(51) Персональные данные, которые по своей природе особенно чувствительны к фундаментальным правам и свободам, заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для фундаментальных прав и свобод. Такие персональные данные должны включать информацию, раскрывающую расовое и этническое происхождение, при этом использование термина «расовое происхождение» в настоящем Регламенте не означает, что Союз поддерживает подходы, которые пытаются установить существование отдельных человеческих рас. Обработка фотографий не должна систематически считаться обработкой особых категорий персональных данных, так как они охвачены определением понятия «биометрические данные» только, когда они обрабатываются посредством специальных технических средств, позволяющих осуществить уникальную идентификацию или аутентичность физического лица. Такие персональные данные не должны обрабатываться за исключением случаев, предусмотренных настоящим Регламентом, когда такая обработка разрешена. Следует принять во внимание, что государства-члены могут в соответствии со своим правом установить конкретные положения о защите персональных данных, чтобы адаптировать нормы Регламента в отношении соблюдения правовых обязательств или выполнения задач, осуществляемых в общественных интересах или в рамках должностных полномочий, возложенных на контролёра. В дополнение к конкретным требованиям для указанной обработки должны применяться общие принципы и иные положения настоящего Регламента, в том числе, относительно условий правомерности обработки. Изъятия из общего запрета на обработку таких особых категорий персональных данных должны быть чётко предусмотрены, в том числе когда субъект данных даёт своё явное согласие или в отношении конкретных потребностей, в частности, когда обработка осуществляется в ходе правомерной деятельность конкретных ассоциаций или фондов, целью которых является обеспечение осуществления фундаментальных свобод.
(52) Изъятия из запрета на обработку особых категорий персональных данных также должны быть разрешены, если они предусмотрены в праве Союза или праве государства-члена и обладают надлежащими гарантиями защиты персональных данных и других фундаментальных прав, если это оправдано с точки зрения общественного интереса, в частности, в отношении обработки персональных данных в области трудового права, права социальной защиты (включая пенсии), и в целях обеспечения безопасности, мониторинга здоровья и предупреждения заболеваний, профилактики или борьбы с инфекционными заболеваниями и других серьёзных угроз здоровью. Такое изъятие может быть сделано для целей здравоохранения и управления медицинскими услугами, особенно в целях гарантии качества и экономической эффективности методов, используемых для урегулирования претензий в системе медицинского страхования, или для архивных целей в интересах общества, для научных или исторических исследований или для статистических целей. Изъятие также может быть сделано для обработки персональных данных, необходимой для обоснования, исполнения или оспаривания исковых требований, в рамках судебной процедуры или в рамках административных или внесудебной процедур.
(53) Особые категории персональных данных, нуждающиеся в большей защите, должны обрабатываться в целях, связанных со здоровьем, только в интересах физических лиц или общества в целом, в том числе, в контексте управления медицинскими или социальными услугами и системами, включая обработку таких персональных данных центральными национальными органами здравоохранения в целях контроля качества, информации по управлению, в том числе общего национального и местного надзора за системой медицинского и социального обслуживания, а также в целях обеспечения непрерывности медицинского обслуживания или социального обеспечения, трансграничного медицинского обслуживания, или в целях обеспечения безопасности, мониторинга здоровья и профилактики заболеваний; в архивных целях в общественных интересах, в целях научного или исторического исследования, или в статистических целях, на основании права Союза или права государства-члена, которое должно соответствовать цели общественного интереса, равно и в отношении исследований, проводимых по причинам общественного интереса в области общественного здравоохранения. Вследствие этого, настоящий Регламент должен предусматривать гармонизированные условия для обработки особых категорий персональных данных, связанных со здоровьем, в отношении особых потребностей, в частности, если обработка данных осуществляется в конкретных, связанных со здоровьем, целях лицами, которые несут юридические обязательства по соблюдению профессиональной тайны. Право Союза или право государства-члена должно предусматривать конкретные и приемлемые средства по защите фундаментальных прав и персональных данных физических лиц. Государства-члены могут сохранять или вводить дополнительные условия, в том числе ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья. Однако это не должно препятствовать свободному движению персональных данных в Союза, если указанные условия применяются в отношении трансграничной обработки этих данных.
(54) По причинам общественного интереса в области общественного здравоохранения может быть необходима обработка особых категорий персональных данных без согласия субъекта данных. Указанная обработка должна осуществляться в соответствии с приемлемыми и конкретными средствами по защите прав и свобод физических лиц. В данном контексте понятие «общественное здравоохранение» должно пониматься в соответствии с Регламентом (ЕС) 1338/2008 Европейского Парламента и Совета ЕС [11] и включать в себя все элементы, связанные со здоровьем, а именно: состояние здоровья, в том числе заболеваемость и нетрудоспособность; факторы, влияющие на состояние здоровья; потребности в медицинском обслуживании; ресурсы, отнесённые к медицинскому обслуживанию; специальный и общий доступ к медицинскому обслуживанию; соответствующие расходы и финансирование, а также причины смертности. Указанная обработка персональных данных, касающихся здоровья, по причинам общественного интереса не должна приводить к тому, что персональные данные будут обрабатываться в иных целях третьими лицами, например, нанимателями или страховыми и банковскими компаниями.
(55) Вместе с тем, обработка персональных данных государственными органами для достижения целей, предусмотренных конституционным или международным публичным правом, а также целей официально признанных религиозных организаций, осуществляется на основании общественного интереса.
(56) Если в ходе предвыборной деятельности функционирование демократической системы в государстве-члене требует, чтобы политические партии собирали персональные данные о политических взглядах физических лиц, обработка таких персональных данных может быть разрешена на основании общественного интереса, при условии наличия соответствующих гарантий.
(EN) The first exception is based on “explicit consent”. Article 9 consent differs from the general notion of consent of article 6 in one important aspect: it must be explicitly provided by the person concerned. It means that the consent must be freely given, specific, informed, and unambiguous, under the definition of article 4 (11), and, in addition to these requirements, it must be “explicit”.
What form of consent is considered “explicit” and thus valid under article 9? The sensitive nature of the data involved entails a consent that goes beyond the regular “statement or clear affirmative action” [article 4 (11)] on the part of the data subject. It means that s/he must give “an express statement of consent” (Guidelines on Consent), even in the case where services are provided on a contractual basis. An explicit consent is needed because there is no contract based exceptions in article 9 (2) a controller can rely on.
The Guidelines on Consent suggest that a written statement or even a signed written statement may be required, even though the GDPR does not prescribe such a form of consent. A signed consent may be relevant if health data are collected, for example, in the context of services offered by a private clinic or a convalescent home. A plastic surgeon may need to gather information about a client’s health condition or share medical information to seek a second opinion from one of her/his colleagues. The managers of a convalescent home will have to gather information about a future pensionary’s health condition to arrange the appropriate services needed during her/his stay.
A signed written statement is not as practical in the digital or online environment. How can a person consent if, for example, s/he buys a plane ticket online and requires special medical assistance at boarding time, during the flight or at her/his arrival at destination? A valid consent will also be difficult to obtain if a person places an online order for buying special eyewear as the seller has to collect health-related information about her/his vision and share it with the manufacturer.
Simply following a link or ticking a box might be regarded as an insufficient consent in these examples. The Guidelines on Consent recommend other forms of consent, like filling in an electronic form, using an electronic signature, recording an oral statement or proceeding with a two-step verification (ticking a box in a form and confirming the consent by email afterward, for example).
Article 9 prescribes that a person must consent “for one or more specified purposes”. The requirement goes beyond the “specific” quality of consent required by article 4 (11). Purposes must be clearly specified, which implies that the consent must be tied to specific data or precise categories of data that the controller will be allowed to process.
You must always remember that the GDPR is not a complete statement on the state of the law on data protection in a particular Member State, and it is particularly true here because there is an exception to the exception. Consent is an invalid basis to process special categories of personal data if a Member State prohibits the lifting of the prohibition for processing special categories of personal data by an individual in its national legislation, as the GDPR allows it.