(51) Персональные данные, которые по своей природе особенно чувствительны к фундаментальным правам и свободам, заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для фундаментальных прав и свобод. Такие персональные данные должны включать информацию, раскрывающую расовое и этническое происхождение, при этом использование термина «расовое происхождение» в настоящем Регламенте не означает, что Союз поддерживает подходы, которые пытаются установить существование отдельных человеческих рас. Обработка фотографий не должна систематически считаться обработкой особых категорий персональных данных, так как они охвачены определением понятия «биометрические данные» только, когда они обрабатываются посредством специальных технических средств, позволяющих осуществить уникальную идентификацию или аутентичность физического лица. Такие персональные данные не должны обрабатываться за исключением случаев, предусмотренных настоящим Регламентом, когда такая обработка разрешена. Следует принять во внимание, что государства-члены могут в соответствии со своим правом установить конкретные положения о защите персональных данных, чтобы адаптировать нормы Регламента в отношении соблюдения правовых обязательств или выполнения задач, осуществляемых в общественных интересах или в рамках должностных полномочий, возложенных на контролёра. В дополнение к конкретным требованиям для указанной обработки должны применяться общие принципы и иные положения настоящего Регламента, в том числе, относительно условий правомерности обработки. Изъятия из общего запрета на обработку таких особых категорий персональных данных должны быть чётко предусмотрены, в том числе когда субъект данных даёт своё явное согласие или в отношении конкретных потребностей, в частности, когда обработка осуществляется в ходе правомерной деятельность конкретных ассоциаций или фондов, целью которых является обеспечение осуществления фундаментальных свобод.
(51) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.
(52) Изъятия из запрета на обработку особых категорий персональных данных также должны быть разрешены, если они предусмотрены в праве Союза или праве государства-члена и обладают надлежащими гарантиями защиты персональных данных и других фундаментальных прав, если это оправдано с точки зрения общественного интереса, в частности, в отношении обработки персональных данных в области трудового права, права социальной защиты (включая пенсии), и в целях обеспечения безопасности, мониторинга здоровья и предупреждения заболеваний, профилактики или борьбы с инфекционными заболеваниями и других серьёзных угроз здоровью. Такое изъятие может быть сделано для целей здравоохранения и управления медицинскими услугами, особенно в целях гарантии качества и экономической эффективности методов, используемых для урегулирования претензий в системе медицинского страхования, или для архивных целей в интересах общества, для научных или исторических исследований или для статистических целей. Изъятие также может быть сделано для обработки персональных данных, необходимой для обоснования, исполнения или оспаривания исковых требований, в рамках судебной процедуры или в рамках административных или внесудебной процедур.
(52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.
(53) Особые категории персональных данных, нуждающиеся в большей защите, должны обрабатываться в целях, связанных со здоровьем, только в интересах физических лиц или общества в целом, в том числе, в контексте управления медицинскими или социальными услугами и системами, включая обработку таких персональных данных центральными национальными органами здравоохранения в целях контроля качества, информации по управлению, в том числе общего национального и местного надзора за системой медицинского и социального обслуживания, а также в целях обеспечения непрерывности медицинского обслуживания или социального обеспечения, трансграничного медицинского обслуживания, или в целях обеспечения безопасности, мониторинга здоровья и профилактики заболеваний; в архивных целях в общественных интересах, в целях научного или исторического исследования, или в статистических целях, на основании права Союза или права государства-члена, которое должно соответствовать цели общественного интереса, равно и в отношении исследований, проводимых по причинам общественного интереса в области общественного здравоохранения. Вследствие этого, настоящий Регламент должен предусматривать гармонизированные условия для обработки особых категорий персональных данных, связанных со здоровьем, в отношении особых потребностей, в частности, если обработка данных осуществляется в конкретных, связанных со здоровьем, целях лицами, которые несут юридические обязательства по соблюдению профессиональной тайны. Право Союза или право государства-члена должно предусматривать конкретные и приемлемые средства по защите фундаментальных прав и персональных данных физических лиц. Государства-члены могут сохранять или вводить дополнительные условия, в том числе ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья. Однако это не должно препятствовать свободному движению персональных данных в Союза, если указанные условия применяются в отношении трансграничной обработки этих данных.
(53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data.
(54) По причинам общественного интереса в области общественного здравоохранения может быть необходима обработка особых категорий персональных данных без согласия субъекта данных. Указанная обработка должна осуществляться в соответствии с приемлемыми и конкретными средствами по защите прав и свобод физических лиц. В данном контексте понятие «общественное здравоохранение» должно пониматься в соответствии с Регламентом (ЕС) 1338/2008 Европейского Парламента и Совета ЕС [11] и включать в себя все элементы, связанные со здоровьем, а именно: состояние здоровья, в том числе заболеваемость и нетрудоспособность; факторы, влияющие на состояние здоровья; потребности в медицинском обслуживании; ресурсы, отнесённые к медицинскому обслуживанию; специальный и общий доступ к медицинскому обслуживанию; соответствующие расходы и финансирование, а также причины смертности. Указанная обработка персональных данных, касающихся здоровья, по причинам общественного интереса не должна приводить к тому, что персональные данные будут обрабатываться в иных целях третьими лицами, например, нанимателями или страховыми и банковскими компаниями.
(54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council [11], namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies.
(55) Вместе с тем, обработка персональных данных государственными органами для достижения целей, предусмотренных конституционным или международным публичным правом, а также целей официально признанных религиозных организаций, осуществляется на основании общественного интереса.
(55) Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest.
(56) Если в ходе предвыборной деятельности функционирование демократической системы в государстве-члене требует, чтобы политические партии собирали персональные данные о политических взглядах физических лиц, обработка таких персональных данных может быть разрешена на основании общественного интереса, при условии наличия соответствующих гарантий.
(56) Where in the course of electoral activities, the operation of the democratic system in a Member State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.
Первое исключение основано на «явном согласии«. Согласие, предусмотренное в статье 9, отличается от общего понятия согласия, предусмотренного в статье 6, в одном важном аспекте: оно должно быть явно выражено соответствующим лицом. Следовательно, согласие должно быть свободно выраженным, конкретным, осознанным и недвусмысленным в соответствии с определением, содержащимся в статье 4 (11), и, помимо этих требований, оно должно быть «явно выраженным«.
Какая форма согласия считается «явно выраженной» и, следовательно, действительной в соответствии со статьей 9? Чувствительная природа соответствующих данных влечет за собой согласие, выходящее за рамки обычного «заявления или явного позитивного действия» [статья 4(11)] со стороны субъекта данных. Это означает, что субъект данных должен давать «прямое заявление о согласии» (Руководство по согласию) даже в том случае, если услуги предоставляются на договорной основе. Явно выраженное согласие необходимо, поскольку статья 9 (2) не предусматривает исключений по договору, на которые мог бы полагаться контролер.
В Руководстве по согласию предполагается, что может потребоваться письменное заявление или даже подписанное письменное заявление, несмотря на то, что GDPR не предписывает такую форму согласия. Подписанное согласие может быть релевантно, если данные о состоянии здоровья собираются, например, в контексте услуг, предлагаемых частной клиникой или домом престарелых. Пластическому хирургу может понадобиться собрать информацию о состоянии здоровья клиента или раскрыть данную информацию для того, чтобы запросить экспертное мнение одного из его коллег. Руководители дома престарелых должны будут собрать информацию о состоянии здоровья пенсионера, чтобы договориться о необходимых услугах, которые должны быть оказаны во время его пребывания.
Подписанное письменное заявление не так практично в цифровой или онлайн-среде. Как человек может дать согласие, если, например, он покупает билет на самолет онлайн и нуждается в специальной медицинской помощи во время посадки на рейс, во время полета или по прибытии в пункт назначения? Действительное согласие будет также трудно получить, если человек сделает онлайн-заказ на покупку специальных очков, так как продавец должен собрать связанную со здоровьем информацию о зрении покупателя и поделиться ею с производителем.
Простое следование по ссылке или отметка поля в приведенных примерах могут быть расценены как недостаточное согласие. Руководство по согласию рекомендуют другие формы согласия, такие как заполнение электронной формы, использование электронной подписи, запись устного заявления или проведение двухэтапной верификации (например, отметка поля в форме и последующее подтверждение согласия по электронной почте).
Статья 9 предписывает, что лицо должно давать согласие «для одной или нескольких конкретных целей«. Это требование выходит за рамки «конкретного» качества согласия, требуемого пунктом 11 статьи 4. Цели должны быть четко определены, что подразумевает, что согласие должно быть привязано к конкретным данным или точным категориям данных, которые контролер будет вправе обрабатывать.
Вы должны всегда помнить, что GDPR не является полным изложением законодательства о защите данных в конкретном государстве-члене ЕС. И это особенно релевантно в отношении защиты специальных категорий персональных данных, так как здесь имеют место исключения из исключений. Согласие является недействительным правовым основанием для обработки специальных категорий персональных данных, если в законодательстве государства запрещена отмена запрета на обработку специальных категорий персональных данных физическим лицом, что разрешено в соответствии с GDPR.