(51) Персональні дані, що, за своєю специфікою, є особливо чутливими щодо фундаментальних прав і свобод, потребують особливого захисту, оскільки контекст їхнього опрацювання може створити істотні ризики для фундаментальних прав і свобод. Такі персональні дані повинні включати персональні дані, що розкривають расову або етнічну приналежність, а відтак використання терміну "расова приналежність" в цьому Регламенті не передбачає прийняття Союзом теорій, що намагаються визначити існування окремих людських рас. Опрацювання фотографій не можна систематично вважати опрацюванням спеціальних категорій персональних даних, оскільки термін "біометричні дані" на них поширюється, лише якщо їх опрацьовують за допомогою спеціальних технічних засобів, що дозволяють однозначну ідентифікацію або аутентифікацію фізичної особи. Такі персональні дані не можна опрацьовувати, за винятком, якщо це дозволено в спеціальних випадках, визначених у цьому Регламенті, беручи до уваги, що законодавство держави-члени може встановлювати спеціальні положення щодо захисту даних для того, щоб адаптувати застосування норм цього Регламенту з метою дотримання встановленого законом зобов'язання, виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера. Додатково до спеціальних вимог щодо такого опрацювання необхідно застосовувати загальні принципи і норми цього Регламенту, зокрема в частині умов щодо правомірного опрацювання. Необхідно чітко окреслити відступи від загальної заборони на опрацювання таких спеціальних категорій персональних даних, зокрема, якщо суб'єкт даних надає свою чітку згоду або в разі виникнення особливих потреб, наприклад, коли опрацювання здійснюють у ході реалізації законних видів діяльності окремими асоціаціями або фондами, ціль якої полягає у тому, щоб дозволити реалізацію фундаментальних свобод.
(52) Також необхідно дозволити відступ від заборони на опрацювання спеціальних категорій персональних даних, якщо це передбачено нормативно-правовим актом Союзу або держави-члена та згідно з відповідними гарантіями, для того, щоб захистити персональні дані та інші фундаментальні права, якщо це відповідає суспільному інтересу, а саме опрацювання персональних даних у галузі трудового законодавства, законодавства про соціальний захист, у тому числі, про пенсійне забезпечення та забезпечення безпеки в галузі охорони здоров'я, цілей моніторингу та попередження, запобігання або контролю за інфекційними захворюваннями та іншими серйозними загрозами для здоров'я. Такий відступ можна зробити для цілей охорони здоров'я, у тому числі охорони суспільного здоров'я та управління послугами в сфері охорони здоров'я, особливо для того, щоб забезпечити якість та економію витрат на процедури щодо врегулювання претензій на пільги та послуги в системі медичного страхування або для досягнення цілей суспільного інтересу, цілей наукового чи історичного дослідження, статистичних цілей. Також відступ повинен дозволяти опрацювання таких персональних даних, якщо це необхідно для формування, здійснення або захисту правових претензій, під час судового провадження або в рамках адміністративної чи позасудової процедури.
(53) Опрацювання спеціальних категорій персональних даних, що потребують вищого ступеня захисту, необхідно здійснювати для цілей, пов'язаних з охороною здоров'я, лише якщо необхідно досягнути таких цілей в інтересах фізичних осіб та суспільства в цілому, зокрема в контексті управління послугами та системами з охорони здоров'я та соціального забезпечення, у тому числі опрацювання таких даних органами з управління та центральними органами з охорони здоров'я для цілі проведення контролю якості, управління інформацією та загального національного і місцевого нагляду за системою охорони здоров'я чи соціального забезпечення, а також забезпечення безперервності охорони здоров'я чи соціального забезпечення та транскордонної охорони здоров'я або безпеки в сфері охорони здоров'я, цілей моніторингу та попередження чи для досягнення цілей в інтересах суспільства, цілей наукового чи історичного дослідження, статистичних цілей, на підставі законодавства Союзу чи держави-члена, що має відповідати цілі суспільного інтересу, а також для навчання, яке проводять в інтересах суспільства в сфері охорони суспільного здоров'я. Тому, цей Регламент повинен передбачати гармонізовані умови для опрацювання спеціальних категорій персональних даних стосовно стану здоров'я, з урахуванням особливих потреб, зокрема, якщо такі дані опрацьовують особи, на яких покладено встановлене законом зобов'язання щодо збереження професійної таємниці, для певних цілей, пов'язаних із здоров'ям. Законодавство Союзу чи держави-члена повинно передбачати спеціальні та належні гарантії для захисту фундаментальних прав і персональних даних фізичних осіб. Державам-членам необхідно дозволити мати або вводити подальші умови, в тому числі обмеження, у зв'язку з опрацюванням генетичних даних, біометричних даних або даних стосовно стану здоров'я. Проте це не повинно перешкоджати вільному потоку персональних даних в межах Союзу тоді, коли такі умови застосовують до транскордонного опрацювання таких даних.
(54) Опрацювання спеціальних категорій персональних даних може бути необхідним в цілях суспільних інтересів у галузях охорони суспільного здоров'я без згоди суб'єкта даних. На таке опрацювання поширюється застосування відповідних і спеціальних інструментів для захисту прав і свобод фізичних осіб. У такому контексті, "суспільне здоров'я" необхідно тлумачити так, як це означено в Регламенті Європейського Парламенту і Ради (ЄС) N 1338/2008 [11], зокрема, як усі елементи, що стосуються здоров'я, а саме стан здоров'я, у тому числі захворюваність і недієздатність, визначальні чинники, що впливають на стан здоров'я, потребу в послугах з охорони здоров'я, надання та універсальний доступ до охорони здоров'я, витрати на послуги з охорони здоров'я та їх фінансування, причини смертності. Таке опрацювання даних стосовно стану здоров'я для цілей суспільних інтересів не повинно призводити до опрацювання персональних даних для інших цілей третіми сторонами, такими як працедавці або страхові компанії чи банківські установи.
(55) Крім того, опрацювання персональних даних офіційними органами для досягнення цілей, встановлених конституційним правом або міжнародним публічним правом, офіційно визнаних релігійних об'єднань необхідно здійснювати на підставі суспільного інтересу.
(56) У ході виборчого процесу, функціонування демократичної системи в державі-члені вимагає збирання політичними партіями персональних даних про політичні переконання населення, дозвіл на опрацювання таких даних можна надавати для цілей суспільного інтересу, за умови впровадження відповідних заходів безпеки.
(EN) The first exception is based on “explicit consent”. Article 9 consent differs from the general notion of consent of article 6 in one important aspect: it must be explicitly provided by the person concerned. It means that the consent must be freely given, specific, informed, and unambiguous, under the definition of article 4 (11), and, in addition to these requirements, it must be “explicit”.
What form of consent is considered “explicit” and thus valid under article 9? The sensitive nature of the data involved entails a consent that goes beyond the regular “statement or clear affirmative action” [article 4 (11)] on the part of the data subject. It means that s/he must give “an express statement of consent” (Guidelines on Consent), even in the case where services are provided on a contractual basis. An explicit consent is needed because there is no contract based exceptions in article 9 (2) a controller can rely on.
The Guidelines on Consent suggest that a written statement or even a signed written statement may be required, even though the GDPR does not prescribe such a form of consent. A signed consent may be relevant if health data are collected, for example, in the context of services offered by a private clinic or a convalescent home. A plastic surgeon may need to gather information about a client’s health condition or share medical information to seek a second opinion from one of her/his colleagues. The managers of a convalescent home will have to gather information about a future pensionary’s health condition to arrange the appropriate services needed during her/his stay.
A signed written statement is not as practical in the digital or online environment. How can a person consent if, for example, s/he buys a plane ticket online and requires special medical assistance at boarding time, during the flight or at her/his arrival at destination? A valid consent will also be difficult to obtain if a person places an online order for buying special eyewear as the seller has to collect health-related information about her/his vision and share it with the manufacturer.
Simply following a link or ticking a box might be regarded as an insufficient consent in these examples. The Guidelines on Consent recommend other forms of consent, like filling in an electronic form, using an electronic signature, recording an oral statement or proceeding with a two-step verification (ticking a box in a form and confirming the consent by email afterward, for example).
Article 9 prescribes that a person must consent “for one or more specified purposes”. The requirement goes beyond the “specific” quality of consent required by article 4 (11). Purposes must be clearly specified, which implies that the consent must be tied to specific data or precise categories of data that the controller will be allowed to process.
You must always remember that the GDPR is not a complete statement on the state of the law on data protection in a particular Member State, and it is particularly true here because there is an exception to the exception. Consent is an invalid basis to process special categories of personal data if a Member State prohibits the lifting of the prohibition for processing special categories of personal data by an individual in its national legislation, as the GDPR allows it.