Atbilde
Jūsu uzņēmums/organizācija drīkst apstrādāt sensitīvus datus tikai tad, ja ir izpildīts viens no sekojošiem nosacījumiem:
- tika iegūta personas nepārprotama piekrišana (noteiktos gadījumos saskaņā ar likumu šī iespēja var nebūt pieejama);
- saskaņā ar ES vai valsts tiesību aktiem vai koplīgumu jūsu uzņēmumam/organizācijai ir jāapstrādā dati, lai realizētu tā pienākumus un īstenotu tiesības, kā arī attiecīgo fizisko personu tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomās;
- ir jāaizsargā attiecīgās personas vai personas, kura ir fiziski vai tiesiski nespējīga dot savu piekrišanu, vitālās intereses;
- jūs esat fonds, apvienība vai jebkura cita bezpeļņas struktūra, kas darbojas saskaņā ar politisku, filozofisku, reliģisku vai ar arodbiedrībām saistītu mērķi un apstrādā datus par tās locekļiem vai personām, kuras ar organizāciju uztur regulārus sakarus;
- personas datus attiecīgā persona apzināti ir publiskojusi;
- dati ir nepieciešami, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;
- datus apstrādā būtisku sabiedrības interešu dēļ, pamatojoties uz ES vai valsts tiesību aktiem;
- datus apstrādā šādos nolūkos: profilaktiskā vai arodmedicīna, darbinieka darbspējas novērtēšana, medicīniska diagnoze, veselības vai sociālās aprūpes vai ārstēšanas vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšana, pamatojoties uz ES vai valsts tiesību aktiem vai saskaņā ar līgumu kā veselības aprūpes speciālists;
- datus apstrādā sabiedrības veselības jomā sabiedrības interesēs, pamatojoties uz ES vai valsts tiesību aktiem;
- datus apstrādā arhivēšanas, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos, pamatojoties uz ES vai valsts tiesību aktiem.
Valsts tiesību aktos attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi var būt noteikti papildu nosacījumi. Plašāku informāciju jautājiet savai valsts datu aizsardzības iestādei.
Piemērs
Jūs drīkstat apstrādāt sensitīvus datus
Ārsts savā klīnikā pieņem vairākus pacientus. Viņš katra pacienta apmeklējumu reģistrē datubāzē, kurā ir tādi lauki kā pacienta vārds un uzvārds, simptomu apraksts un izrakstītās zāles. Tie ir uzskatāmi par sensitīviem dati. Saskaņā ar Vispārīgo datu aizsardzības regulu klīnikas veikta veselības datu apstrāde ir atļauta, jo tā ir nepieciešama attiecīgās personas ārstēšanai un tiek veikta ārsta pārraudzībā, kuram ir pienākums ievērot amata noslēpumu.
Jūs nedrīkstat apstrādāt sensitīvus datus
Jūsu uzņēmums pārdod apģērbu internetā. Lai pakalpojumus pielāgotu jūsu klientu individuālajām interesēm, jūs tiem lūdzat sniegt informāciju par izmēriem, vēlamo krāsu, maksāšanas metodi un norādīt savu vārdu, uzvārdu un piegādes adresi. Turklāt jūsu uzņēmums lūdz saviem klientiem norādīt to politisko nostāju. Lielākā daļa šīs informācijas ir vajadzīga, lai jūs varētu izpildīt savas līgumsaistības. Tomēr informācija par klientu politisko nostāju nav prasība, kas ir nepieciešama apģērbu sagatavošanai un piegādei. Saskaņā ar šo līgumu jūsu uzņēmums nedrīkst prasīt šādu informāciju.
Atsauces
Example
You can process sensitive data
A doctor sees a number of patients at his clinic. He logs the visit in a database that includes fields such as name/surname of patient, description of symptoms and medication prescribed. That is considered to be sensitive data. The processing of health data by the clinic is allowed under the data protection law because it is required to treat the person and is carried out under the responsibility of a doctor who is subject to an obligation of professional secrecy.
You can’t process sensitive data
Your company sells dresses online. In order to tailor the services to the specific interests of your clients, you ask them to provide you with information about sizes, preferred colour, payment method, name and the address so that the product can be delivered. In addition your company asks for your clients’ political views. You need the majority of the information to fulfil your side of the contract. However, clients’ political views are not a requirement to make and deliver their dresses. Your company cannot ask for that information under that contract.