性生活和性取向
有关人员的。用于识别自然人的遗传和生物特征数据的处理也受到影响。
如果这些数据被滥用,数据主体的信息自决权将面临高于平均水平的风险。因此,立法者规定特殊类别的个人数据必须享受特殊的保护。
语言使用注意事项
许多决策者都意识到处理敏感数据时必须特别小心。然而,“敏感数据”是一个口语术语。如果要正确表达的话,最好说“特殊类别的个人数据”。最终,这两个术语指的是同一类型的数据(GDPR 第 9(1)条)。
敏感数据——查看各个类别
种族和民族血统(例如肤色)
政治观点(例如党派成员身份)
宗教或哲学信仰(例如信念)
工会会员资格(例如 XY 工会会员)
遗传数据(例如来自基因测试的基因序列)
生物特征数据(例如指纹)
健康(例如疾病)
性生活或性取向(例如同性恋)
何时可以处理这些数据?
根据 GDPR 第 9 条第 1 款,处理特殊类别的个人数据最初是被禁止的。然而,GDPR 规定了以下例外情况:
如果数据主体明确同意为一个或多个目的进行处理(第 9 条第 2 款 a 项)。
如果需要根据劳动法或社会保障进行处理(第 9(2)(b) 条)。
如果处理是为了保护重大利益(第 9 条第 (2) 款 (c) 项)。
如果处理是由政治、意识形态、宗教或工会导向的基金会、协会或其他非 瑞典电报数据 营利组织在适当的保障措施基础上进行的,并且未经数据主体同意不会对外披露个人数据。 (第 9 条第 2 款 d 项)。
如果数据主体显然已公开该数据(第 9 条第 2 款 e)。
如果处理是在法律/司法任务的背景下进行的(第 9 条第 2 款(f)项)。
如果处理是基于重大公共利益进行的(第 9 条第 2 款(g)项)。
如果处理是在健康/医疗任务的背景下进行的,并且存在职业秘密/保密义务(第 9 条第 2 款 h 项和第 9 条第 3 款)。
如果处理是为了保护公众健康(第 9(2)(i)条)
如果处理是为了公共档案目的、历史研究目的或统计目的而进行的(第 9(2)j 条)。
在收集、处理或使用特殊类别的个人数据时,需履行特殊义务,这可能导致考虑或应用其他法律。例如,当涉及社交数据时,必须考虑《社会法典》(SGB)的规定。在申请数据方面,必须遵守《普遍平等待遇法》(AGG)的要求。
同意条件
如前所述,根据目的,处理特殊类别的个人数据可能需要事先获得明确同意(默认同意是不够的)。在此方面,不仅必须考虑 GDPR 第 4 条第 11 款规定的同意有效性要求(自由决定、详细信息、书面形式和可撤销性)。此外,同意文本必须提及个人数据的特殊类别并进行具体说明。
特殊类别的个人数据:实践中的陷阱
处理特殊类别的个人数据时存在一些陷阱。在一些公司中,数据类别无法正确识别。一个很好的例子就是健康数据,它绝不仅在医疗环境中收集和处理。公司会记录这些情况,例如记录员工的病假。然而,即使是这种类型的数据收集也需要考虑特殊的数据保护义务。
数据保护官拥有必要的数据保护专业知识,可以为个人数据的更高安全性做出贡献。因此,对于许多公司来说,任命一名数据保护官是有意义的。