Réponse
Votre entreprise/organisation ne peut traiter des données sensibles que si l'une des conditions suivantes est remplie:
- le consentement explicite de la personne concernée a été obtenu (une loi pourrait exclure cette option dans certains cas);
- le droit de l’UE ou le droit national ou une convention collective requiert que votre entreprise/organisation traite les données pour respecter ses obligations et ses droits, et ceux des personnes concernées, dans les domaines du droit du travail, de la sécurité sociale et de la protection sociale;
- les intérêts vitaux de la personne, ou d’une personne qui se trouve dans l’incapacité physique ou juridique de donner son consentement, sont en jeu;
- vous êtes une fondation, une association ou un autre organisme à but non lucratif poursuivant une finalité politique, philosophique, religieuse ou syndicale, traitant des données relatives à ses membres ou aux personnes entretenant des contacts réguliers avec l'organisation;
- les données à caractère personnel ont manifestement été rendues publiques par la personne concernée;
- les données sont nécessaires pour la constatation, l’exercice ou la défense d’un droit en justice;
- les données sont traitées pour des motifs d’intérêt public important sur la base du droit de l’UE ou du droit national;
- les données sont traitées aux fins de la médecine préventive ou du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’UE ou du droit national, ou en vertu d’un contrat conclu en tant que professionnel de la santé;
- données sont traitées pour des motifs d’intérêt public dans le domaine de la santé publique sur la base du droit de l’UE ou du droit national;
- les données sont traitées à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques sur la base du droit de l’UE ou du droit national.
Des conditions supplémentaires peuvent être imposées par le droit national sur le traitement des données génétiques, des données biométriques ou des données concernant la santé. Vous pouvez vérifier cette information auprès de votre autorité de protection des données nationale.
Exemples
Vous pouvez traiter des données sensibles
Un médecin reçoit un certain nombre de patients à la clinique. Il consigne les visites dans une base de données qui comprend des champs tels que les prénom et nom du patient, la description des symptômes et les médicaments prescrits. Il s’agit de données considérées comme sensibles. Le traitement de données relatives à la santé par la clinique est autorisé au titre de la loi sur la protection des données car elle est tenue de soigner ces personnes. Ce traitement est effectué sous la responsabilité d’un médecin qui est soumis à l’obligation du secret professionnel.
Vous ne pouvez pas traiter des données sensibles
Votre entreprise vend des robes en ligne. Afin d’adapter les services aux intérêts spécifiques de vos clientes, vous leur demandez de fournir des informations relatives à leur taille, leur couleur préférée, leur mode de paiement, leur nom et leur adresse afin de leur livrer le produit. En outre, votre entreprise leur demande leurs opinions politiques. La majorité des informations vous sont nécessaires pour remplir votre part du contrat. En revanche, les opinions politiques des clientes ne sont pas nécessaires pour confectionner et livrer leurs robes. Votre entreprise ne peut donc pas les demander au titre de ce contrat.
Références
Example
You can process sensitive data
A doctor sees a number of patients at his clinic. He logs the visit in a database that includes fields such as name/surname of patient, description of symptoms and medication prescribed. That is considered to be sensitive data. The processing of health data by the clinic is allowed under the data protection law because it is required to treat the person and is carried out under the responsibility of a doctor who is subject to an obligation of professional secrecy.
You can’t process sensitive data
Your company sells dresses online. In order to tailor the services to the specific interests of your clients, you ask them to provide you with information about sizes, preferred colour, payment method, name and the address so that the product can be delivered. In addition your company asks for your clients’ political views. You need the majority of the information to fulfil your side of the contract. However, clients’ political views are not a requirement to make and deliver their dresses. Your company cannot ask for that information under that contract.