(EN)
Documents
Article 29 Working Party, Opinion 2/2012 on Facial Recognition in Online and Mobile Services (2012).
Article 29 Working Party, Opinion 3/2012 on Developments in Biometric Technologies (2012).
EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020):
If a social media provider or a targeter uses observed data to categorise users as having certain religious, philosophical or political beliefs-regardless of whether the categorization is correct/true or not-this categorisation of the user must obviously be seen as processing of special category of personal data in this context. As long as the categorisation enables targeting based on special category data, it does not matter how the category is labelled.
EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (2020).
Financial transactions can reveal sensitive information about individual data subject, including those related to special categories of personal data. For example, political opinions and religious beliefs may be revealed by donations made to political parties or organisations, churches or parishes. Trade union membership may be revealed by the deduction of an annual membership fee from a person’s bank account. Personal data concerning health may be gathered from analysing medical bills paid by a data subject. Finally, information on certain purchases may reveal information concerning a person’s sex life or sexual orientation.
Moreover, through the sum of financial transactions, different kinds of behavioural patterns could be revealed, including special categories of personal data and additional services that are facilitated by account information services might rely on profiling as defined by article 4 (4) of the GDPR. Therefore, the chances are considerable that a service provider processing information on financial transactions of data subjects also processes special categories of personal data.
(51) На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице. Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент, като се има предвид, че в правото на държавите членки могат да бъдат определени специфични разпоредби за защита на данните с цел да се адаптира прилагането на съдържащите се в настоящия регламент правила за спазване на правно задължение или за изпълнение на задача от обществен интерес или свързана с упражняването на официални правомощия, предоставени на администратора на лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.
Первое исключение основано на «явном согласии«. Согласие, предусмотренное в статье 9, отличается от общего понятия согласия, предусмотренного в статье 6, в одном важном аспекте: оно должно быть явно выражено соответствующим лицом. Следовательно, согласие должно быть свободно выраженным, конкретным, осознанным и недвусмысленным в соответствии с определением, содержащимся в статье 4 (11), и, помимо этих требований, оно должно быть «явно выраженным«.
Какая форма согласия считается «явно выраженной» и, следовательно, действительной в соответствии со статьей 9? Чувствительная природа соответствующих данных влечет за собой согласие, выходящее за рамки обычного «заявления или явного позитивного действия» [статья 4(11)] со стороны субъекта данных. Это означает, что субъект данных должен давать «прямое заявление о согласии» (Руководство по согласию) даже в том случае, если услуги предоставляются на договорной основе. Явно выраженное согласие необходимо, поскольку статья 9 (2) не предусматривает исключений по договору, на которые мог бы полагаться контролер.
В Руководстве по согласию предполагается, что может потребоваться письменное заявление или даже подписанное письменное заявление, несмотря на то, что GDPR не предписывает такую форму согласия. Подписанное согласие может быть релевантно, если данные о состоянии здоровья собираются, например, в контексте услуг, предлагаемых частной клиникой или домом престарелых. Пластическому хирургу может понадобиться собрать информацию о состоянии здоровья клиента или раскрыть данную информацию для того, чтобы запросить экспертное мнение одного из его коллег. Руководители дома престарелых должны будут собрать информацию о состоянии здоровья пенсионера, чтобы договориться о необходимых услугах, которые должны быть оказаны во время его пребывания.
Подписанное письменное заявление не так практично в цифровой или онлайн-среде. Как человек может дать согласие, если, например, он покупает билет на самолет онлайн и нуждается в специальной медицинской помощи во время посадки на рейс, во время полета или по прибытии в пункт назначения? Действительное согласие будет также трудно получить, если человек сделает онлайн-заказ на покупку специальных очков, так как продавец должен собрать связанную со здоровьем информацию о зрении покупателя и поделиться ею с производителем.
Простое следование по ссылке или отметка поля в приведенных примерах могут быть расценены как недостаточное согласие. Руководство по согласию рекомендуют другие формы согласия, такие как заполнение электронной формы, использование электронной подписи, запись устного заявления или проведение двухэтапной верификации (например, отметка поля в форме и последующее подтверждение согласия по электронной почте).
Статья 9 предписывает, что лицо должно давать согласие «для одной или нескольких конкретных целей«. Это требование выходит за рамки «конкретного» качества согласия, требуемого пунктом 11 статьи 4. Цели должны быть четко определены, что подразумевает, что согласие должно быть привязано к конкретным данным или точным категориям данных, которые контролер будет вправе обрабатывать.
Вы должны всегда помнить, что GDPR не является полным изложением законодательства о защите данных в конкретном государстве-члене ЕС. И это особенно релевантно в отношении защиты специальных категорий персональных данных, так как здесь имеют место исключения из исключений. Согласие является недействительным правовым основанием для обработки специальных категорий персональных данных, если в законодательстве государства запрещена отмена запрета на обработку специальных категорий персональных данных физическим лицом, что разрешено в соответствии с GDPR.