Статья 9 📖 GDPR. Обработка специальных категорий персональных данных

Статья 9 GDPR. Обработка специальных категорий персональных данных

Article 9 GDPR. Processing of special categories of personal data

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

Руководство и прецедентное право Преамбулы

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Opinion 2/2012 on Facial Recognition in Online and Mobile Services (2012).

Article 29 Working Party, Opinion 3/2012 on Developments in Biometric Technologies (2012).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020):

If a social media provider or a targeter uses observed data to categorise users as having certain religious, philosophical or political beliefs-regardless of whether the categorization is correct/true or not-this categorisation of the user must obviously be seen as processing of special category of personal data in this context. As long as the categorisation enables targeting based on special category data, it does not matter how the category is labelled.

EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (2020).

Financial transactions can reveal sensitive information about individual data subject, including those related to special categories of personal data. For example, political opinions and religious beliefs may be revealed by donations made to political parties or organisations, churches or parishes. Trade union membership may be revealed by the deduction of an annual membership fee from a person’s bank account. Personal data concerning health may be gathered from analysing medical bills paid by a data subject. Finally, information on certain purchases may reveal information concerning a person’s sex life or sexual orientation.

Moreover, through the sum of financial transactions, different kinds of behavioural patterns could be revealed, including special categories of personal data and additional services that are facilitated by account information services might rely on profiling as defined by article 4 (4) of the GDPR. Therefore, the chances are considerable that a service provider processing information on financial transactions of data subjects also processes special categories of personal data.

Преамбулы

(51) Персональные данные, которые по своей природе особенно чувствительны к фундаментальным правам и свободам, заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для фундаментальных прав и свобод. Такие персональные данные должны включать информацию, раскрывающую расовое и этническое происхождение, при этом использование термина «расовое происхождение» в настоящем Регламенте не означает, что Союз поддерживает подходы, которые пытаются установить существование отдельных человеческих рас. Обработка фотографий не должна систематически считаться обработкой особых категорий персональных данных, так как они охвачены определением понятия «биометрические данные» только, когда они обрабатываются посредством специальных технических средств, позволяющих осуществить уникальную идентификацию или аутентичность физического лица. Такие персональные данные не должны обрабатываться за исключением случаев, предусмотренных настоящим Регламентом, когда такая обработка разрешена. Следует принять во внимание, что государства-члены могут в соответствии со своим правом установить конкретные положения о защите персональных данных, чтобы адаптировать нормы Регламента в отношении соблюдения правовых обязательств или выполнения задач, осуществляемых в общественных интересах или в рамках должностных полномочий, возложенных на контролёра. В дополнение к конкретным требованиям для указанной обработки должны применяться общие принципы и иные положения настоящего Регламента, в том числе, относительно условий правомерности обработки. Изъятия из общего запрета на обработку таких особых категорий персональных данных должны быть чётко предусмотрены, в том числе когда субъект данных даёт своё явное согласие или в отношении конкретных потребностей, в частности, когда обработка осуществляется в ходе правомерной деятельность конкретных ассоциаций или фондов, целью которых является обеспечение осуществления фундаментальных свобод.

(51) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.

2. Параграф 1 не применяется, в одном из следующих случаев:

2. Paragraph 1 shall not apply if one of the following applies:

Преамбулы

(52) Изъятия из запрета на обработку особых категорий персональных данных также должны быть разрешены, если они предусмотрены в праве Союза или праве государства-члена и обладают надлежащими гарантиями защиты персональных данных и других фундаментальных прав, если это оправдано с точки зрения общественного интереса, в частности, в отношении обработки персональных данных в области трудового права, права социальной защиты (включая пенсии), и в целях обеспечения безопасности, мониторинга здоровья и предупреждения заболеваний, профилактики или борьбы с инфекционными заболеваниями и других серьёзных угроз здоровью. Такое изъятие может быть сделано для целей здравоохранения и управления медицинскими услугами, особенно в целях гарантии качества и экономической эффективности методов, используемых для урегулирования претензий в системе медицинского страхования, или для архивных целей в интересах общества, для научных или исторических исследований или для статистических целей. Изъятие также может быть сделано для обработки персональных данных, необходимой для обоснования, исполнения или оспаривания исковых требований, в рамках судебной процедуры или в рамках административных или внесудебной процедур.

(52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.

(53) Особые категории персональных данных, нуждающиеся в большей защите, должны обрабатываться в целях, связанных со здоровьем, только в интересах физических лиц или общества в целом, в том числе, в контексте управления медицинскими или социальными услугами и системами, включая обработку таких персональных данных центральными национальными органами здравоохранения в целях контроля качества, информации по управлению, в том числе общего национального и местного надзора за системой медицинского и социального обслуживания, а также в целях обеспечения непрерывности медицинского обслуживания или социального обеспечения, трансграничного медицинского обслуживания, или в целях обеспечения безопасности, мониторинга здоровья и профилактики заболеваний; в архивных целях в общественных интересах, в целях научного или исторического исследования, или в статистических целях, на основании права Союза или права государства-члена, которое должно соответствовать цели общественного интереса, равно и в отношении исследований, проводимых по причинам общественного интереса в области общественного здравоохранения. Вследствие этого, настоящий Регламент должен предусматривать гармонизированные условия для обработки особых категорий персональных данных, связанных со здоровьем, в отношении особых потребностей, в частности, если обработка данных осуществляется в конкретных, связанных со здоровьем, целях лицами, которые несут юридические обязательства по соблюдению профессиональной тайны. Право Союза или право государства-члена должно предусматривать конкретные и приемлемые средства по защите фундаментальных прав и персональных данных физических лиц. Государства-члены могут сохранять или вводить дополнительные условия, в том числе ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья. Однако это не должно препятствовать свободному движению персональных данных в Союза, если указанные условия применяются в отношении трансграничной обработки этих данных.

(53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data.

(54) По причинам общественного интереса в области общественного здравоохранения может быть необходима обработка особых категорий персональных данных без согласия субъекта данных. Указанная обработка должна осуществляться в соответствии с приемлемыми и конкретными средствами по защите прав и свобод физических лиц. В данном контексте понятие «общественное здравоохранение» должно пониматься в соответствии с Регламентом (ЕС) 1338/2008 Европейского Парламента и Совета ЕС [11] и включать в себя все элементы, связанные со здоровьем, а именно: состояние здоровья, в том числе заболеваемость и нетрудоспособность; факторы, влияющие на состояние здоровья; потребности в медицинском обслуживании; ресурсы, отнесённые к медицинскому обслуживанию; специальный и общий доступ к медицинскому обслуживанию; соответствующие расходы и финансирование, а также причины смертности. Указанная обработка персональных данных, касающихся здоровья, по причинам общественного интереса не должна приводить к тому, что персональные данные будут обрабатываться в иных целях третьими лицами, например, нанимателями или страховыми и банковскими компаниями.

(54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council [11], namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies.

_{[11] Регламент (EC) 1338/2008 Европейского Парламента и Совета ЕС от 16 декабря 2008 г. о статистике Сообщества в отношении общественного здравоохранения и безопасности на рабочих местах (Официальный журнал Европейского союза N L 354, 31.12.2008, стр. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC}

_{[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC}

(55) Вместе с тем, обработка персональных данных государственными органами для достижения целей, предусмотренных конституционным или международным публичным правом, а также целей официально признанных религиозных организаций, осуществляется на основании общественного интереса.

(55) Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest.

(56) Если в ходе предвыборной деятельности функционирование демократической системы в государстве-члене требует, чтобы политические партии собирали персональные данные о политических взглядах физических лиц, обработка таких персональных данных может быть разрешена на основании общественного интереса, при условии наличия соответствующих гарантий.

(56) Where in the course of electoral activities, the operation of the democratic system in a Member State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.

(a) субъект данных выразил отчетливое согласие на обработку этих персональных данных для одной или нескольких обозначенных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что субъект данных не может снять запрет, указанный в параграфе 1;

(a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

Комментарий эксперта ISO 27701 Связанные статьи

Комментарий эксперта

Первое исключение основано на «явном согласии«. Согласие, предусмотренное в статье 9, отличается от общего понятия согласия, предусмотренного в статье 6, в одном важном аспекте: оно должно быть явно выражено соответствующим лицом. Следовательно, согласие должно быть свободно выраженным, конкретным, осознанным и недвусмысленным в соответствии с определением, содержащимся в статье 4 (11), и, помимо этих требований, оно должно быть «явно выраженным«.

Какая форма согласия считается «явно выраженной» и, следовательно, действительной в соответствии со статьей 9? Чувствительная природа соответствующих данных влечет за собой согласие, выходящее за рамки обычного «заявления или явного позитивного действия» [статья 4(11)] со стороны субъекта данных. Это означает, что субъект данных должен давать «прямое заявление о согласии» (Руководство по согласию) даже в том случае, если услуги предоставляются на договорной основе. Явно выраженное согласие необходимо, поскольку статья 9 (2) не предусматривает исключений по договору, на которые мог бы полагаться контролер.

В Руководстве по согласию предполагается, что может потребоваться письменное заявление или даже подписанное письменное заявление, несмотря на то, что GDPR не предписывает такую форму согласия. Подписанное согласие может быть релевантно, если данные о состоянии здоровья собираются, например, в контексте услуг, предлагаемых частной клиникой или домом престарелых. Пластическому хирургу может понадобиться собрать информацию о состоянии здоровья клиента или раскрыть данную информацию для того, чтобы запросить экспертное мнение одного из его коллег. Руководители дома престарелых должны будут собрать информацию о состоянии здоровья пенсионера, чтобы договориться о необходимых услугах, которые должны быть оказаны во время его пребывания.

Подписанное письменное заявление не так практично в цифровой или онлайн-среде. Как человек может дать согласие, если, например, он покупает билет на самолет онлайн и нуждается в специальной медицинской помощи во время посадки на рейс, во время полета или по прибытии в пункт назначения? Действительное согласие будет также трудно получить, если человек сделает онлайн-заказ на покупку специальных очков, так как продавец должен собрать связанную со здоровьем информацию о зрении покупателя и поделиться ею с производителем.

Простое следование по ссылке или отметка поля в приведенных примерах могут быть расценены как недостаточное согласие. Руководство по согласию рекомендуют другие формы согласия, такие как заполнение электронной формы, использование электронной подписи, запись устного заявления или проведение двухэтапной верификации (например, отметка поля в форме и последующее подтверждение согласия по электронной почте).

Статья 9 предписывает, что лицо должно давать согласие «для одной или нескольких конкретных целей«. Это требование выходит за рамки «конкретного» качества согласия, требуемого пунктом 11 статьи 4. Цели должны быть четко определены, что подразумевает, что согласие должно быть привязано к конкретным данным или точным категориям данных, которые контролер будет вправе обрабатывать.

Вы должны всегда помнить, что GDPR не является полным изложением законодательства о защите данных в конкретном государстве-члене ЕС. И это особенно релевантно в отношении защиты специальных категорий персональных данных, так как здесь имеют место исключения из исключений. Согласие является недействительным правовым основанием для обработки специальных категорий персональных данных, если в законодательстве государства запрещена отмена запрета на обработку специальных категорий персональных данных физическим лицом, что разрешено в соответствии с GDPR.

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 9(2)(a) GDPR:

7.2.4 Получение и регистрация согласия

Средство управления

Организация должна получать и регистрировать согласие субъектов ПИИ согласно задокументированным процессам.

Руководство по внедрению

Организация должна получить и зарегистрировать согласие субъекта ПИИ таким образом, чтобы по запросу она могла предоставить подробности предоставленного согласия (например, время, когда оно было предоставлено, личность субъекта ПИИ и заявление о согласии).

…

Войти
для доступа к полному тексту

Связанные статьи

Руководство по согласию в соответствии с Регламентом 2016/679

Guidelines on consent under Regulation 2016/679

ПОЛУЧЕНИЕ ОТЧЕТЛИВОГО СОГЛАСИЯ

OBTAINING EXPLICIT CONSENT

93. Термин «отчетливое» относится к способу выражения согласия субъектом данных. Это означает, что субъект данных должен дать явное заявление о согласии. Очевидный способ убедиться, что согласие является отчетливым, состоит в том, чтобы прямо подтвердить согласие в письменном заявлении. В соответствующих случаях контролер может убедиться, что письменное заявление подписано субъектом данных, чтобы устранить все возможные сомнения и потенциальное отсутствие доказательств в будущем.[47]

93. The term explicit refers to the way consent is expressed by the data subject. It means that the data subject must give an express statement of consent. An obvious way to make sure consent is explicit would be to expressly confirm consent in a written statement. Where appropriate, the controller could make sure the written statement is signed by the data subject, in order to remove all possible doubt and potential lack of evidence in the future.[47]

_{[47] См. также Мнение от 15/2011 о понятии согласия (РГ 187), стр.25.}

_{[47] See also WP29 Opinion 15/2011, on the definition of consent (WP 187), p. 25.}

94. Однако такое подписанное заявление не является единственным способом получения отчетливого согласия, и также нельзя утверждать, что GDPR указывает, что при любых обстоятельствах, которые требуют отчетливого согласия, должны быть подписанные заявления в письменном виде. Например, в цифровом или интерактивном контексте субъект данных может предоставить требуемое заявление, заполнив электронную форму, отправив электронное письмо, загрузив отсканированный документ с подписью субъекта данных или используя электронную подпись. Теоретически, использование устных заявлений также может быть достаточно, чтобы получить действительное отчетливое согласие, однако контролеру будет трудно доказать, что все условия для действительного отчетливого согласия были выполнены при регистрации заявления.

94. However, such a signed statement is not the only way to obtain explicit consent and, it cannot be said that the GDPR prescribes written and signed statements in all circumstances that require valid explicit consent. For example, in the digital or online context, a data subject may be able to issue the required statement by filling in an electronic form, by sending an email, by uploading a scanned document carrying the signature of the data subject, or by using an electronic signature. In theory, the use of oral statements can also be sufficiently express to obtain valid explicit consent, however, it may be difficult to prove for the controller that all conditions for valid explicit consent were met when the statement was recorded.

95. Организация может также получить отчетливое согласие посредством телефонного разговора при условии, что информация о выборе является справедливой, понятной и ясной, и она запрашивает конкретное подтверждение от субъекта данных (например, нажатие кнопки или предоставление устного подтверждения).

95. An organisation may also obtain explicit consent through a telephone conversation, provided that the information about the choice is fair, intelligible and clear, and it asks for a specific confirmation from the data subject (e.g. pressing a button or providing oral confirmation).

(b) обработка необходима в целях исполнения обязательств и определенных прав контролёра или субъекта данных в сфере трудового права, права социального обеспечения и социальной защиты в той мере, насколько это допускается законодательством Союза или государства-члена или коллективным договором согласно законодательству государства-члена, предусматривающему соответствующие средства защиты фундаментальных прав и интересов субъекта данных;

(b) processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;

Комментарий эксперта

Обработка специальных категорий персональных данных в области занятости, социального обеспечения и социальной защиты возможна только в том случае, если она является «необходимой» (о необходимости и принципах соразмерности см. в общем комментарии ниже) и отвечает двум другим условиям:

она разрешена правом Европейского Союза или законодательством государства-члена или коллективным договором; и
имеются надлежащие гарантии для защиты основных прав и интересов индивидов.

Европейское регулирование в основном ссылается на законодательство государств-членов, чтобы признать существование исключений и установить, соблюдаются ли основные права отдельных лиц. Таким образом, не существует общих правил, применимых в отношении всего Союза, и исключение должно рассматриваться отдельно в каждом государстве. Контролер должен ссылаться на конкретное правовое положение, разрешающее обработку персональных данных в соответствии с законодательством о занятости, социальном обеспечении или социальной защите.

Государства-члены могут разрешить работодателям собирать персональные данные для предоставления своим работникам полисов медицинского страхования, вести учет отпусков по болезни, беременности и родам или по уходу за ребенком, вычитать профсоюзные взносы из зарплатных ведомостей или обеспечивать особые условия труда или благоприятную рабочую обстановку для лиц с ограниченными возможностями. Они также могут разрешить страховщикам, например, обрабатывать данные о здоровье для выплаты работникам пособий по несчастным случаям или инвалидности.

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

(c) обработка необходима для защиты жизненных интересов субъекта данных, либо другого физического лица, когда субъект данных физически или юридически не способен дать согласие;

(c) processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent;

Комментарий эксперта

В соответствии со статьей 9 (2)(с), обработка специальных категорий персональных данных допускается, если она «необходима» (о необходимости и принципах соразмерности см. в общем комментарии ниже) для защиты жизненно важных интересов лица или третьих лиц. Такое исключение, как защита жизненно важных интересов, аналогично статье 6 (1) (d) правового основания для обработки данных, за исключением того, что оно применяется только в том случае, если вы не можете получить согласие лица.

Сфера действия исключения ограничена, поскольку оно касается только защиты «жизненно важного интереса» лица, т.е. «интереса, имеющего существенное значение для [его] жизни» (Преамбула 46). Жизненно важный интерес включает в себя угрозы физической неприкосновенности или жизни лица или третьего лица. Иными словами, речь должна идти о жизни и смерти, несмотря на то, что Преамбула 46, как представляется, расширяет сферу действия исключения. Согласно Преамбуле 46, данное основание может также применяться к гуманитарным ситуациям, таким как мониторинг эпидемий или оказание помощи в случае стихийных или антропогенных бедствий.

Второе условие резко ограничивает сферу действия исключения в отношении жизненно важных интересов: на него можно ссылаться только в том случае, если лицо физически или юридически не способно дать согласие. Это может произойти, например, в том случае, если лицо находится в бессознательном состоянии или не может дать согласие в силу своего правового статуса, как, например, несовершеннолетний или совершеннолетний, находящийся под опекой или попечительством. В соответствии с пунктом 2 а) статьи 9, когда это возможно, следует запрашивать явно выраженное согласие. Вы не можете полагаться на исключение, касающееся жизненно важных интересов, в качестве альтернативного варианта, если лицо способно дать согласие и отказалось от него.

Исключение, касающееся жизненно важных интересов, особенно полезно в чрезвычайных медицинских ситуациях. Например, если какое-либо лицо получило опасную для жизни травму, медицинскому персоналу может понадобиться его история болезни, чтобы принять решение о надлежащем лечении. Поскольку это лицо не в состоянии дать свое согласие, больнице необходимо правовое основание для обработки данных о его здоровье, и исключение, касающееся жизненно важных интересов, может оказаться таковым. Оно также может быть применимо в случае эпидемий. Например, может возникнуть ситуация, когда не все инфицированные лица могут своевременно дать свое согласие для обработки данных медицинским персоналом в целях защиты жизненно важных интересов третьих лиц.

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

(d) обработка осуществляется в политических, философских, религиозных или профсоюзных целях в рамках легитимной деятельности фонда, объединения или некоммерческой организации с соблюдением соответствующих гарантий при условии, что обработка касается исключительно членов, бывших членов организации или лицам, которые осуществляют постоянный контакт с нею в связи с ее целями, и что персональные данные не разглашаются за пределы данного органа без согласия на это субъекта персональных данных;

(d) processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects;

Комментарий эксперта

GDPR содержит специальное исключение для обработки особых категорий персональных данных следующими типами организаций:

ассоциации;
фонды; и
другие некоммерческие организации.

Перечень является закрытым и ограничивается именно этими типами организаций, исключая любые другие типы. Поскольку правовой статус некоммерческих и благотворительных организаций в Европейском Союзе не является единым, не следует придавать слишком большое значение названию соответствующего учреждения. Использование термина «другие некоммерческие организации» подтверждает, что перечень носит иллюстративный характер, а точный характер организации зависит от правовой формы и структуры, которую предоставляют ей государства-члены.

Речь идет скорее о целях и задачах организации, а не о ее точном наименовании, поскольку она должна преследовать одну из следующих задач:

политические;
философские;
религиозные; или
профсоюзные.

Перечень касается ограниченного числа видов деятельности и не может быть расширен. Определение целей политических партий, религиозных организаций и профсоюзов доста не является затруднительным. Однако категорию “философская цель” не так легко определить. Например, организация, занимающаяся вопросами, относящимися к экологии, вегетарианству или к борьбе с видовой дискриминацией, может быть квалифицирована как преследующая философскую цель в зависимости от законодательства государства-члена. Насколько эта категория может быть расширена, будет зависеть от толкования этого положения Судом Европейского Союза.

Эти организации должны обрабатывать специальные категории персональных данных только в ходе своей «легитимной деятельности» . Это означает, что обработка должна быть непосредственно связана с политической, философской, религиозной или профсоюзной деятельностью организации. Ассоциация, фонд или любая другая некоммерческая организация не может ссылаться на это исключение для обработки специальных категорий персональных данных, которые не имеют тесной связи с ее основной деятельностью в рамках целей и компетенций, изложенных в ее уставных документах.

GDPR требует, чтобы организации обращались со специальными категориями персональных данных с предоставлением соответствующих гарантий. При этом не совсем ясно, что именно имелось в виду законодателем при принятии этого дополнительного условия. Очевидно, что это подразумевает принятие надлежащих мер безопасности для защиты обрабатываемых данных в связи с их чувствительной природой. Данные также должны быть доступны только тем лицам, которые должны работать с ними для достижения целей организаций.

Из этого логически вытекает, что персональные данные не могут быть переданы за пределы организации, однако статья 9 2) d) допускает такую передачу с согласия соответствующих лиц. Например, организация не может делиться списком ее членов с другими организациями, если не было получено согласие каждого из них. На мой взгляд, нет никаких юридических препятствий для продажи этого же списка в целях финансирования деятельности организации, если ее члены дают согласие на передачу их персональных данных. Организация также должна получить согласие на то, чтобы назвать имя любого из участников, например, в рамках кампании по сбору средств или в ежегодном отчете.

Сфера действия исключения ограничивается обработкой специальных категорий персональных данных, касающихся i) членов организации, ii) бывших членов или iii) лиц, которые имеют с ней «регулярный контакт» в связи с ее целями. К этому перечню не относятся сотрудники или потенциальные члены организации до их вступления в организацию, но могут относиться партнеры, вкладчики или постоянные бенефициары услуг организации, которые формально не являются ее членами.

Данное исключение из общего правила о том, что специальные категории персональных данных не могут обрабатываться, позволяет организациям, которые обязаны своим существованием исключительно достижению одной из указанных целей, обрабатывать данные, необходимые для своей деятельности. Каким образом будет существовать политическая партия, если она не может обрабатывать данные о политических убеждениях своих участников? То же самое касается и профсоюзов, которые должны обрабатывать данные об их членах, а также церквей, которые должны обрабатывать данные, раскрывающие религиозные убеждения верующих в ходе своей обычной деятельности (см. ст. 91).

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

(e) обработка касается персональных данных, которые субъект данных явным образом сделал публичными;

(e) processing relates to personal data which are manifestly made public by the data subject;

Комментарий эксперта Руководство и прецедентное право

Комментарий эксперта

(EN) The European legislator introduced an exception – for special categories of personal data which are manifestly made public by a person – that seems completely logical at first glance. If a person willingly shares her/his data, it sounds reasonable to allow the processing of these data by third parties. On second thought, many questions come to mind. What does “manifestly” mean? When are data “public”? How to determine if a person intended to make her/his data public?

The exception does not concern all special categories of data publicly available. It applies strictly to data that an individual personally disclosed. It must be a publication that results from a clear and voluntary decision from an individual to disclose information about her/him. It should not be an accidental, inadvertent, involuntary or unintentional disclosure. It should be the result of a free and deliberate decision. The individual must be fully conscious that s/he made her/his data public. Thus, it excludes leaked data, data accessible after a security breach or data shared unintentionally or by inadvertence…

…

Войти
для доступа к полному тексту

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

Руководство и прецедентное право

(EN) EDPB, Guidelines 8/2020 on the targeting of social media users (2020):

The word “manifestly” implies that there must be a high threshold for relying on this exemption.The EDPB notes that the presence of a single element may not always be sufficient to establish that the data have been “manifestly” made public by the data subject. In practice,a combination of the following or other elements may need to be considered for controllers to demonstrate that the data subject has clearly manifested the intention to make the data public, and a case-by-case assessment is needed. The following elements may be relevant to help inform this assessment:

the default settings of the social media platform (i.e. whether the data subject took a specific action to change these default private settings into public ones); or

the nature of the social media platform (i.e. whether this platform is intrinsically linked with the idea of connecting with close acquaintances of the data subject or creating intimate relations (such as online dating platforms), or if it is meant to provide a wider scope of interpersonal relations, such as professional relations, or microblogging, etc… ; or

the accessibility of the page where the sensitive data is published (i.e. whether the information is publically accessible or if, for instance, the creation of an account is necessary before accessing the information); or

the visibility of the information where the data subject is informed of the public nature of the information that they publish (i.e. whether there is for example a continuous banner on the page, or whether the button for publishing informs the data subject that the information will be made public…); or

if the data subject has published the sensitive data himself/herself, or whether instead the data has been published by a third party (e.g. a photo published by a friend which reveals sensitive data) or inferred.

The EDPB notes that the presence of a single element may not always be sufficient to establish that the data have been “manifestly” made public by the data subject. In practice,a combination of these or other elements may need to be considered for controllers to demonstrate that the data subject has clearly manifested the intention to make the data public.

(f) обработка необходима для заявления, исполнения или защиты законных требований или в рамках осуществления правосудия судами;

(f) processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity;

Комментарий эксперта

“Юридическое” исключение состоит из двух отдельных частей:

обработка, необходимая для заявления, осуществления или защиты законного требования, и
осуществление правосудия судами.

1) Исключение в отношении законных требований в контексте статьи 9 носит широкий характер и не ограничивается находящимися на рассмотрении судов. Оно применяется как к текущим, так и к будущим судебным разбирательствам. Лицо может быть вынуждено раскрыть персональные данные для получения юридической консультации, сообщить о ситуации, которая потенциально может привести к судебному иску, или подготовиться к будущему судебному разбирательству, даже если еще не было возбуждено ни одной процедуры в суде. Это исключение может касаться административных или судебных разбирательств, а также внесудебных процедур (Преамбула 52).

Ключевое словосочетание в подпункте f) пункта 2 — «необходима» (о принципе необходимости см. ниже в общем комментарии). Использование личной информации должно быть необходимым для установления, осуществления или защиты прав. При этом также предстоит определить, какие средства являются необходимыми в контексте GDPR. Ссылка на принцип общей необходимости в праве Европейского Союза должна привести к обоснованию использования персональных данных для “юридического” исключения на основе объективных доказательств. Должна существовать существенная связь между обработкой и данными, обрабатываемыми в контексте конкретного случая.

Использование персональных данных также должно быть пропорциональным (о принципе пропорциональности см. в общем комментарии ниже): оно не должно выходить за рамки того, что необходимо для достижения преследуемой цели. Используемые данные должны быть адекватными и актуальными «заявления, исполнения или защиты законных требований«, а их использование должно ограничиваться тем, что необходимо. Другими словами, не следует использовать больше данных, чем необходимо для достижения поставленной цели.

Примером использования персональных данных до начала любого судебного разбирательства может служить случай, когда Вы должны сообщить о несчастном случае Вашей страховой компании. В конечном счете, Вашей страховой компании придется обрабатывать данные, касающиеся Вашего здоровья или здоровья других лиц, причастных к несчастному случаю. Это не означает, что иск будет подан в суд, а если и будет, то он не будет рассмотрен до начала судебного разбирательства.

Могу привести еще один пример, касающийся установления защиты по фактическому иску. Ваш сотрудник подает на Вас в суд после того, как на рабочем месте произошел несчастный случай. Вы должны будете поделиться с Вашим адвокатом деталями происшествия, в том числе имеющейся в вашем распоряжении информацией о травмах, полученных вашим сотрудником. Поскольку эти данные считаются информацией, связанной со здоровьем, вы должны будете ссылаться на исключение, предусмотренное в пункте 2) (f).

2) Вторая часть правового исключения касается осуществления правосудия судами. Исключение необходимо для сохранения независимости правосудия (Преамбула 20), что также обеспечивает соблюдение правовых гарантий, предусмотренных европейскими и национальными документами о правах и свободах. В GDPR не уточняется сфера действия выражения «в рамках осуществления правосудия судами«, за исключением того, что оно включает в себя процесс принятия решений (Преамбула 20).

В статье 9 упоминаются только «суды«, а Преамбула 97, по-видимому, распространяет исключение на «независимые судебные органы«. Даже если это не так, толкование термина «суд» может привести к такому расширению. В связи с этим возникают вопросы по многим существующим процедурам, возглавляемым квазисудебными органами, такими как арбитры, третейские суды или государственные административные органы. Они проводят разбирательства, в ходе которых должны быть гарантированы права и свободы участвующих сторон, они определяют факты, толкуют законодательство и имеют полномочия на вынесение решений, как и любые другие суды.

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

(g) обработка необходима из соображений важного публичного интереса на основании законодательства Союза или государства-члена, которые должны быть пропорциональны преследуемой цели, должны соответствовать сути права на защиту персональных данных и предусматривать подходящие и конкретные меры для защиты фундаментальных прав и интересов субъекта данных;

(g) processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject;

Комментарий эксперта

Исключение «публичного интереса» характеризуется большим количеством условий и, следовательно, ограниченной сферой его применения:

Обработка должна быть необходима;
она должна основываться на праве Союза или государства-члена; и
право Союза или государства-члена должно:

— быть соразмерным преследуемой цели;

— уважать суть права на защиту данных; и

— гарантировать надлежащие и конкретные меры по защите основных прав и интересов соответствующих лиц.

Термин «существенный публичный интерес» не определен в GDPR. Поскольку в этом исключении речь идет о праве Союза или государства-члена, статья 9 2)(g) дает национальным юрисдикциям свободу усмотрения при решении на локальном уровне вопроса о том, что представляет собой «существенный публичный интерес«. Очевидно, что «существенный» публичный интерес требует достижения более высокого стандарта, чем просто ”публичный интерес”. Если в последнем случае речь идет об общественном благе и о том, что отвечает наилучшим интересам общества, то в первом случае речь идет о реальном и ощутимом интересе, т.е. интересе, имеющем существенное значение. Существенный публичный интерес может быть связан с осуществлением основных прав и свобод, таких как организация избирательного процесса или поддержание порядка и безопасности, например борьба с терроризмом.

Закон о защите данных 2018 года, например, признает двадцать три (23) случая, когда в Соединенном Королевстве затрагивается существенный публичный интерес. Исключения варьируются от отправления правосудия до защиты детей, относящихся к группе риска, и распространяются на равенство возможностей, борьбу с допингом в спорте или публикацию юридических решений. В этих примерах трудно провести различие между тем, что отвечает общим публичным интересам, и тем, что основано на «существенных» публичных интересах.

Исключение, основанное на «существенных» публичных интересах, не применяется к особым категориям личных данных, которые уже подпадают под исключение, предусмотренное в статье 9, например, в области общественного здравоохранения [пункт 2, подпункт (i)]. Иногда бывает сложно решить, какое из исключений применимо. Необходимо обратиться к конкретным обстоятельствам дела и внимательно изучить факты, чтобы решить, какое из них является наилучшим правовым основанием для обработки специальных категорий персональных данных.

Законодательство государства-члена может потребовать от политических партий собирать персональные данные о политических убеждениях граждан в ходе избирательного процесса на основании исключения “существенного публичного интереса” (Преамбула 56). Оно отличается от исключения в отношении фондов, ассоциаций или некоммерческих организаций [статья 9 2) d)] в одном аспекте: сбор данных требуется законом и не осуществляется в рамках основной деятельности политической партии. Это также освобождает организацию от получения согласия своих членов на разглашение собранных персональных данных соответствующим органам власти.

Недавно меня спросили о надлежащей правовой базе для обработки данных об учащихся с ограниченными возможностями. Школа должна собирать и использовать эти данные, чтобы предлагать детям услуги, адаптированные к их способностям к обучению. Информацию об особенностях здоровья следует рассматривать как данные, связанные со здоровьем, и, следовательно, как специальную категорию персональных данных. Они не могут обрабатываться, если нет конкретного исключения, на которое можно ссылаться.

Представляется невозможным полагаться на исключение в области общественного здравоохранения [см. параграф 2, подпункт (i) комментария]. Если законодательство государства-члена, в котором функционирует школа, предусматривает исключение для обработки специальных категорий персональных данных в целях образования детей с ограниченными возможностями, то исключение “существенного публичного интереса” будет соответствующим правовым основанием. Так как можно было бы получить четкое согласие [параграф 2, подпункт (а)] на обработку таких данных, этот вариант также должен быть рассмотрен в данных обстоятельствах. После этого школа должна будет соблюдать другие требования, изложенные в статье 9 2) (g).

Я уже обсуждал принцип необходимости в приведенном ниже общем комментарии, и я отсылаю читателей к нему, а также к принципу соразмерности, который должен соблюдаться правом Союза или государства-члена. В европейском или национальном праве также должна поддерживаться «суть права на защиту данных» и предлагаться «подходящая и конкретная мера» для защиты прав и интересов соответствующих лиц. Поэтому необходимо, чтобы местные органы власти соблюдали Хартию Европейского Союза об основных правах (статья 8) и принципы, изложенные в GDPR.

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

(h) обработка необходима в целях профилактической или профессиональной медицины, для оценки трудоспособности работника, для диагностики медицинского состояния, предоставления медицинской или социальной помощи или лечения или для управления системами и услугами здравоохранения и социального обеспечения на основании законодательства Союза или государства-члена или на основании договора с работником здравоохранения и в соответствии с условиями и гарантиями, указанными в параграфе 3.

(h) processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3;

Комментарий эксперта Руководство и прецедентное право

Комментарий эксперта

Статья 9 2) (h) предусматривает исключения в отношении обработки данных, связанных с медицинским и социальным обслуживанием, которые должны быть необходимы (о принципе необходимости см. ниже в комментарии) для:

профилактической медицины;
гигиены труда;
оценки работоспособности работников;
медицинской диагностики;
предоставления медицинской или социальной помощи или лечения; или
управления системами здравоохранения или социального обеспечения.

Это список исчерпывающих исключений, не нуждающийся в более подробном пояснении, за исключением категории “оценка трудоспособности работников”. Она не совпадает с исключением о деятельности в соответствии с законодательством о занятости, социальном обеспечении и социальной защите [подпункт b)], поскольку касается не конфиденциальных данных о работниках в целом, а исключительно данных, необходимых для оценки способности работника выполнять свою работу. Оценку можно проводить, например, с помощью тестирования на наркотики, физических анализов или медицинского осмотра. Цель состоит в том, чтобы выяснить, подходит ли человек для работы на должности, требующей определенных способностей или определенного состояния здоровья.

Как это часто бывает в случае с GDPR, правовое основание для применения исключения следует искать в праве Союза или государства-члена. Знания европейского законодательства недостаточно, необходимо также понимать национальное законодательство соответствующего государства-члена. Правовое основание для обработки в целях медицинского и социального обслуживания также может быть найдено в контракте с медицинским работником, если соблюдены определенные условия и гарантии.

В пункте 3 статьи 9 говорится, что исключение применяется, если оно основано на контракте с медицинским работником, только в том случае, если данные обрабатываются лицом, которое связано профессиональной тайной. Условия и обязательства, связанные с секретностью, могут быть перечислены в праве Европейского союза или в национальном законодательстве, а также могут устанавливаться национальным компетентным органом. Термин «медицинские работники» также оставляется на усмотрение государств-членов. Оно может включать любых специалистов, на которых распространяется обязанность сохранения конфиденциальности, таких как врачи, стоматологи, медсестры, окулисты, физиотерапевты или социальные работники.

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

Руководство и прецедентное право

(EN) EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

(i) обработка необходима по причинам публичного интереса в области общественного здравоохранения, например, защиты от серьезных трансграничных угроз здоровью или для обеспечения высоких стандартов качества и надежности медицинского обслуживания и лекарственных средств или медицинской техники, на основании законодательства Союза или государства-члена, которое предусматривает приемлемые и конкретные меры для защиты прав и свобод субъекта данных, в частности, профессиональной тайны;

(i) processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;

Комментарий эксперта Руководство и прецедентное право

Комментарий эксперта

Различие между исключениями в области медицинского и социального обслуживания [подпункт (h)] и исключениями в области общественного здравоохранения не столь очевидно, и в некоторых случаях оба исключения могут дублировать друг друга. Например, первое исключение касается обработки чувствительных данных в целях профилактической медицины, в то время как второе касается трансграничных опасностей для здоровья. Не исключено, что один и тот же набор данных может быть использован в одном и том же случае с одной и той же целью.

Сфера действия статьи 9 2) i) хорошо разграничена: она применяется к обработке чувствительных данных без явно выраженного согласия лица, основанного на подпункте (а) (Преамбула 54), которые необходимы (о принципе необходимости см. ниже в общем комментарии) по соображениям общественного интереса в сфере общественного здравоохранения. Под общественным интересом понимается общественное благо и то, что отвечает наилучшим интересам группы лиц или общества в целом (Преамбула 53). Личный интерес не является достаточным основанием для применения данного исключения, и после обработки данных в соответствии с данным подпунктом они не могут быть переданы третьим лицам, таким как работодатели, страховые компании или банки (Преамбула 54).

Примером может служить сама статья 9 2) i), однако она предлагает неисчерпывающий перечень возможных видов использования. Она включает защиту от серьезных трансграничных угроз здоровью и обеспечение высоких стандартов качества и безопасности медицинской помощи, лекарственных средств и медицинского оборудования. Она включает, например, данные, необходимые для изучения или борьбы с эпидемиями или для планирования программы вакцинации.

Общественное здравоохранение далее определяется как «все элементы, связанные со здоровьем, а именно: состояние здоровья, включая заболеваемость и инвалидность, детерминанты, влияющие на это состояние здоровья, потребности в медицинском обслуживании, ресурсы, выделяемые на здравоохранение, предоставление и всеобщий доступ к медицинскому обслуживанию, а также расходы и финансирование здравоохранения и причины смертности» [Регламент (ЕС) № 1338/2008]. Некоторые аспекты этого определения, несомненно, охватываются исключением в отношении медико-санитарной и социальной помощи [подпункт h)] в качестве управления системами здравоохранения или социальной помощи.

Как это часто бывает в случае с GDPR, правовую основу для исключения следует искать в праве Союза или государства-члена. Знания европейского законодательства недостаточно, необходимо также понимать национальное законодательство соответствующего государства-члена. Государства-члены могут сохранять или вводить дополнительные условия и ограничения, чем те, которые предусмотрены в статье 9 2) (i) [статья 9 (4) и Преамбула 53]. Кроме того, они должны гарантировать основные права лиц и защиту их персональных данных в соответствии с законом (Преамбула 53 и 54).

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

Руководство и прецедентное право

(EN)

Legislation

Regulation (EC) No 1338/2008 on Community Statistics on Public Health and Health and Safety at Work, OJEU L 354, 31 December 2008, p. 70.

Documents

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

(j) обработка необходима для архивных целей информации в публичном интересе, для научных или исторических исследовательских целей, либо для статистических целей в соответствии со Статьей 89(1) на основании законодательства Союза или государства-члена, которые должны быть пропорциональны преследуемой цели, должны соответствовать сущности права на защиту персональных данных и обеспечивать приемлемые и конкретные средства для защиты фундаментальных прав и интересов субъекта данных;

(j) processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.

Комментарий эксперта Руководство и прецедентное право Связанные статьи

Комментарий эксперта

Исключения, предусмотренные в статье 9 2) j), охватывают широкий круг вопросов и могут оказаться существенными для всего общества и будущих поколений. Они касаются четырех (4) различных сфер:

архивы;
научные исследования;
исторические исследования; и
статистика.

Исключение в отношении архивирования, исследования и статистики должно соответствовать перечню условий:

Обработка должна быть необходима;
она должна основываться на праве Союза или государства-члена; и
право Союза или государства-члена должны:

— быть соразмерным преследуемой цели;
— уважать суть права на защиту данных; и
— гарантировать надлежащие и конкретные меры по защите основных прав и интересов соответствующих лиц.

Я уже обсуждал принцип необходимости в приводимом ниже общем комментарии, и хотел бы сослаться на него, а также на принцип пропорциональности, который должен соблюдаться законом Союза или государства-члена. Европейское или национальное законодательство должно также защищать «сущность права на защиту данных» и предлагать «подходящие и конкретные меры» для защиты прав и интересов соответствующих лиц. Поэтому необходимо, чтобы местные органы власти соблюдали Хартию Европейского Союза об основных правах (статья 8) и принципы, изложенные в GDPR. Статья 89 предусматривает более конкретные положения о гарантиях и отступлениях, связанных с обработкой конфиденциальных данных в контексте исключения архивирования, исследований и статистики, и я приглашаю вас ознакомиться с моим комментарием, касающимся этого положения.

Что касается исключения в отношении архивирования, то вы должны дополнительно продемонстрировать, что обработка данных отвечает общественным интересам. Личный, корпоративный или финансовый интерес не является достаточным основанием для применения данного исключения, вы должны быть в состоянии продемонстрировать, что вы обрабатываете специальные категории персональных данных для общественного блага и в наилучших интересах группы лиц или общества в целом (Преамбула 53).

Архивы представляют собой “государственные органы, а также государственные или частные организации, которые «имеют юридическое обязательство приобретать, сохранять, оценивать, организовывать, описывать, передавать, распространять и обеспечивать доступ к документам» (Преамбула 158). Например, расследование убийства может оправдать архивирование чувствительных данных в общественных интересах. Сбор информации о политическом поведении при бывших тоталитарных государственных режимах или в связи с геноцидом и преступлениями против человечности является еще одним примером» (Преамбула 158). После этого архивные данные могут использоваться для различных целей, в том числе для научных исследований (Преамбула 162).

Научные исследования, основанные на государственных и частных реестрах, могут обеспечить более глубокое изучение широко распространенных заболеваний, таких как сердечно-сосудистые заболевания, рак или депрессия (Преамбула 157). Архивы могут также позволить исследователям установить взаимосвязь между безработицей или образованием и другими жизненными условиями в долгосрочной перспективе (Преамбула 157). Таким образом, можно проводить политику, основанную на приобретенных знаниях, с целью предоставления более качественных социальных услуг или улучшения качества жизни населения (Преамбула 157).

Исключение, связанное с научными исследованиями, направлено на создание европейского исследовательского пространства для поощрения притока исследователей, научных знаний и технологий [статья 179(1) ДФЕС]. Оно должно толковаться широко в соответствии с GDPR, и относится как к исследованиям, финансируемым государственным сектором, так и к исследованиям, финансируемым частным сектором (Преамбула 159).

Клинические исследования, проводимые в общественных интересах и отвечающие другим критериям подпункта (j), должны основываться на этом исключении, а не на прямом согласии [подпункт (а) и Регламент (ЕС) № 536/2014, статья 29], рекомендует Европейский совет по защите данных (Заключение 3/2019). Это наиболее надежное основание, поскольку исследования могут быть осложнены, если лица отзовут свое согласие в период проведения исследований или после их завершения.

Классическим примером является фармацевтическая компания, которая проводит клинические испытания нового препарата. Если она полагается на явно выраженное согласие [подпункт (а)], то это может привести к неблагоприятным последствиям. Лица, участвующие в испытании, могут изменить свое мнение на последней стадии исследования и принять решение отозвать свое согласие. Такая ситуация поставит под угрозу весь процесс и лишит общество потенциальной пользы от нового препарата. Фармацевтические компании могут дать дополнительные гарантии, используя в ходе исследования анонимизированные или псевдонимизированные данные, чтобы уменьшить воздействие на участников исследования и компенсировать невозможность отозвать свое согласие, если в ходе исследования будет использовано исключение “права на проведение научного исследования”.

Статистические цели определяются как «любая операция по сбору и обработке персональных данных, необходимая для проведения статистических исследований или получения статистических результатов» (п. 162). Статистические данные должны разрабатываться, производиться и распространяться в соответствии с шестью (6) принципами: беспристрастность, надежность, объективность, независимость, целесообразность и конфиденциальность [статья 338 (2) ДФЕС].

Результатом сбора статистических данных должны становиться «агрегированные данные”, а не «персональные данные«, что означает, что они не должны касаться каких-то конкретных лиц, а должны представлять собой абстрактные данные, касающиеся группы анонимных лиц (Преамбула 162). Полученная таким образом статистика не может быть использована для принятия решений в отношении любых затрагиваемых лиц (Преамбула 162). Кроме того, чувствительная информация, собранная в статистических целях, должна быть защищена соответствующими правовыми и техническими мерами защиты (Преамбула 163).

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

Руководство и прецедентное право

(EN)

Document

EDPB, Opinion 3/2019 Concerning the Questions and Answers on the Interplay Between the Clinical Trials Regulation (CTR) and the General Data Protection Regulation (GDPR) (art. 70.1.b)) (2019).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

Legislation

Regulation (EU) No 536/2014 on Clinical Trials on Medicinal Products for Human Use, OJEU L 158, 27 May 2014, p. 1.

Связанные статьи

Статья 89 GDPR. Гарантии и изъятия касающиеся обработки для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях

Article 89 GDPR. Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes

1. Обработка для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях подлежит соответствующим гарантиям, согласно настоящему Регламенту, в отношении прав и свобод субъекта данных. Такие гарантии должны обеспечивать, чтобы технические и организационные меры были приняты, в частности, для того, чтобы обеспечить соблюдение принципа минимизации данных. Названные меры могут охватывать псевдонимизацию при условии, что эти цели могут соблюдаться таким способом. В случае, когда обозначенные цели могут достигаться путем дальнейшей обработки, которая не позволяет или больше не позволяет идентификацию субъектов данных, эти цели должны осуществляться этим способом.

1. Processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, shall be subject to appropriate safeguards, in accordance with this Regulation, for the rights and freedoms of the data subject. Those safeguards shall ensure that technical and organisational measures are in place in particular in order to ensure respect for the principle of data minimisation. Those measures may include pseudonymisation provided that those purposes can be fulfilled in that manner. Where those purposes can be fulfilled by further processing which does not permit or no longer permits the identification of data subjects, those purposes shall be fulfilled in that manner.

[…]

Руководство по согласию в соответствии с Регламентом 2016/679

Guidelines on consent under Regulation 2016/679

Научное исследование

Scientific research

153. Преамбула 33, как можно заметить, обеспечивает своеобразную гибкость в конкретизации и детализации согласия в контексте научного исследования. Преамбула 33 гласит: “Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.”

153. Recital 33 seems to bring some flexibility to the degree of specification and granularity of consent in the context of scientific research. Recital 33 states: “It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.”

3. Персональные данные, указанные в параграфе 1, могут обрабатываться для целей, указанных в пункте (h) параграфа 2, когда указанные данные обрабатываются специалистом, который обязан соблюдать профессиональную тайну согласно законодательству Союза или государства-члена или согласно нормам, установленным национальными компетентными органами, или когда обработка осуществляется иным лицом, которое также обязано соблюдать тайну согласно законодательству Союза или государства-члена или согласно правилам, установленным национальными компетентными органами.

3. Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies.

4. Государства-члены могут сохранять или вводить дополнительные условия, в том числе ограничения, в отношении обработки генетических данных, биометрических данных или данных о здоровье.

4. Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

Некоторые персональные данные ввиду их чувствительного характера относятся к специальным категориям в GDPR. Обработка данных, относящихся к одной из этих восьми (8) категорий, действительно представляет «значительные риски для основных прав и свобод» человека (Преамбула 51). Риски различаются в зависимости от типа задействованных данных. В первом параграфе статьи 9 перечислены все типы охватываемых данных, однако эти категории не являются легко объяснимыми. Наглядный перечень, разбитый на восемь пунктов, помогает прояснить сферу охвата положения и то, какие данные считаются «специальными» согласно европейским правилам:

данные, раскрывающие расовое или этническое происхождение;
данные, раскрывающие политические взгляды;
данные, раскрывающие религиозные или философские убеждения;
данные о членстве в профсоюзе;
генетические данные;
биометрические данные, используемые для идентификации человека;
данные о здоровье; и
данные, касающиеся половой жизни или сексуальной ориентации человека.

Данный перечень следует считать исчерпывающим, поскольку исключения должны толковаться строго. Следовательно, никакое другое исключение не может быть допущено Судом Европейского Союза или законодательством государств-членов. Персональные данные, касающиеся судимостей и правонарушений, не упоминаются в этом перечне, так как они подпадают под другой правовой режим (статья 10).

«Специальные категории персональных данных» должны обрабатываться в соответствии с особыми правилами обработки, главным образом, в целях защиты лиц от дискриминации (Преамбула 71). Обработка специальных категорий персональных данных также может привести к физическому, материальному или моральному ущербу, включая хищение личных данных, мошенничество, нанесение вреда репутации или нарушение профессиональной тайны (Преамбула 75).

Данные, связанные с расовым или этническим происхождением, включают имена, места рождения, родные языки и даже имена родителей того или иного лица. Они считаются чувствительными, поскольку могут раскрыть происхождение человека или его этническую принадлежность.

Политические убеждения можно вывести исходя из анализа деятельности, раскрывающей политические предпочтения человека, к чему относятся членство в политической партии, подписанные петиции, мероприятия, митинги или протесты, в которых человек принимал участие. К данным, раскрывающим политические взгляды индивида также относится информация, отражающая идеи, которые он поддерживает, и, наоборот, отвергает.

К данным, свидетельствующим о том, что человек исповедует какую-либо религию или проявляет интерес к ней, относятся, например, посещение церкви, покупка религиозных книг, участие в религиозных мероприятиях или демонстрациях. Такие данные могут раскрыть религиозную принадлежность человека или свидетельствовать об отсутствии у него религиозных убеждений. Сложнее определить, что обозначает термин “философские убеждения”. Пример из английского прецедентного права демонстрирует, что таковым является искреннее убеждение, которое касается важного аспекта человеческой жизни и поведения, и которое заслуживает уважения в демократическом обществе (Grainger Plc v. Nicholson).

Особая защита данных о членстве в профсоюзе обусловлена реализацией основных прав в трудовой сфере. Отнесение данной информации к особой категории данных защищает людей от дискриминации на работе, которая может быть потенциальным следствием их профсоюзной деятельности, и сохраняет их право на ведение коллективных переговоров наряду с другими правами.

Анализ биологических образцов позволяет получить информацию об «унаследованных или приобретенных генетических характеристиках» человека [Преамбула 34 и статья 4 (13)]. Полученные генетические данные могут раскрыть информацию о происхождении, этнической принадлежности, физиологии или здоровье человека, поскольку причиной некоторых проблем со здоровьем человека являются аномалии в геноме человека.

Биометрические данные — это информация, полученная на основе различных измерений «физических, физиологических или поведенческих характеристик человека» [статья 4 (14)]. Они служат для уникальной идентификации человека, например, по отпечаткам пальцев, рисунку радужной оболочки глаза, чертам лица или модуляции голоса. Фотография не всегда классифицируется как биометрические данные. Она относится к данной категории только в тех случаях, когда при ее обработке выявляются характеристики, позволяющие однозначно идентифицировать человека (Преамбула 51).

…

Войти
для доступа к полному тексту

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

ISO 27701

Приводим соответствующий параграф к статье 9 GDPR:

7.2.2. Определение правового основания

Средство управления

Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.

Руководство по внедрению

В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления. Правовое основание для обработки ПИИ может включать в себя:

…

Войти
для доступа к полному тексту

Преамбулы

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

Any possible targeting of data subjects based on sensitive information opens the possibility of abuse. Furthermore, given the sensitivity of such information and the possible awkward situations which may arise if individuals receive advertising that reveals, for example, sexual preferences or political activity, offering/using interest categories that would reveal sensitive data should be discouraged.

In this context, the only available legal ground that would legitimize the data processing would be explicit, separate prior opt-in consent. The requirement for a separate, affirmative prior indication of the data subjects’ agreement means that in no case would an opt-out consent mechanism meet the requirement of the law. It also means that such consent could not be obtained through browser settings. To lawfully collect and process this type of information, ad network providers would have to set up mechanisms to obtain explicit prior consent, separate from other consent obtained for processing in general.

EDPB, Assessing the Necessity of Measures That Limit the Fundamental Right to the Protection of Personal Data: A Toolkit (2017).

WP29, Opinion on data processing at work (2017).

European Commission, Commission Guidance on the application of Union data protection law in the electoral context, A contribution from the European Commission to the Leaders’ meeting in Salzburg on 19-20 September 2018.

EDPB, Guidelines on Assessing the Proportionality of Measures That Limit the Fundamental Rights to Privacy and to the Protection of Personal Data (2019).

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).

EDPB, Guidelines 8/2020 on the targeting of social media users (2020).

EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).

EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).

European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).

EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).