Milyen feltételekkel kezelheti a vállalkozásom vagy a szervezetem a különleges adatokat?

Válasz

Vállalkozása/szervezete különleges adatokat kizárólag akkor kezelhet, ha teljesíti az alábbiakban felsorolt feltételek egyikét:

• megszerezte az érintett kifejezett hozzájárulását (bizonyos esetekben jogszabály kizárhatja ezt a lehetőséget);
• az uniós vagy a nemzeti jog vagy kollektív megállapodás értelmében az ön vállalkozásának/szervezetének kötelessége az adatkezelés elvégzése a saját és az érintett személyek kötelezettségeinek és jogainak való megfelelés érdekében a foglalkoztatás, a szociális biztonság és a szociális védelem keretében;
• az adatkezelés az érintett létfontosságú érdekeinek védelme miatt szükséges, vagy az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
• az adatkezelő valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy bármely más nonprofit szervezet, az adatkezelés pedig az ilyen szerv jelenlegi vagy volt tagjaira vagy a szervezettel rendszeres kapcsolatban álló személyekre vonatkozik;
• az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott;
• az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges;
• az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy nemzeti jog alapján;
• az adatkezelés a következő célból történik: megelőző egészségügyi vagy munkahelyi egészségügyi célok; az adatkezelés a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy nemzeti jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében;
• az adatkezelés a népegészségügy területét érintő közérdekből szükséges, uniós jog vagy nemzeti jog alapján;
• az adatkezelés archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges uniós vagy nemzeti jog alapján.

A nemzeti jog további feltételeket írhat elő a genetikai adatok, a biometrikus adatok vagy az egészségügyi adatok kezelésére vonatkozóan. Az ezzel kapcsolatos információkat ellenőrizze a nemzeti adatvédelmi hatóság weboldalán.

Példa

Kezelheti a különleges adatokat

Egy orvos betegeket lát el a rendelőjében. A vizsgálatokat egy adatbázisba jegyzi fel, amely többek között a következő mezőket tartalmazza: a beteg vezetékneve és utóneve, a tünetek leírása és a felírt gyógyszer. Ezek különleges adatok. Az egészségügyi adatok orvosi rendelő által történő kezelése engedélyezett az adatvédelmi jogszabályok értelmében, mivel erre szükség van a kezelés érdekében és a kezelés egy orvos felelőssége mellett történik, akire szakmai titoktartási kötelezettség vonatkozik.

Nem kezelheti a különleges adatokat

Vállalkozása online ruhaértékesítéssel foglalkozik. Annak érdekében, hogy a szolgáltatásokat ügyfelei konkrét érdeklődési körére szabja, arra kéri őket, hogy adják meg a ruhaméretüket, a kedvenc színüket, a fizetési módot, a nevüket és a szállításhoz szükséges címet. Ezenkívül a vállalkozás az ügyfelek politikai nézeteire is kíváncsi. A szerződés teljesítéséhez a legtöbb adatra szüksége lesz. Ügyfelei politikai nézetei azokban nem szükségesek a ruhák elkészítéséhez vagy kiszállításához. Ezen szerződés értelmében vállalkozása ezt az információt nem kérheti tőlük.

Hivatkozások

• Az általános adatvédelmi rendelet 9. cikke és (51) – (56) preambulumbekezdése

You can process sensitive data

A doctor sees a number of patients at his clinic. He logs the visit in a database that includes fields such as name/surname of patient, description of symptoms and medication prescribed. That is considered to be sensitive data. The processing of health data by the clinic is allowed under the data protection law because it is required to treat the person and is carried out under the responsibility of a doctor who is subject to an obligation of professional secrecy.

You can’t process sensitive data

Your  company sells dresses online. In order to tailor the services to the specific interests of your clients, you ask them to provide you with information about sizes, preferred colour, payment method, name and the address so that the product can be delivered. In addition your company asks for your clients’ political views. You need the majority of the information to fulfil your side of the contract. However, clients’ political views are not a requirement to make and deliver their dresses. Your company cannot ask for that information under that contract.

• Article 9 and Recitals (51) to (56) of the GDPR