You are currently viewing Ευαίσθητα Προσωπικά Δεδομένα

Ευαίσθητα Προσωπικά Δεδομένα

Υπάρχουν ορισμένα προσωπικά δεδομένα που ορίζονται ως ευαίσθητα από τον Κανονισμό για τα προσωπικά δεδομένα, δηλαδή τον GDPR, (περισσότερες πληροφορίες στον κανονισμό της Ευρωπαϊκής Ένωσης 2016/679 ή στην ανάρτησή μας για τον GDPR), καθώς σχετίζονται με σημαντικές ελευθερίες και δικαιώματα των ατόμων που τυγχάνουν ιδιαίτερης προστασίας από το δίκαιο.

Τι θα δούμε σε αυτό το post;

Ποια είναι τα Ευαίσθητα Προσωπικά Δεδομένα;

Σύμφωνα με τον Κανονισμό GDPR ως ευαίσθητα προσωπικά δεδομένα ορίζονται τα δεδομένα που αφορούν:

  • την φυλετική ή εθνοτική καταγωγή,
  • τα πολιτικά φρονήματα,
  • τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις,
  • την συμμετοχή σε συνδικαλιστική οργάνωση,
  • τα γενετικά και βιομετρικά δεδομένα (που υποβάλλονται σε επεξεργασία αποκλειστικά για την ταυτοποίηση ενός ατόμου)
  • τα δεδομένα σχετικά με την υγεία/ιατρικό ιστορικό,
  • των δεδομένων που αφορούν τη σεξουαλική ζωή του ατόμου ή τον γενετήσιο προσανατολισμό και
  • ποινικές καταδίκες και αδικήματα, εκτός και αν αυτό επιτρέπεται από την νομοθεσία της ΕΕ ή την εθνική νομοθεσία.

Λίγο πιο συγκεκριμένα..

Ο κανονισμός 2016/679 (GDPR), που προστατεύει τα δεδομένα αυτά, ορίζει συγκεκριμένα για την καλύτερη κατανόηση κάποια από τα παραπάνω στοιχεία.

Σύμφωνα με το άρθρο 4 GDPR:

  • Ως γενετικά δεδομένα ορίζονται εκείνα τα γενετικά στοιχεία του ατόμου που δίνουν εξατομικευμένες πληροφορίες για την υγεία και την φυσιολογία του και έχουν κληρονομηθεί ή αποκτηθεί από την επεξεργασία βιολογικού δείγματος του προσώπου αυτού, ιδίως από την ανάλυση του DNA και RNA.
  • Ως βιομετρικά δεδομένα ορίζονται εκείνα τα στοιχεία που είναι αποτέλεσμα μιας ειδικής τεχνικής επεξεργασίας που συνδέεται με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά του ατόμου και δίνουν την δυνατότητα για αδιαμφισβήτητη ταυτοποίηση του ατόμου π.χ. με εικόνα προσώπου ή δακτυλοσκοπικά δεδομένα.
Τα βιομετρικά δεδομένα είναι ευαίσθητα προσωπικά δεδομένα
  • Ως δεδομένα σχετικά με την υγεία ορίζονται εκείνα που αφορούν την σωματική και ψυχική υγεία του ατόμου, καθώς και την παροχή υγειονομικής φροντίδας. Συγκεκριμένα τα δεδομένα αυτά συλλέγονται από το πρόσωπο, όταν αυτό εγγράφεται σε υπηρεσίες υγείας και κατά την παροχή αυτών, όπως π.χ. πληροφορίες σχετιζόμενες με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιστορικό ιατρικό, κλινική θεραπεία, ανεξάρτητα από πού έγινε η διάγνωση (γιατρό, νοσοκομείο, ιατρικό μηχάνημα)
Δεδομένα σχετικά με την υγεία

Τι ορίζει το ειδικό νομικό καθεστώς για τα Ευαίσθητα Προσωπικά Δεδομένα;

Σύμφωνα με το άρθρο 9 του GPDR του Κανονισμού 2016/679, η επεξεργασία των παραπάνω ευαίσθητων δεδομένων απαγορεύεται αυστηρά, εκτός από πολύ συγκεκριμένες περιπτώσεις:

  • Όταν υπάρχει ρητή συγκατάθεση του υποκειμένου για την επεξεργασία των δεδομένων του για συγκεκριμένους σκοπούς. Βέβαια, είναι πιθανό να απαγορεύεται από το δίκαιο της Ένωσης ή κράτους-μέλους η δυνατότητα συγκατάθεσης για κάποιο από τα ευαίσθητα προσωπικά δεδομένα (μάθετε περισσότερα για τη συγκατάθεση στο άρθρο μας για τη συγκατάθεση στην επεξεργασία δεδομένων)

Για παράδειγμα, αυτή η συγκατάθεση του υποκειμένου των δεδομένων μπορεί να δοθεί είτε με προφορική είτε με γραπτή δήλωση, ή ακόμα με μία πολύ ξεκάθαρη πράξη επιβεβαίωσης όπως με την επιλογή ενός τετραγωνιδίου σε έναν Ιστότοπο.

  • Όταν η επεξεργασία επιβάλλεται προκειμένου να εκτελεστούν υποχρεώσεις ή να ασκηθούν συγκεκριμένα δικαιώματα είτε του υπεύθυνου επεξεργασίας είτε του υποκειμένου των δεδομένων. Ειδικότερα, οι υποχρεώσεις και τα δικαιώματα αυτά αφορούν στον τομέα του εργατικού δικαίου ή του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας. Θα πρέπει σε κάθε περίπτωση να παρέχονται οι απαραίτητες εγγυήσεις για την προστασία των δεδομένων και των συμφερόντων των υποκειμένων.

Για παράδειγμα: Όταν ένα υποκείμενο κάνει μία παραγγελία ρούχων από ένα κατάστημα διαδικτυακά, τότε η εταιρία/επιχείρηση ρούχων μπορεί να επεξεργαστεί την διεύθυνση αποστολής, προκειμένου να εκτελεστεί η παραγγελία.

  • Όταν η επεξεργασία είναι πολύ σημαντική για την προστασία ζωτικών συμφερόντων των υποκειμένων, σε περίπτωση όπου τα ίδια είναι σωματικά ή νομικά ανίκανα να δώσουν την συγκατάθεσή τους. Συγκεκριμένα, η χρήση των ουσιωδών συμφερόντων ως δικαιολογητικό λόγο για την επεξεργασία θα πρέπει να γίνεται μόνο αν είναι πρόδηλο ότι η επεξεργασία δεν μπορεί να έχει άλλη νόμιμη βάση. Κάποιες μορφές επεξεργασίας μπορούν να βασιστούν αφενός σε λόγους δημοσίου συμφέροντος και αφετέρου στα ζωτικά συμφέροντα των υποκειμένων.

Για παράδειγμα, αυτό συμβαίνει όταν η επεξεργασία γίνεται για ανθρωπιστικούς λόγους, όπως η αποφυγή ή η εκτίμηση μίας πανδημίας και της εξάπλωσής της.

  • Όταν η επεξεργασία γίνεται από ίδρυμα, οργάνωση ή μη κερδοσκοπικό οργανισμό με πολιτικό, θρησκευτικό, φιλοσοφικό, συνδικαλιστικό σκοπό κατά την άσκηση των νόμιμων δραστηριοτήτων του.
  • Τα ευαίσθητα προσωπικά δεδομένα που είναι υπό επεξεργασία θα πρέπει να έχουν ως υποκείμενα, μέλη ή πρώην μέλη του φορέα ή άτομα που βρίσκονται σε συχνή επαφή με αυτόν. Φυσικά τα δεδομένα αυτά δεν θα πρέπει να κοινοποιούνται σε άτομα εκτός του φορέα χωρίς την συγκατάθεση των υποκειμένων.
  • Όταν η επεξεργασία περιλαμβάνει ευαίσθητα προσωπικά δεδομένα που το ίδιο το υποκείμενο έχει δημοσιοποιήσει με πρόδηλο τρόπο.
  • Όταν η επεξεργασία είναι απαραίτητη προκειμένου να ασκηθούν, να θεμελιωθούν ή να αξιωθούν νομικές αξιώσεις είτε σε δικαστική είτε σε διοικητική διαδικασία είτε σε εξωδικαστικές διαδικασίες.
  • Όταν η επεξεργασία εξυπηρετεί σκοπούς ουσιαστικού δημοσίου συμφέροντος, έχοντας ως βάση το δίκαιο της Ένωσης ή κράτους μέλους που είναι ανάλογο με τον επιδιωκόμενο σκοπό.

Βέβαια, η επεξεργασία αυτή θα πρέπει να σέβεται και να προβλέπει κατάλληλα μέτρα για τη διασφάλιση των ελευθεριών και των δικαιωμάτων του υποκειμένου.

Για παράδειγμα, σε περίοδο προεκλογικών δραστηριοτήτων, το δημοκρατικό σύστημα δίνει την δυνατότητα στα πολιτικά κόμματα να συγκεντρώσουν δεδομένα σχετικά με τα πολιτικά φρονήματα των πολιτών. Αυτό γίνεται για λόγους δημοσίου συμφέροντος.

  • Όταν η επεξεργασία βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας είναι απαραίτητη:
    • για σκοπούς προληπτικής ή επαγγελματικής ιατρικής
    • για την εκτίμηση της ικανότητας προς εργασία του υποκειμένου,
    • για ιατρική διάγνωση,
    • για παροχή υγειονομικής και κοινωνικής περίθαλψης ή θεραπείας
    • για διαχείριση υγειονομικών συστημάτων και υπηρεσιών.

Για παράδειγμα: Ένας γιατρός μετά από κάθε επίσκεψη με τους πελάτες τους καταχωρεί το ονοματεπώνυμο τους, την περιγραφή των συμπτωμάτων και η φαρμακευτική αγωγή που τους συνταγογραφήθηκε, δηλαδή δεδομένα που θεωρούνται ευαίσθητα. Η επεξεργασία δεδομένων υγείας από την κλινική επιτρέπεται σύμφωνα με τη νομοθεσία περί προστασίας δεδομένων, ακριβώς επειδή είναι απαραίτητη για την θεραπεία του ατόμου και καλύπτεται από το επαγγελματικό απόρρητο του γιατρού.

  • Η επεξεργασία είναι σημαντική για λόγους προστασίας δημοσίου συμφέροντος που συνδέονται με τον τομέα της δημόσιας υγείας. Θα πρέπει όμως, η επεξεργασία να στηρίζεται στο δίκαιο της Ένωσης ή κράτους μέλους, το οποίο θα θεσπίζει ειδικότερες ρυθμίσεις για την προστασία των δικαιωμάτων και των ελευθεριών του υποκειμένου και ιδιαίτερα για το επαγγελματικό απόρρητο. Βέβαια, η επεξεργασία ευαίσθητων δεδομένων σχετικών με την υγεία δεν θα πρέπει να γίνεται περαιτέρω από τρίτους όπως από ασφαλιστικές εταιρίες, εργοδότες, τράπεζες κτλ.

Για παράδειγμα: Όταν υπάρχει διασυνοριακή απειλή κατά της υγείας ή για την διασφάλιση υψηλής ποιότητας και ασφάλειας σε υπηρεσίες υγειονομικής περίθαλψης και φαρμάκων ή διαφόρων ιατροτεχνολογικών προϊόντων.

  • Η επεξεργασία χρειάζεται για λόγους αρχειοθέτησης και για επιστημονική, ιστορική ή στατιστική έρευνα, η οποία είναι ανάλογη προς τον επιδιωκόμενο σκοπό και προβλέπει κατάλληλα μέτρα για τη διασφάλιση σε κάθε περίπτωση των ελευθεριών και των δικαιωμάτων του υποκειμένου.

Αξίζει να αναφερθεί ότι σε οποιαδήποτε από τις παραπάνω περιπτώσεις θα πρέπει να εφαρμόζονται όλες οι γενικές αρχές που αφορούν την νόμιμη επεξεργασία των δεδομένων, όπως η ενημέρωση του υποκειμένου σχετικά με τον νόμιμο σκοπό της επεξεργασίας και το δικαίωμα αντίρρησης του, που μπορείτε να ενημερωθείτε στο άρθρο Προσωπικά Δεδομένα – The Basics.

Εθνική Νομοθεσία για τα Ευαίσθητα Προσωπικά Δεδομένα

Τα κράτη-μέλη μπορούν παράλληλα να θεσπίζουν περαιτέρω διατάξεις με περισσότερους όρους και περιορισμούς, προκειμένου να είναι σύννομη η επεξεργασία γενετικών, βιομετρικών δεδομένων και δεδομένων υγείας.

Φυσικά, οι περιορισμοί αυτοί δεν θα πρέπει να είναι τέτοιου βαθμού που θα εμποδίζεται η κυκλοφορία προσωπικών δεδομένων εντός της Ένωσης.

Συγγραφέας

Eleni-Kostakoglou
Ελένη Κωστάκογλου
Νομικός