Odpověď
Vaše společnost/organizace může citlivé osobní údaje zpracovávat, pouze pokud jsou splněny následující podmínky:
- byl získán výslovný souhlas příslušné fyzické osoby (právní předpisy mohou tuto možnost v některých případech vyloučit),
- podle právních předpisů EU nebo příslušné země nebo podle kolektivní smlouvy má vaše společnost/organizace povinnost zpracovávat osobní údaje tak, aby vyhověla svým povinnostem a právům a povinnostem a právům fyzických osob v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany,
- jsou ohroženy životně důležité zájmy dotyčné osoby nebo osoby, která není fyzicky nebo právně způsobilá udělit svůj souhlas,
- jako nadace, sdružení nebo jiný neziskový subjekt s politickými, filozofickými, náboženskými nebo odborovými cíli zpracováváte osobní údaje o svých členech nebo lidech, kteří jsou v pravidelném kontaktu s vaší organizací,
- dotyčná osoba své osobní údaje zjevně zveřejnila,
- osobní údaje jsou požadovány pro určení, výkon nebo obhajobu právních nároků,
- údaje jsou zpracovávány z důvodu významného veřejného zájmu na základě práva EU nebo příslušného státu,
- údaje jsou zpracovávány pro účely preventivního nebo pracovního lékařství; pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva EU nebo příslušného státu nebo podle smlouvy se zdravotnickým pracovníkem,
- údaje jsou zpracovávány z důvodu veřejného zájmu v oblasti veřejného zdraví na základě práva EU nebo příslušného státu,
- údaje jsou zpracovávány pro účely archivace, vědeckého či historického výzkumu nebo pro statistické účely na základě práva EU nebo příslušného státu.
Vnitrostátní právní předpisy mohou zavést další podmínky pro zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu. Obraťte se na příslušný vnitrostátní úřad pro ochranu osobních údajů.
Příklad
Můžete zpracovávat citlivé osobní údaje
Lékař na své klinice vyšetřuje řadu pacientů. Návštěvy zaznamenává do databáze, která obsahuje pole, jako je jméno/příjmení pacienta, popis příznaků a předepsané léky. To je považováno za citlivé osobní údaje. Zpracování zdravotnických údajů na klinice je v rámci tohoto právního předpisu týkajícího se ochrany údajů dovoleno, protože je nutné pro léčbu dotyčné osoby a provádí se na zodpovědnost lékaře, který je vázán profesním tajemstvím.
Nemůžete zpracovávat citlivé osobní údaje
Vaše společnost prodává oblečení přes internet. Pro to, abyste mohli služby přizpůsobit konkrétním zájmům svých klientů, žádáte je, aby vám poskytli informace o velikosti, preferované barvě, platební metodě, jméně a adrese, abyste jim mohli výrobek doručit. Kromě toho se vaše společnost ptá na politické názory klientů. Většinu informací potřebujete pro plnění smlouvy na vaší straně. Nicméně politické názory klientů nejsou požadavkem k tomu, abyste jim mohli vyrobit a doručit jejich oblečení. Proto se na ně vaše společnost v rámci této smlouvy ptát nemůže.
Odkazy
Example
You can process sensitive data
A doctor sees a number of patients at his clinic. He logs the visit in a database that includes fields such as name/surname of patient, description of symptoms and medication prescribed. That is considered to be sensitive data. The processing of health data by the clinic is allowed under the data protection law because it is required to treat the person and is carried out under the responsibility of a doctor who is subject to an obligation of professional secrecy.
You can’t process sensitive data
Your company sells dresses online. In order to tailor the services to the specific interests of your clients, you ask them to provide you with information about sizes, preferred colour, payment method, name and the address so that the product can be delivered. In addition your company asks for your clients’ political views. You need the majority of the information to fulfil your side of the contract. However, clients’ political views are not a requirement to make and deliver their dresses. Your company cannot ask for that information under that contract.