(51) Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. Ilyen adatnak minősül a faji vagy etnikai származásra utaló személyes adatok is; e tekintetben megjegyzendő, hogy a „faji származás” kifejezés e rendelet keretében történő alkalmazása nem értelmezhető úgy, hogy az Unió elfogadja a különböző emberi fajok létezésének megállapítására törekvő elméleteket. A fényképek kezelését nem szükséges szisztematikusan különleges adatkezelésnek tekinteni, mivel azokra csak azokban az esetekben vonatkozik a biometrikus adatok fogalommeghatározása, amikor a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel kezelik őket. Az ilyen adatok nem kezelhetők, kivéve, ha az adatkezelés az e rendeletben meghatározott egyedi esetekben megengedett, azt is figyelembe véve, hogy a tagállami jog különös rendelkezéseket állapíthat meg az adatok védelmére vonatkozóan annak érdekében, hogy kiigazítsák az e rendeletben foglalt szabályok alkalmazását valamely jogi kötelezettségnek való megfelelés vagy közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása tekintetében. Az ilyen adatkezelésre vonatkozó konkrét előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében. A személyes adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről kifejezetten rendelkezni kell, ideértve, ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos sajátos adatkezelési szükségletekre tekintettel, különösen, ha az adatkezelést jogszerű tevékenységük keretében olyan egyesületek, illetve alapítványok végzik –, amelyek célja az alapvető szabadságok gyakorlásának lehetővé tétele.
(51) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.
(52) A személyes adatok különleges kategóriáira vonatkozó adatkezelési tilalomtól való eltérés szintén megengedhető, ha erről az uniós vagy tagállami jog rendelkezik, és ha arra megfelelő garanciák mellett kerül sor a személyes adatok és más alapvető jogok védelme érdekében, ha ez valamely közérdeken alapul, így különösen a foglalkoztatási jog és a szociális védelmi jog területén, a nyugdíjakat is beleértve, valamint a népegészség-védelem, a nyomonkövetési és riasztási célok, a fertőző betegségek és más súlyos egészségügyi veszélyek megelőzése, valamint az ellenük való védekezés érdekében végzett személyesadat-kezelés esetében. Ezekre az eltérésekre egészségügyi célokból – köztük a népegészségüggyel és az egészségügyi szolgáltatások irányításával kapcsolatos célokból – kerülhet sor, különösen annak biztosítása érdekében, hogy az egészségbiztosítási rendszer szolgáltatásaival és juttatásaival kapcsolatos igények rendezésére szolgáló eljárások magas szintűek és költséghatékonyak legyenek, továbbá a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból. Eltérés alapján az ilyen személyes adatok kezelése olyan esetekben lehetséges, amikor az jogi igények előterjesztése, érvényesítése, illetve védelme céljából szükséges, függetlenül attól, hogy erre bírósági eljárás, közigazgatási, vagy egyéb, nem bírósági útra tatozó eljárás keretében kerül-e sor.
(52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.
(53) A különleges kategóriába tartozó, magasabb szintű védelmet igénylő személyes adatokat kizárólag abban az esetben lehet az egészséggel kapcsolatos célokból kezelni, ha az az említett céloknak a természetes személyek és a társadalom egészének érdekében történő eléréséhez szükséges, különösen az egészségügyi és szociális szolgáltatások és rendszerek irányításának összefüggésében, beleértve azt is, amikor az irányító és központi nemzeti egészségügyi hatóságok a következő célokból végzik az ilyen adatok kezelését: minőségellenőrzés, információkezelés, valamint az egészségügyi és szociális rendszer általános országos és helyi felügyelete, továbbá az egészségügyi és szociális ellátás, a határokon átnyúló egészségügyi ellátás, valamint a népegészség-védelem folytonosságának biztosítása, nyomonkövetési és riasztási célok, a közérdekű archiválás céljából, tudományos és történelmi kutatási vagy statisztikai célból közérdekű célt szolgáló uniós vagy tagállami jog alapján, illetve a népegészség területén közérdekből készített tanulmányok céljából. Ebből kifolyólag a sajátos adatkezelési szükségletek tekintetében ebben a rendeletben harmonizált feltételeket kell meghatározni az egészségügyi személyes adatok különleges kategóriáinak kezelésére vonatkozóan, különösen azt illetően, ha ezen adatok kezelését bizonyos egészséggel kapcsolatos célokból olyan személyek végzik, akikre jogszabályban megállapított szakmai titoktartási kötelezettség vonatkozik. Az uniós vagy tagállami jogban rendelkezni kell olyan célzott és megfelelő intézkedésekről, amelyek a természetes személyek alapvető jogainak és személyes adatainak védelmére irányulnak. A tagállamok további feltételeket – például korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan. Ez azonban nem akadályozhatja a személyes adatok Unión belüli szabad áramlását azokban az esetekben, amikor az említett feltételek az ilyen adatok határokon átnyúló kezelésére vonatkoznak.
(53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data.
(54) A népegészség területén közérdekből szükséges lehet a személyes adatok különleges kategóriáinak az érintett hozzájárulása nélkül történő kezelése. Az ilyen adatkezelés vonatkozásában a természetes személyek jogainak és szabadságainak védelme érdekében, megfelelő és célzott intézkedéseket kell hozni. Ebben az összefüggésben a „népegészség” fogalmát az 1338/2008/EK európai parlamenti és tanácsi rendeletben (11) meghatározottak szerint a következőképpen kell értelmezni: valamennyi, az egészséggel kapcsolatos elem, nevezetesen az egészségi állapot – beleértve a morbiditást és a fogyatékosságot –, az egészségi állapotot meghatározó tényezők, az egészségügyi ellátással kapcsolatos igények, az egészségügyi ellátásra biztosított források, az egészségügyi ellátás nyújtása és az ahhoz való általános hozzáférés, valamint az egészségügyi ellátással kapcsolatos kiadások és finanszírozás, továbbá a halálokok. Az egészségügyi adatok ilyen közérdekű kezelése nem eredményezheti a személyes adatok más célokból harmadik személyek, így munkáltatók, vagy biztosítók és bankok általi kezelését.
(54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council [11], namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies.
(55) A személyes adatok hatóságok általi, hivatalosan elismert vallási szervezetek alkotmányjogban vagy nemzetközi közjogban megállapított céljainak elérése érdekében történő kezelése közérdeken alapulónak minősül.
(55) Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest.
(56) Ha választással kapcsolatos tevékenységek során valamely tagállamban a demokratikus rendszer működése megkívánja, hogy a politikai pártok személyes adatokat gyűjtsenek az emberek politikai véleményéről, akkor az ilyen adatok kezelése közérdekből megengedhető, feltéve hogy megfelelő garanciák vannak érvényben.
(56) Where in the course of electoral activities, the operation of the democratic system in a Member State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.
Первое исключение основано на «явном согласии«. Согласие, предусмотренное в статье 9, отличается от общего понятия согласия, предусмотренного в статье 6, в одном важном аспекте: оно должно быть явно выражено соответствующим лицом. Следовательно, согласие должно быть свободно выраженным, конкретным, осознанным и недвусмысленным в соответствии с определением, содержащимся в статье 4 (11), и, помимо этих требований, оно должно быть «явно выраженным«.
Какая форма согласия считается «явно выраженной» и, следовательно, действительной в соответствии со статьей 9? Чувствительная природа соответствующих данных влечет за собой согласие, выходящее за рамки обычного «заявления или явного позитивного действия» [статья 4(11)] со стороны субъекта данных. Это означает, что субъект данных должен давать «прямое заявление о согласии» (Руководство по согласию) даже в том случае, если услуги предоставляются на договорной основе. Явно выраженное согласие необходимо, поскольку статья 9 (2) не предусматривает исключений по договору, на которые мог бы полагаться контролер.
В Руководстве по согласию предполагается, что может потребоваться письменное заявление или даже подписанное письменное заявление, несмотря на то, что GDPR не предписывает такую форму согласия. Подписанное согласие может быть релевантно, если данные о состоянии здоровья собираются, например, в контексте услуг, предлагаемых частной клиникой или домом престарелых. Пластическому хирургу может понадобиться собрать информацию о состоянии здоровья клиента или раскрыть данную информацию для того, чтобы запросить экспертное мнение одного из его коллег. Руководители дома престарелых должны будут собрать информацию о состоянии здоровья пенсионера, чтобы договориться о необходимых услугах, которые должны быть оказаны во время его пребывания.
Подписанное письменное заявление не так практично в цифровой или онлайн-среде. Как человек может дать согласие, если, например, он покупает билет на самолет онлайн и нуждается в специальной медицинской помощи во время посадки на рейс, во время полета или по прибытии в пункт назначения? Действительное согласие будет также трудно получить, если человек сделает онлайн-заказ на покупку специальных очков, так как продавец должен собрать связанную со здоровьем информацию о зрении покупателя и поделиться ею с производителем.
Простое следование по ссылке или отметка поля в приведенных примерах могут быть расценены как недостаточное согласие. Руководство по согласию рекомендуют другие формы согласия, такие как заполнение электронной формы, использование электронной подписи, запись устного заявления или проведение двухэтапной верификации (например, отметка поля в форме и последующее подтверждение согласия по электронной почте).
Статья 9 предписывает, что лицо должно давать согласие «для одной или нескольких конкретных целей«. Это требование выходит за рамки «конкретного» качества согласия, требуемого пунктом 11 статьи 4. Цели должны быть четко определены, что подразумевает, что согласие должно быть привязано к конкретным данным или точным категориям данных, которые контролер будет вправе обрабатывать.
Вы должны всегда помнить, что GDPR не является полным изложением законодательства о защите данных в конкретном государстве-члене ЕС. И это особенно релевантно в отношении защиты специальных категорий персональных данных, так как здесь имеют место исключения из исключений. Согласие является недействительным правовым основанием для обработки специальных категорий персональных данных, если в законодательстве государства запрещена отмена запрета на обработку специальных категорий персональных данных физическим лицом, что разрешено в соответствии с GDPR.