A különleges adatokról
Általában véve is mérlegelnünk kell, hogy a kezelt adatok milyen mértékben érzékenyek, de a rendelet ezen felül meghatároz kifejezetten különleges adatokat, amelyek kezeléséhez további feltételek tartoznak.
A különleges adatok köre pontosan definiált [1]:
- faji vagy etnikai származás,
- politikai vélemény,
- vallási vagy világnézeti meggyőződés,
- szakszervezeti tagságra utaló személyes adatok,
- a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok,
- egészségügyi adatok,
- a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
Az ilyen adatok csak akkor kezelhetőek, ha az alábbi körülmények közül megfelelünk valamelyiknek (némileg rövidített leírása az eseteknek, a teljes szövegezés a rendeletben olvasható) [2]:
- az érintett kifejezett hozzájárulását adja;
- foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogok gyakorlása érdekében szükséges;
- létfontosságú érdekek védelméhez szükséges;
- az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik;
- az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
- az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
- az adatkezelés jelentős közérdek miatt szükséges;
- az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, egészségügyi vagy szociális ellátás céljából történik;
- az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása;
- az adatkezelés a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges;
Általánosságban véve, ha a fenti listán említett speciális eseteket nem fedik a tevékenységünket, akkor a hozzájárulás lesz az egyetlen alkalmas engedély a különleges adatok kezelésére.
Ahogy a biometrikus beléptető rendszereknél és máshol is bővebben kifejtettük, arra gondolnunk kell, hogy hozzájárulás egyenlőtlen erőviszonyok esetén nem járható út, így munkaadó-munkavállaló vagy iskola-diák között például ez sem lesz lehetséges. Ez bizonyos esetekben akár azt is jelentheti, hogy le kell mondanunk a különleges adatok kezeléséről.
A fényképekről bővebben értekezünk máshol, de emlékeztetőnek ide is leírjuk, hogy azok nem tartoznak a különleges adatok közé. Csak akkor válnak biometrikus adattá, ha azokat képfeldolgozó rendszerekben kiértékelik. [3]
A különleges adatok szervezési és technológiai védelme kiemelt kell hogy legyen. Ezek sokrétűsége és specialitása miatt itt bővebben ezzel nem foglalkozunk, ha ilyen adatok kezelésében érintett, javasoljuk, hogy vegye fel szakértőinkkel a kapcsolatot!
Referenciák
[1] GDPR 9/1.: ... A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok ...
[2] GDPR 9/2.:
Az (1) bekezdés (szerk: tiltás) nem alkalmazandó abban az esetben, ha:
a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;
b) az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az érintett alapvető jogait és érdekeit védő megfelelő garanciákról is rendelkező uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi;
c) az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni;
d) az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik, azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára;
e) az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
f) az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el;
g) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
h) az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;
i) az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása, és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra, és különösen a szakmai titoktartásra vonatkozóan;
j) az adatkezelés a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;
[3] GDPR preambulum 51.: ... A fényképek kezelését nem szükséges szisztematikusan különleges adatkezelésnek tekinteni, mivel azokra csak azokban az esetekben vonatkozik a biometrikus adatok fogalommeghatározása, amikor a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel kezelik őket...