GDPRに従った個人データの特別なカテゴリとその処理

サービス

GDPRの規定では、通常のデータと特別なカテゴリの個人データの2種類の個人データを区別しています。 GDPRは、個人データの処理と保存には厳しい制限が課せられることを前提としています。これは、すべての起業家が遵守しなければならないいくつかのルールで表現されています。特別なデータは追加の保護の対象となります。

通常のデータと特別なカテゴリの個人データ

個人データ保護の原則の文脈では、通常のデータと特定のデータ(機密データとも呼ばれます)を区別することが非常に重要です。この分類によって、処理の許容性と起業家が使用する必要のある方法のカタログが決まるためです。それらを保護。

GDPRには、個人データの正確な定義(規則の第4条(1)の規定)が含まれています。これによれば、自然人を特定できるのはすべての情報です。特に、個人データは、名前と名前、識別番号(PESEL番号、IDカード番号、運転免許証番号など)、位置データ(自宅の住所、職場など)、インターネットID(IPなど)です。数))、身体的、生理学的、遺伝的、精神的、経済的、文化的または社会的アイデンティティを定義する要因。

重要!
GDPRの規定の意味の範囲内の個人データは、自然人を直接的または間接的に識別することを可能にするすべての情報です(名前と名前、IDカード番号、Cookie ID、電子メールアドレスなど)。

GDPRは、特別なデータのカテゴリも区別します。特別なデータは、機密性が高いためこのカテゴリに分類される情報です。これらには、とりわけ、民族性または労働組合への加入に関するデータ。

同時に、GDPRは、非常に重要な機密データを含む特定のカテゴリの個人データを区別します。

  • 人種的または民族的起源に関するデータ、

  • 政治的見解に関する情報、

  • 宗教的または哲学的信念に関する情報、

  • 労働組合会員データ、

  • 遺伝子データ、

  • 生体認証データ、

  • 健康、セクシュアリティ、または性的指向に関連するデータ。

機密データ、つまり何?

すべてのデータがGDPRの規定の意味の範囲内で保護の対象となる個人データを構成するわけではありません-実際に(直接的または間接的に)自然人を識別し、特定の自然人の上記の特性を開示することを可能にするのは情報のみです人。

人種的起源、政治的意見、または宗教的信念に関する情報は、個人のこれらの特性に関連するすべての情報を含む幅広いカテゴリのデータです。さらに、GDPRは、遺伝子データ(規則の第4条(13)の規定)、生物測定データ(規則の第4条(14)の規定)、および健康データ(規則の第4条(15)の規定)の概念を指定します。規制)。

GDPRの規定に基づく:

遺伝的データは、個人の遺伝的または獲得された遺伝的特徴に関するデータであり、その人の生理学または健康に関する固有の情報を明らかにし、特にその自然人からの生物学的サンプルの分析から得られます。

例:妊婦の遺伝子検査結果。

生体認証データは、特別な技術的処理から得られたデータであり、自然人の身体的、生理学的、または行動的特徴に関連し、顔画像や触覚データなど、人が一意に識別されることを可能または確認します。

例:顔の画像、声、耳介の形状、虹彩または目の網膜の配置、手書きの署名、移動方法、指紋。

健康データは、個人の身体的または精神的健康に関する個人データであり、ヘルスケアサービスの使用を含め、健康状態に関する情報を明らかにします。

例:臨床検査結果、障害に関するデータ、アルコールまたは薬物中毒に関する情報、服用した薬物に関する情報。

上記の機密データのカテゴリに加えて、GDPRの規定には、特別な保護の対象となるもう1つのタイプの情報が含まれています。これは、有罪判決、法律違反に関する情報として理解されるべき自然人の犯罪歴に関するデータです。および関連するセキュリティ対策。 GDPRの原則に従い、この情報の処理は、公的機関の監督下で、データ主体の権利と自由の保護に関する適切な保護手段を使用してのみ可能です。一部の職業の場合、雇用された従業員は彼の犯罪歴に関する情報を提供しなければならないことを覚えておく価値があります。このような場合、雇用主が収集した情報によっては、取得したデータに特定の保護規則が適用される場合があります。

特別なカテゴリの個人データを処理できますか?

原則として、機密データの処理は禁止されています。 GDPRでは、特別なデータのカテゴリに、自然人の親密さとプライバシーの観点から非常に重要な情報が含まれていると想定しているため、この情報はまったく処理しないでください。

重要!
GDPRの規定により、特別なデータとして分類された個人データの処理は禁止されています。規則で指定された場合にのみ可能です。

同時に、規則の規定は、データ管理者が規定で規定された条件を満たす場合に限り、特別なデータの処理が可能な多くの場合を規定しています。

機密データの処理は、次の場合に許可されます。

  1. データ主体がその処理に明示的に同意した場合。

  2. 労働法、社会保障および社会的保護(EUまたは加盟国の法律で許可されている場合)の分野で、管理者またはデータ主体による義務の履行および特定の権利の行使のために処理が必要です。

  3. データ主体または他の自然人の重大な利益を保護するために処理が必要であり、データ主体は物理的または法的に同意を与えることができません。

  4. この組織のメンバーに関連する政治的、イデオロギー的、宗教的および組合の目的のための財団、協会または他の非営利団体によるデータ処理。

  5. 生体認証データは明らかに公開されています。

  6. 法的請求の確立、行使、弁護のため、または裁判所による司法行政の過程で、処理が必要です。

  7. 処理は、公衆衛生の分野を含む、重要な公益の実施に関連しています。

  8. 処理は、予防医療または産業医学の目的で、従業員の労働能力の評価、医療診断、医療または社会保障の提供、治療または健康または社会医療システムおよびサービスの管理のために必要です。

  9. 公益のためのアーカイブ目的、科学的または歴史的研究目的、または統計目的での処理。

起業家の観点から、最も重要なことは自然人の同意です。暗黙的にではなく、明示的に指定する必要があります。自然人に彼の行動の原則、効果、目標、および適用される保護規則について完全に通知することは、起業家の責任となります。

起業家が機密データを処理する状況の例としては、たとえば、企業イベントを開催し、従業員から食品アレルギーに関する情報を取得する(アレルギーに関する情報は健康データとして分類されます)、または健康診断から得られた個人データを処理する場合があります。従業員によって提供されます。この場合、雇用主は機密データを処理するために従業員から同意を得る必要があります。