Commento dell'esperto
ISO 27701
Considerando
(51) Tá cosaint ar leith dlite do shonraí pearsanta ar de chineál fíor-íogair iad maidir le cearta bunúsacha agus saoirsí bunúsacha, toisc go bhféadfaí rioscaí suntasacha a chruthú do na cearta bunúsacha agus saoirsí bunúsacha mar thoradh ar chomhthéacs a bpróiseála. Ba cheart a áireamh ar na sonraí pearsanta sin sonraí pearsanta lena nochttar tionscnamh ciníoch nó eitneach, ar an tuiscint nach é an bhrí a bhainfear as úsáid an téarma “tionscnamh eitneach” sa Rialachán seo go nglactar san Aontas le teoiricí lena ndéantar iarracht a chinneadh gur ann do chiníocha daonna ar leith. Níor cheart a mheas go córasach gur próiseáil catagóirí speisialta sonraí pearsanta atá i bpróiseáil grianghraf ós rud é go gcumhdaítear iad leis an sainmhíniú ar shonraí bithmhéadracha sa chás nuar a dhéantar iad a phróiseáil trí mhodh sonrach teicniúil lena gceadaítear sainaithint uathúil nó fíordheimhniú uathúil duine nádúrtha agus sa chás sin amháin. Níor cheart sonraí pearsanta den sórt sin a phróiseáil, ach amháin má cheadaítear an phróiseáil i gcásanna sonracha a leagtar amach sa Rialachán seo, ag cur san áireamh gur féidir forálacha sonracha a leagan síos i ndlí an Bhallstáit sin maidir le cosaint sonraí d'fhonn cur i bhfeidhm na rialacha sa Rialachán seo a chur in oiriúint chun go gcomhlíonfaí oibleagáid dhlíthiúil nó chun cúram a chur i gcrích a dhéantar ar mhaithe le leas an phobail nó i bhfeidhmiú údaráis oifigiúil atá dílsithe don rialaitheoir. I dteannta na gceanglas sonrach maidir le próiseáil den sórt sin, ba cheart feidhm a bheith ag na prionsabail ghinearálta agus ag na rialacha eile atá sa Rialachán seo, go háirithe maidir leis na coinníollacha i ndáil le próiseáil dhleathach. Maoluithe ón toirmeasc ginearálta chun catagóirí speisialta sonraí pearsanta den sórt sin a phróiseáil, ba cheart foráil a dhéanamh go sainráite dóibh, inter alia, i gcás ina dtugann an t-ábhar sonraí a thoiliú nó a toiliú sainráite nó maidir le riachtanais shonracha, go háirithe i gcás ina ndéanann comhlachais nó fondúireachtaí áirithe an phróiseáil le linn gníomhaíochtaí dlisteanacha arb é is críoch dóibh go gceadaítear saoirsí bunúsacha a fheidhmiú.
(52) Ba cheart maolú a cheadú ón toirmeasc ar phróiseáil a dhéanamh ar chatagóirí speisialta sonraí pearsanta freisin i gcás ina bhforáiltear dó sin i ndlí an Aontais nó i ndlí Ballstáit agus faoi réir coimircí oiriúnacha, d'fhonn sonraí pearsanta agus cearta bunúsacha eile a chosaint, i gcás inarb é ar mhaithe le leas an phobail déanamh amhlaidh, go háirithe maidir le sonraí pearsanta a phróiseáil i réimse dhlí na fostaíochta, dhlí na coimirce sóisialta lena n-áirítear pinsin agus ar mhaithe le críocha shlándáil na sláinte, críocha faireacháin agus foláirimh, ar mhaithe le galair theagmhálacha agus bagairtí tromchúiseacha eile ar an tsláinte a chosc nó a rialú. Féadfar maolú den sórt sin a dhéanamh chun críocha na sláinte, lena n-áirítear an tsláinte phoiblí agus chun críocha bhainistiú na seirbhísí cúraim sláinte, go háirithe chun cáilíocht agus cost-éifeachtúlacht a áirithiú maidir leis na nósanna imeachta a úsáidtear chun éilimh ar shochair agus ar sheirbhísí sa chóras árachais sláinte a réiteach, nó chun críocha cartlannú a dhéanamh ar mhaithe le leas an phobail, chun críocha taighde eolaíoch agus stairiúil nó chun críocha staidrimh. Ba cheart a cheadú le maolú freisin go ndéanfaí sonraí pearsanta den sórt sin a phróiseáil i gcás inarb iomchuí maidir le héilimh dhlíthiúla a bhunú, a fheidhmiú nó a chosaint, cibé acu in imeachtaí breithiúnacha nó i nósanna imeachta riaracháin nó nósanna imeachta lasmuigh den chúirt.
(53) Catagóirí speisialta sonraí pearsanta a bhfuil cosaint níos airde dlite dóibh, ní fhéadfar iad a phróiseáil ach amháin chun críocha a bhaineann leis an tsláinte i gcás inar gá chun na críocha sin a bhaint amach chun tairbhe daoine nádúrtha agus na sochaí ina hiomláine, go háirithe i gcomhthéacs na seirbhísí agus na córais cúraim sláinte nó sóisialta a bhainistiú, lena n-áirítear na sonraí sin a bheith á bpróiseáil ag an mbainistíocht agus ag na húdaráis náisiúnta lárnacha chun críocha an rialaithe cáilíochta, an bhainistithe faisnéise agus na maoirseachta áitiúla agus náisiúnta ginearálta ar an gcóras cúraim sláinte nó sóisialta, agus chun leanúnachas a áirithiú maidir le cúram sláinte nó sóisialta agus maidir le cúram sláinte trasteorann nó an tslándáil sláinte thrasteorann nó chun críocha faireacháin agus foláirimh, nó chun críocha cartlannú a dhéanamh ar mhaithe le leas an phobail, chun críocha taighde eolaíoch nó stairiúil nó chun críocha staidrimh ar bhonn dhlí an Aontais nó dlí Ballstáit, a bhfuil sé riachtanach cuspóir a bhaineann le leas an phobail a chomhlíonadh ina leith, agus le haghaidh staidéir a dhéantar ar mhaithe le leas an phobail i réimse na sláinte poiblí. Dá bhrí sin, ba cheart foráil a dhéanamh sa Rialachán seo do choinníollacha comhchuibhithe chun próiseáil a dhéanamh ar chatagóirí speisialta sonraí pearsanta a bhaineann leis an tsláinte, i ndáil le riachtanais shonracha, go háirithe i gcás ina ndéanann daoine atá faoi réir oibleagáid dhlíthiúil maidir le rúndacht ghairmiúil sonraí den sórt sin a phróiseáil chun críocha áirithe a bhaineann leis an tsláinte. Ba cheart foráil a dhéanamh, i ndlí an Aontais nó i ndlíBallstáit, do bhearta sonracha oiriúnacha sa chaoi go gcosnófar cearta bunúsacha agus sonraí pearsanta daoine nádúrtha. Ba cheart a cheadú do na Ballstáit coinníollacha breise, lena n-áirítear teorainneacha, a choimeád nó a thabhairt isteach i ndáil le sonraí géiniteacha, sonraí bithmhéadracha nó sonraí a bhaineann leis an tsláinte a phróiseail. Mar sin féin, níor cheart dó sin bac a chur ar shaorshreabhadh sonraí pearsanta laistigh den Aontas nuair a bhíonn feidhm ag na coinníollacha sin maidir le próiseáil thrasteorann sonraí den sórt sin.
(54) D'fhéadfadh sé gur gá catagóirí speisialta sonraí pearsanta a phróiseáil ar mhaithe le leas an phobail i réimsí na sláinte poiblí gan toiliú ón ábhar onraí. Ba cheart próiseáil den sórt sin a bheith faoi réir bearta oiriúnacha sonracha ionas go gcosnófar cearta agus saoirsí daoine nádúrtha. Sa chomhthéacs sin, ba cheart “sláinte phoiblí” a léiriú mar atá sainmhínithe i Rialachán (CE) Uimh. 1338/2008 ó Pharlaimint na hEorpa agus ón gComhairle (11), eadhon na heilimintí uile a bhaineann leis an tsláinte, eadhon stádas sláinte, lena n-áirítear galracht agus míchumas, na deitéarmanaint a bhfuil tionchar acu ar an stádas sláinte sin, riachtanais chúraim sláinte, acmhainní a leithdháiltear ar chúram sláinte, soláthar cúraim sláinte agus rochtain uilíoch air, chomh maith le caiteachas ar chúram sláinte agus maoiniú do chúram sláinte agus cúiseanna mortlaíochta. Maidir le sonraí a bhaineann leis an tsláinte a phróiseáil ar chúiseanna a bhaineann le leas an phobail, níor cheart é a bheith mar thoradh ar phróiseáil den sórt sin go ndéanfadh tríú páirtithe, amhail fostóirí nó cuideachtaí árachais agus baincéireachta, sonraí pearsanta a phróiseáil chun críocha eile.
(55) Ina theannta sin, is ar mhaithe le leas an phobail a dhéanann údaráis oifigiúla sonraí pearsanta a phróiseáil chun aidhmeanna na gcomhlachas reiligiúnach atá aitheanta go hoifigiúil a bhaint amach, ar aidhmeanna iad atá leagtha síos le dlí bunreachtúil nó le dlí idirnáisiúnta poiblí.
(56) I gcás ina gcuireann feidhmiú an chórais dhaonlathaigh i mBallstát, agus é i mbun gníomhaíochtaí toghcháin, de cheangal go dtiomsaíonn páirtithe polaitiúla sonraí pearsanta maidir le tuairimí polaitiúla na ndaoine, féadfar próiseáil sonraí den sórt sin a cheadú ar chúiseanna a bhaineann le leas an phobail, ar choinníoll go mbunaítear coimircí iomchuí.
Linee guida e Giurisprudenza
(EN)
Documents
Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):
Any possible targeting of data subjects based on sensitive information opens the possibility of abuse. Furthermore, given the sensitivity of such information and the possible awkward situations which may arise if individuals receive advertising that reveals, for example, sexual preferences or political activity, offering/using interest categories that would reveal sensitive data should be discouraged.
In this context, the only available legal ground that would legitimize the data processing would be explicit, separate prior opt-in consent. The requirement for a separate, affirmative prior indication of the data subjects’ agreement means that in no case would an opt-out consent mechanism meet the requirement of the law. It also means that such consent could not be obtained through browser settings. To lawfully collect and process this type of information, ad network providers would have to set up mechanisms to obtain explicit prior consent, separate from other consent obtained for processing in general.
EDPB, Assessing the Necessity of Measures That Limit the Fundamental Right to the Protection of Personal Data: A Toolkit (2017).
WP29, Opinion on data processing at work (2017).
European Commission, Commission Guidance on the application of Union data protection law in the electoral context, A contribution from the European Commission to the Leaders’ meeting in Salzburg on 19-20 September 2018.
EDPB, Guidelines on Assessing the Proportionality of Measures That Limit the Fundamental Rights to Privacy and to the Protection of Personal Data (2019).
EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
Case Law
Grainger Plc v. Nicholson, [2010] ICR 360.
CJEC, Lindqvist, C-101/01 (2003).
Eur. Court HR (Grand Chamber), López Ribalda v. Spain, nos. 1874/13 and 8567/13 (2019).
Eur. Court HR, Gaughran v. United Kingdom, no. 45245/15 (2020).
(EN) The first exception is based on “explicit consent”. Article 9 consent differs from the general notion of consent of article 6 in one important aspect: it must be explicitly provided by the person concerned. It means that the consent must be freely given, specific, informed, and unambiguous, under the definition of article 4 (11), and, in addition to these requirements, it must be “explicit”.
What form of consent is considered “explicit” and thus valid under article 9? The sensitive nature of the data involved entails a consent that goes beyond the regular “statement or clear affirmative action” [article 4 (11)] on the part of the data subject. It means that s/he must give “an express statement of consent” (Guidelines on Consent), even in the case where services are provided on a contractual basis. An explicit consent is needed because there is no contract based exceptions in article 9 (2) a controller can rely on.
The Guidelines on Consent suggest that a written statement or even a signed written statement may be required, even though the GDPR does not prescribe such a form of consent. A signed consent may be relevant if health data are collected, for example, in the context of services offered by a private clinic or a convalescent home. A plastic surgeon may need to gather information about a client’s health condition or share medical information to seek a second opinion from one of her/his colleagues. The managers of a convalescent home will have to gather information about a future pensionary’s health condition to arrange the appropriate services needed during her/his stay.
A signed written statement is not as practical in the digital or online environment. How can a person consent if, for example, s/he buys a plane ticket online and requires special medical assistance at boarding time, during the flight or at her/his arrival at destination? A valid consent will also be difficult to obtain if a person places an online order for buying special eyewear as the seller has to collect health-related information about her/his vision and share it with the manufacturer.
Simply following a link or ticking a box might be regarded as an insufficient consent in these examples. The Guidelines on Consent recommend other forms of consent, like filling in an electronic form, using an electronic signature, recording an oral statement or proceeding with a two-step verification (ticking a box in a form and confirming the consent by email afterward, for example).
Article 9 prescribes that a person must consent “for one or more specified purposes”. The requirement goes beyond the “specific” quality of consent required by article 4 (11). Purposes must be clearly specified, which implies that the consent must be tied to specific data or precise categories of data that the controller will be allowed to process.
You must always remember that the GDPR is not a complete statement on the state of the law on data protection in a particular Member State, and it is particularly true here because there is an exception to the exception. Consent is an invalid basis to process special categories of personal data if a Member State prohibits the lifting of the prohibition for processing special categories of personal data by an individual in its national legislation, as the GDPR allows it.