Odpowiedź
Twoja firma/organizacja może przetwarzać dane wrażliwe wyłącznie po spełnieniu jednego z poniższych warunków:
- osoba, której dane dotyczą, udzieliła wyraźnej zgody (w określonych przypadkach prawo może wykluczyć tę opcję),
- prawo unijne lub krajowe bądź porozumienie zbiorowe zobowiązuje Twoją firmę/organizację do przetwarzania danych w celu wypełnienia obowiązków i wykonania praw Twojej firmy/organizacji oraz osoby, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, która jest fizycznie lub prawnie niezdolna do wyrażenia zgody,
- przetwarzania dokonuje fundacja, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy członków tego podmiotu lub osób utrzymujących z nim stałe kontakty,
- dane osobowe zostały w sposób oczywisty upublicznione przez osobę, której dotyczą,
- dane są niezbędne do ustalenia, dochodzenia lub obrony roszczeń,
- dane są przetwarzanie ze względów związanych z ważnym interesem publicznym na podstawie prawa unijnego lub krajowego,
- dane są przetwarzanie w celu: profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa unijnego lub krajowego lub zgodnie z umową z pracownikiem służby zdrowia,
- dane są przetwarzanie ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, na podstawie prawa unijnego lub krajowego,
- dane są przetwarzanie do celów archiwalnych, do celów badań naukowych lub historycznych lub w celach statystycznych, na podstawie prawa unijnego lub krajowego.
Poszczególne kraje mogą wprowadzić dodatkowe warunki w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia. Informacje na ten temat można uzyskać od krajowego organu ochrony danych.
Przykład
Możesz przetwarzać dane wrażliwe
Lekarz przyjmuje w swoim gabinecie wielu pacjentów. Dokumentuje wizyty w bazie danych, która zawiera takie informacje jak imię/nazwisko pacjenta, opis objawów i przepisane leki. Dane te uznaje się za wrażliwe. Zgodnie z rozporządzeniem o ochronie danych przetwarzanie przez przychodnię danych dotyczących zdrowia jest dozwolone, gdyż służy leczeniu pacjenta, a ponadto odpowiedzialność za nie ponosi lekarz, który jest zobowiązany do zachowania tajemnicy lekarskiej.
Nie możesz przetwarzać danych wrażliwych
Prowadzisz firmę zajmującą się internetową sprzedażą sukienek. Aby dopasować swoje usługi do konkretnych preferencji klientów, prosisz ich o podanie informacji na temat rozmiarów, ulubionych kolorów, sposobu płatności, imienia i nazwiska oraz adresu do dostawy. Dodatkowo Twoja firma prosi klientów o podanie poglądów politycznych. Większość informacji jest Ci potrzebna do wypełnienia zobowiązań umownych. Jednakże poglądy polityczne klientów nie są potrzebne do uszycia i dostarczenia im sukienek. Twoja firma nie może ich prosić o tę informację na podstawie zawartej umowy.
Odnośniki
Example
You can process sensitive data
A doctor sees a number of patients at his clinic. He logs the visit in a database that includes fields such as name/surname of patient, description of symptoms and medication prescribed. That is considered to be sensitive data. The processing of health data by the clinic is allowed under the data protection law because it is required to treat the person and is carried out under the responsibility of a doctor who is subject to an obligation of professional secrecy.
You can’t process sensitive data
Your company sells dresses online. In order to tailor the services to the specific interests of your clients, you ask them to provide you with information about sizes, preferred colour, payment method, name and the address so that the product can be delivered. In addition your company asks for your clients’ political views. You need the majority of the information to fulfil your side of the contract. However, clients’ political views are not a requirement to make and deliver their dresses. Your company cannot ask for that information under that contract.