice sau fiziologice:
- scanarea irisului,
- analiza retinei,
- recunoașterea vocii,
- recunoașterea formei urechii.
Orice date biometrice sunt date cu caracter personal și, în multe cazuri, date din categorii speciale, deoarece este posibilă identificarea unei anumite persoane. Dacă prelucrați datele biometrice pentru a identifica o persoană cu scopul de a lua o decizie în privința acesteia sau pentru a o trata într-un mod diferit, în acest caz, datele biometrice vor deveni din date cu caracter personal în date de categorie specială, astfel încât veți avea nevoie de cazuri speciale pentru a le prelucra, astfel cum se menționează la articolul 9 din RGPD.
Datele privind sănătatea – Date speciale cu caracter personal
Datele privind sănătatea sunt descrise în textul GDPR după cum urmează:
“date privind sănătatea înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv furnizarea de servicii de asistență medicală, care dezvăluie informații despre starea de sănătate a acesteia”.
Datele privind sănătatea nu reprezintă doar starea de sănătate actuală a persoanei fizice, ci reprezintă tot ceea ce este legat de istoricul de sănătate al persoanei, cum ar fi bolile cronice, operațiile anterioare, bolile anterioare și analizele medicale.
Datele referitoare la comdamnări penale și infracțiuni
Dacă declarațiile sunt simple acuzații fără o hotărâre definitivă a instanței de condamnare a persoanei, atunci acestea nu sunt considerate date din categoria specială. Cu toate acestea, aceste date trebuie tratate cu prudență.
Originea rasială sau etnică
Această parte are ca scop protejarea persoanelor împotriva discriminării din cauza originii lor. Termenul “origine rasială” se referă la originea genetică a unei persoane, în timp ce termenul “origine etnică” se referă la cultura grupului din care face parte o persoană, care include obiceiurile, istoria și limba acesteia.
Viața sexuală și orientarea sexuală
GDPR urmărește în acest articol să combată orice discriminare rezultată din orientarea sexuală a persoanelor. Orice informație referitoare la orientarea sexuală a unei persoane, cum ar fi dacă persoana este heterosexuală, bisexuală, homosexuală și transsexuală, este tratată ca și dată cu caracter personal de categorie specială. Prin urmare, orice informație despre istoricul căsătoriei unei persoane poate duce la dezvăluirea orientării sexuale a acesteia și, prin urmare, data căsătoriei este, de asemenea, considerată dată cu caracter personal de categorie specială.
Credințele religioase și filozofice
Această parte a GDPR urmărește să protejeze convingerile cetățenilor, astfel încât aceștia să nu fie discriminați. Toate religiile sau credințele seculare intră sub incidența GDPR.
Toate aceste date prezentate mai sus pot fi prelucrate doar în anumite circumstanțe.
10 cazuri în care pot fi prelucrate datele din categorii speciale (datele sensibile)
Categoriile speciale de date cu caracter personal pot fi prelucrate în anumite cazuri, așa cum sunt descrise la articolul 9 din GDPR, iar aceste cazuri sunt:
- Consimțământul explicit. Primul caz în care este permisă prelucrarea categoriilor speciale de date este obținerea consimțământului din partea persoanelor vizate. Consimțământul trebuie să îndeplinească condițiile de bază stabilite de GDPR atunci când se acordă orice consimțământ și anume persoana vizată să își fi dat consimțământul în mod liber, consimțământul să fie clar și declarația să fie revocabilă. Condițiile anterioare sunt condițiile oricărui acord, indiferent dacă acesta este explicit sau nu. Un consimțământ explicit necesită mai multe cerințe decât cele anterioare, cum ar fi:
- consimțământul trebuie să fie aprobat de proprietarul datelor cu o semnătură oficială, fie că este oral sau scris
- trebuie să fie indicat tipul de date private care vor fi prelucrate
- Declarația trebuie să fie separată, ceea ce înseamnă că nu trebuie să existe alte declarații lângă ea.
Trebuie să puteți dovedi că ați obținut consimțământul fără să exploatați proprietarul acestuia. Dacă furnizați un serviciu cuiva și există o altă soluție pentru a furniza acest serviciu decât prelucrarea datelor din categoria specială, atunci nu aveți dreptul să obțineți un consimțământ explicit și să prelucrați datele respective. De exemplu, dacă furnizați un serviciu pe o anumită aplicație și puneți amprenta digitală ca tip de protecție pentru a deschide aplicația pentru utilizatorii dvs, în timp ce există și alte tipuri de protecție disponibile, cum ar fi modelul sau parola, dar îi forțați pe utilizatori să folosească amprenta digitală pentru a vă deschide aplicația și a vă utiliza serviciul, în acest caz, chiar dacă obțineți un consimțământ explicit pentru datele din categoria specială (amprente), încălcați GDPR, deoarece forțați utilizatorii doar la această opțiune.
- Legislația privind ocuparea forței de muncă, securitatea socială și protecția socială
GDPR permite angajatorilor să prelucreze date de categorie specială în scopul angajării, conform articolului 9, care prevede că
“prelucrarea este necesară pentru îndeplinirea obligațiilor și exercitarea drepturilor specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă.” și dreptul securității sociale și al protecției sociale, în măsura în care este autorizată de dreptul Uniunii sau al statelor membre sau de o convenție colectivă în conformitate cu legislația unui stat membru care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate.”
Proprietarul afacerii poate prelucra date din categorii speciale în următoarele scopuri:
- Să se asigure că persoana fizică este calificată pentru a lucra în Uniunea Europeană
- Asigurarea sănătății viitorului angajat și a faptului că acesta nu suferă de boli care îl pot împiedica în timpul muncii.
Trebuie să puteți demonstra că prelucrarea acestor date este necesară și, de asemenea, că nu trebuie să obțineți mai multe date decât aveți nevoie în urma prelucrării.
Vă reamintim care sunt drepturile conferite de RGPD persoanelor vizate precum și care este poziția operatorului de date față de cererile persoanelor vizate, în articolul “GDPR – drepturile persoanei vizate. Când răspundem și când nu?”
- Interese vitale
Articolul 9 prevede următoarele:
“Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice, în cazul în care persoana vizată se află în incapacitatea fizică sau juridică de a-și da consimțământul.”
Interesele vitale sunt interese care sunt esențiale pentru viața unei persoane fizice. Acest articol din RGPD este valabil doar în cazul în care persoana vizată este în imposibilitatea de a-și da un consimțământ explicit, fie dintr-un motiv legal sau fizic. Acest lucru nu înseamnă că nu trebuie să nu cereți consimțământul, trebuie să solicitați consimțământul persoanei vizate și dacă aceasta nu este în măsură să vi-l dea. În acest caz, puteți utiliza articolul privind interesele vitale ca un caz special.
Un exemplu de caz de interes vital: dacă a fost găsită pe drum o persoană care a avut un accident și a fost dusă la spital, iar medicul a decis că are nevoie de o intervenție chirurgicală de urgență, dar a leșinat și era inconștient pentru a da o explicație explicită spitalului pentru a vedea istoricul său medical, în acest caz misiunile vitale pot fi folosite ca o excepție pentru a face operația.
- Organisme fără scop lucrativ
Articolul 9 din RGPD are și următorul conținut:
“Prelucrarea este efectuată în cadrul activităților sale legitime, cu garanțiile adecvate, de către o fundație, o asociație sau orice alt organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical și cu condiția ca prelucrarea să se refere la membrii sau la foștii membri ai organismului sau la persoanele care au contacte regulate cu acesta în legătură cu scopurile sale și ca datele cu caracter personal să nu fie divulgate în afara acestui organism fără consimțământul persoanelor vizate.”
În acest caz, organizațiile non-profit pot prelucra datele sensibile, deoarece prelucrarea respectivă nu se datorează unor beneficii pe care le va obține persoana împuternicită de către operator. Cu toate acestea, nu toate operațiunile efectuate de organizațiile non-profit se încadrează în acest caz, organizația non-profit trebuie să clarifice rezultatul și beneficiile sociale ale prelucrării datelor din categoria specială.
Acest articol poate fi utilizat dacă sunteți o organizație non-profit, cum ar fi bisericile, organizațiile caritabile și cluburile
Important! Nu partajați datele cu terțe părți fără permisiunea proprietarului datelor.
Exemplu: Organizațiile caritabile pot prelucra datele persoanelor sărace care primesc asistență din partea organizației, dar dacă organizația publică rapoarte privind activitățile sale, trebuie să obțină permisiunea de a scrie numele acestor persoane în rapoartele respective.
- Făcute publice de către persoana vizată
Articolul 9 mai prevede că datele personale din categorii speciale pot fi prelucrate în următoarele cazuri:
“prelucrarea se referă la date cu caracter personal care sunt în mod evident făcute publice de către persoana vizată”.
Bineînțeles, dacă o persoană își face ea însăși publice datele private prin orice mijloace, GDPR nu îi va penaliza pe cei care prelucrează aceste date, deoarece acestea nu mai sunt speciale sau private. Dar trebuie să vă asigurați că persoana însăși a publicat datele sale private și nu o altă persoană sau o persoană care se dă drept ea. Trebuie să vă asigurați că persoana respectivă pune aceste date private la dispoziția tuturor persoanelor și că nu vizează un anumit grup. De exemplu, dacă o persoană publică pe Facebook date despre sănătatea sa, dar își face publicul țintă doar prietenii, dacă nu sunteți unul dintre prietenii săi, în acest caz nu aveți dreptul să prelucrați datele acestei persoane.
Așadar, atunci când prelucrați date private care sunt făcute publice de o persoană, trebuie să aveți grijă la următoarele lucruri:
- Este persoana care a făcut publice datele sale, aceeași persoană sau altcineva?
- Persoana a făcut publice datele sale în mod intenționat sau acest lucru s-a întâmplat din greșeală?
- Trebuie să păstrați dovezi că datele pe care le-ați prelucrat au fost făcute publice pentru a dovedi acest lucru atunci când răspundeți.
- Sănătate sau asistență socială
Articolul 9 alineatul (2) litera (h) vă permite să prelucrați date din categorii speciale dacă:
“prelucrarea este necesară în scopuri de medicină preventivă sau de medicină a muncii, pentru evaluarea capacității de muncă a angajatului, pentru diagnosticul medical, pentru furnizarea de asistență sau tratament medical sau social sau pentru gestionarea sistemelor și serviciilor de asistență medicală sau socială în temeiul dreptului Uniunii sau al statelor membre sau în temeiul unui contract cu un profesionist din domeniul sănătății și sub rezerva condițiilor și garanțiilor menționate la alineatul (3)”.
Datele cu caracter personal sensibile pot fi prelucrate fără autorizație expresă în următoarele scopuri:
- medicina preventivă sau medicina muncii;
- evaluarea capacității de muncă a unui angajat;
- diagnosticul medical;
- furnizarea de îngrijiri sau tratamente medicale;
- furnizarea de asistență socială (este posibil să includă asistența socială, îngrijirea personală și sprijinul social
Atunci când prelucrați date private pentru unul dintre aceste scopuri, trebuie să dovediți că prelucrarea a fost necesară și că nu aveți altă opțiune decât să prelucrați datele respective. De asemenea, nu trebuie să obțineți mai multe informații decât aveți nevoie în urma prelucrării.
- Prelucrarea datelor speciale este permisă și pentru constatarea, exercitarea sau apărarea unui drept în instanţă sau ori de câte ori instanţele acţionează în exerciţiul funcţiei lor judiciare
- Interes public major. Există situații în care prelucrarea categoriilor specialde de date cu caracter personale este necesară din motive de interes public major.
- Interes public în domeniul sănătăţii publice. Există de asemenea situații în care prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern.
- Arhivare, cercetare și statistici. Articolul 9 din GDPR – Prelucrarea de categorii speciale de date cu caracter personal, prevede:
“prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică sau în scopuri statistice, în conformitate cu articolul 89 alineatul (1), pe baza dreptului Uniunii sau al statelor membre, care trebuie să fie proporțională cu scopul urmărit, să respecte dreptul la protecția datelor și să prevadă măsuri adecvate și specifice de protecție a drepturilor fundamentale și a intereselor persoanei vizate”.
Acest articol nu acoperă toate cercetările, cercetarea trebuie să aibă ca scop interesul public și nu un scop comercial sau privat, de exemplu. Cercetarea finanțată sau cercetarea de opinie publică este, de asemenea, permisă.
Concluzii
După cum s-a putut vedea pe parcursul articolului, categoriile speciale de date cu caracter personal sunt numeroase și necesită o atenție sporită. Cunoașterea articolului 9 din Regulamentul General privind Protecția Datelor cu caracter personal este absolut obligatory întrucât sunt prezentate cazurile în care este legală prelucrarea categoriilor speciale de date. În consecință, prelucrarea categoriilor speciale de date în alte situații este nelegală și atrage sancțiuni.
Dacă ai nevoie de ajutor în ceea ce privește conformarea la GDPR, fie prin consultanță GDPR, fie prin servicii de DPO externalizat, contactează-ne pe contact@gdprcomplet.ro și programează o întâlnire cu unul dintre experții GDPR din cadrul echipei GDPR Complet.
Leave A Comment