Antwoord
Uw onderneming/organisatie mag uitsluitend gevoelige gegevens verwerken indien aan een van de volgende voorwaarden is voldaan:
- de uitdrukkelijke toestemming van het individu is verkregen (een wet kan deze mogelijkheid in bepaalde gevallen uitsluiten);
- wetgeving van de EU of van de betrokken EU-lidstaat of een collectieve overeenkomst vereist dat uw onderneming/organisatie de gegevens verwerkt om aan haar verplichtingen en rechten, en die van de betrokkenen, te voldoen op het gebied van werkgelegenheid, sociale zekerheid en wetgeving inzake sociale bescherming;
- de vitale belangen van de betrokkene, of van een persoon die fysiek of juridisch niet in staat is toestemming te geven, staan op het spel;
- u bent een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is en gegevens verwerkt over uw leden of over personen die regelmatig contact met uw organisatie onderhouden;
- de persoonsgegevens zijn door de betrokkene duidelijk openbaar gemaakt;
- de gegevens zijn noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- de gegevens worden verwerkt om redenen van zwaarwegend algemeen belang op grond van EU- of nationaal recht;
- de gegevens worden verwerkt voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, voor medische diagnoses, voor het verstrekken van gezondheidszorg, sociale zorg of behandelingen, of voor het beheer van stelsels en diensten voor gezondheidszorg en sociale zorg, op grond van EU- of nationale wetgeving, of op grond van een overeenkomst met een zorgverlener;
- de gegevens worden verwerkt om redenen van algemeen belang op het gebied van volksgezondheid op grond van EU- of nationale wetgeving;
- de gegevens worden verwerkt met het oog op archivering, wetenschappelijk of historisch onderzoek of statistische doeleinden op grond van EU- of nationale wetgeving.
Via nationale wetgeving kunnen aanvullende voorwaarden worden gesteld aan de verwerking van genetische gegevens, biometrische gegevens of gegevens die de gezondheid betreffen. Kijk hiervoor bij uw nationale gegevensbeschermingsautoriteit.
Voorbeeld
U mag gevoelige gegevens verwerken
Een arts ontvangt een aantal patiënten in zijn kliniek. Hij registreert de bezoeken in een database met velden zoals naam/achternaam van de patiënt, beschrijving van symptomen en voorgeschreven medicijnen. Die gegevens worden beschouwd als gevoelige gegevens. De verwerking van gezondheidsgegevens door de kliniek is toegestaan op grond van de AVG, aangezien het noodzakelijk is om de persoon te behandelen en de verwerking wordt uitgevoerd onder de verantwoordelijkheid van een arts die zich aan het beroepsgeheim moet houden.
U mag gevoelige gegevens niet verwerken
Uw onderneming verkoopt jurken online. Om de diensten af te stemmen op de specifieke interesses van uw klanten vraagt u hun om informatie over maten, voorkeurskleur, betaalmethode en naam en adres zodat het product kan worden geleverd. Daarnaast vraagt uw onderneming naar de politieke opvattingen van uw klanten. Het grootste deel van de informatie hebt u nodig om uw kant van de overeenkomst uit te voeren. De politieke opvattingen van uw klanten heeft u echter niet nodig om hun jurken te maken en af te leveren. In het kader van die overeenkomst mag uw onderneming die gegevens niet vragen.
Referenties
Example
You can process sensitive data
A doctor sees a number of patients at his clinic. He logs the visit in a database that includes fields such as name/surname of patient, description of symptoms and medication prescribed. That is considered to be sensitive data. The processing of health data by the clinic is allowed under the data protection law because it is required to treat the person and is carried out under the responsibility of a doctor who is subject to an obligation of professional secrecy.
You can’t process sensitive data
Your company sells dresses online. In order to tailor the services to the specific interests of your clients, you ask them to provide you with information about sizes, preferred colour, payment method, name and the address so that the product can be delivered. In addition your company asks for your clients’ political views. You need the majority of the information to fulfil your side of the contract. However, clients’ political views are not a requirement to make and deliver their dresses. Your company cannot ask for that information under that contract.