Resposta
A sua empresa/organização apenas pode tratar dados sensíveis se cumprir uma das seguintes condições:
- obteve o consentimento explícito da pessoa (esta opção pode ser excluída por lei em alguns casos);
- a sua empresa/organização é obrigada, nos termos da legislação da UE, da legislação nacional ou de uma convenção coletiva, a efetuar o tratamento dos dados para cumprir as suas obrigações e os seus direitos, bem como os das pessoas, em matéria de legislação laboral, de segurança social e de proteção social;
- estão em causa os interesses vitais da pessoa, ou de uma pessoa física ou legalmente incapacitada de dar o seu consentimento;
- é uma fundação, associação ou outro organismo sem fins lucrativos que prossegue fins políticos, filosóficos, religiosos ou sindicais e que efetua tratamento de dados sobre os seus membros ou pessoas que mantêm contacto regular com a sua organização;
- os dados pessoais foram manifestamente tornados públicos pela pessoa;
- os dados são necessários para a declaração, o exercício ou a defesa de um direito num processo judicial;
- os dados são tratados por motivos de interesse público relevante com base no direito da UE ou no direito nacional;
- os dados são tratados para as finalidades de medicina preventiva ou do trabalho, avaliação da capacidade de trabalho do empregado, diagnóstico médico, prestação de cuidados ou tratamentos de saúde ou de ação social ou gestão de sistemas e serviços de saúde ou de ação social com base no direito da UE ou no direito nacional ou por força de um contrato como profissional de saúde;
- os dados são tratados por motivos de interesse público no domínio da saúde pública, com base no direito da UE ou no direito nacional;
- os dados são tratados para fins de arquivo, investigação científica ou histórica ou para fins estatísticos, com base no direito da UE ou no direito nacional.
A legislação nacional pode impor novas condições no que respeita ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde. Consulte a sua autoridade nacional de proteção de dados.
Exemplo
Pode efetuar o tratamento de dados sensíveis
Um médico atende vários doentes na sua clínica. Regista o processo clínico numa base de dados que inclui campos como o nome/apelido do doente, a descrição dos sintomas e a medicação prescrita. Estas informações são consideradas dados sensíveis. O tratamento de dados de saúde pela clínica é permitido nos termos da lei da proteção de dados porque é necessário para o tratamento da pessoa e é efetuado sob a responsabilidade do médico, que está sujeito à obrigação de sigilo profissional.
Não pode efetuar o tratamento de dados sensíveis
A sua empresa vende vestidos em linha. Para adaptar os serviços aos interesses específicos dos seus clientes, a proprietária da empresa pede-lhes que lhe forneçam informações sobre tamanhos, cores preferidas, método de pagamento, nome e morada para a entrega do produto. Além disso, a sua empresa pede aos clientes informações sobre as suas opiniões políticas. A sua empresa precisa da maioria destas informações para cumprir a sua parte do contrato. No entanto, as opiniões políticas dos clientes não são necessárias para confecionar e entregar os vestidos. A sua empresa não pode solicitar tal informação no âmbito deste contrato.
Referências
Example
You can process sensitive data
A doctor sees a number of patients at his clinic. He logs the visit in a database that includes fields such as name/surname of patient, description of symptoms and medication prescribed. That is considered to be sensitive data. The processing of health data by the clinic is allowed under the data protection law because it is required to treat the person and is carried out under the responsibility of a doctor who is subject to an obligation of professional secrecy.
You can’t process sensitive data
Your company sells dresses online. In order to tailor the services to the specific interests of your clients, you ask them to provide you with information about sizes, preferred colour, payment method, name and the address so that the product can be delivered. In addition your company asks for your clients’ political views. You need the majority of the information to fulfil your side of the contract. However, clients’ political views are not a requirement to make and deliver their dresses. Your company cannot ask for that information under that contract.