Британският регулатор публикува нови насоки за обработване на специални категории лични данни

Офисът на британския комисар по информацията (ICO) предоставя и примерни документи, полезни за организации и фирми при прилагането на GDPR

Иън Хълм, директор за регулаторно осигуряване в IСO, представя новите указания за обработване на  специални категории лични данни, издадени въз основа на Регламент (ЕС) 2016/679, в блога на ICO. Той дава пример за важността на тези данни с възможността медицински данни, интимна информация или политическите възгледи да станат публично достояние. Когато личните данни се споделят по погрешка, ефектите могат да бъдат изключително вредни, казва Хълм.

В текста се казва, че според Общия регламент относно защита на данните (GDPR) някои видове лични данни са много чувствителни и задължава администраторите да им осигурят допълнителна защита. Това са специалните категории лични данни. Те включват информация относно здравето, сексуалния живот или сексуалната ориентация, расов или етнически произход, политически възгледи, религиозни или философски вярвания или членство в синдикат, данни за генетична и биометрична идентификация.

Това са най-чувствителните лични данни, които администраторът може да обработва. Злоупотребата с тези данни е възможно да наруши основни права и свободи на индивида и може да причини реални щети и вреди.

Поради възможните рискове надзорният орган очаква администраторите да предприемат всички необходими предпазни мерки за защита на тези данни и затова публикува новите насоки, които да помогнат за това.

Какво казват насоките за това как организациите трябва да подходят към обработката на специални категории данни?

Първо, необходимо е законно основание. Нужен е и документ, който очертава за всеки администратор мерките и политиките, които спазва по отношение на данните, които обработва. В насоките на ICO има примерен документ, който да помогне на организациите.

Иън Хълм посочва, че има още изисквания, когато се обработват данни от специалните категории, но съществуват материали, които помагат на администраторите да защитят данните на тези, чиято информация притежават, и да увеличите доверието им към тях. Струва си да отделите време, завършва той.

Според Регламент 2016/679/ ЕС:

 

Член 9

Обработване на специални категории лични данни

1.Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

2.Параграф 1 не се прилага, ако е налице едно от следните условия:

a) субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данни;

б) обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от правото на Съюза или правото на държава членка, или съгласно колективна договореност в съответствие с правото на държава членка, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните;

в) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

г) обработването се извършва при подходящи гаранции в хода на законните дейности на фондация, сдружение или друга структура с нестопанска цел, с политическа, философска, религиозна или синдикална цел, при условие че обработването е свързано единствено с членовете или бившите членове на тази структура или с лица, които поддържат редовни контакти с нея във връзка с нейните цели, и че личните данни не се разкриват без съгласието на субектите на данните;

д) обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;

е) обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи;

ж) обработването е необходимо по причини от важен обществен интерес на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;

з) обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на Съюза или правото на държава членка или съгласно договор с медицинско лице и при условията и гаранциите, посочени в параграф 3;

и) обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на Съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна;

й) обработването е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните.

3.Личните данни, посочени в параграф 1, могат да бъдат обработвани за целите, посочени в параграф 2, буква з), когато въпросните данни се обработват от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи или от друго лице, също обвързано от задължение за тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи.

4.Държавите членки могат да запазят или да въведат допълнителни условия, включително и ограничения, по отношение на обработването на генетични данни, биометрични данни или данни за здравословното състояние.