HÍREK, INFORMÁCIÓK

Különleges adatok - különleges szabályok!

A különleges személyes adatok olyan adatok, amelyek az érintettek magánéletét érzékenyebben befolyásolják (pl.: vallásszabadság vagy emberi méltóság kérdésében), emiatt esetükben jogi oldalról többletvédelem szükséges. A GDPR ennek megfelelően szigorúbb szabályok alkalmazását rendeli el az ilyen adatok kezelése esetén.

Pontosan melyek ezek a különleges adatok?

Ide sorolja a GDPR a következőket:

  • faji vagy etnikai származásra,
  • politikai véleményre,
  • vallási vagy világnézeti meggyőződésre,
  • szakszervezeti tagságra utaló személyes adatok,
  • genetikai adatok,
  • természetes személy egyedi azonosítását célzó biometrikus adatok (pl.: ujjnyomat, íriszkép, vagy vénalenyomat),
  • egészségügyi adatok (pl: oltottságra, betegségre vonatkozó adatok)
  • szexuális életre vagy szexuális irányultságra vonatkozó személyes adatok.

A fenti adatok esetében főszabály az, hogy a kezelésük tilos.

Ezen főszabály alól a GDPR azonban meghatároz bizonyos kivételeket, összesen 10-et:  

 

Tiltás alóli kivétel

Magyarázat

1

az érintett kifejezett hozzájárulása esetén (ha azt uniós vagy tagállami jog nem zárja ki)

A kifejezett szó azt jelenti, hogy az érintett valamilyen formában megerősíti a beleegyezését, illetve az érintett tisztában van azzal, hogy az adatkezelés az ő különleges adataira vonatkozik és ehhez hozzájárul.

2

az adatkezelés adatkezelőnek vagy az érintettnek a foglalkoztatást vagy a szociális biztonságot szabályozó jogi előírásokból fakadó jogai vagy kötelezettségei miatt szükséges

Jelen pontnál fókuszban a munkajogi tárgyú és szociális jogszabályok állnak, de kollektív szerződés is tartalmazhat olyan rendelkezéseket, amelyek itt relevánsak lehetnek. A munkáltatók például ezen esetkörre alapozva kezelhetik a munkavállalók erkölcsi bizonyítványának adatait.

3

az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett cselekvőképtelenség miatt nem tud hozzájárulni az adatkezeléshez

Adatkezelésre itt csak akkor kerülhet sor, ha az érintett fizikai vagy jogi cselekvőképtelenségénél fogva nem képes hozzájárulást adni. Fontos, hogy nem csak az érintetthez köthető ez a pont, hanem más (kapcsolt) személy adatai is felhasználhatóak (pl: gyermek balesete esetén a szülő adatai).

4

az adatkezelés politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy más nonprofit szervezet jogszerű tevékenysége során szükséges, ha nem válnak hozzáférhetővé harmadik személy számára

Két garanciális szabály van itt: egyik, hogy csak az adatkezelő jelenlegi és volt tagjaira és azon személyekre vonatkozik, akikkel rendszeres kapcsolatban áll az adatkezelő. A másik garancia szerint a személyes adatokat az érintett hozzájárulása nélkül nem teszik hozzáférhetővé, vagyis az adatokat tagnyilvántartás vagy kapcsolattartás miatt használhatják.

5

az érintett kifejezetten nyilvánosságra hozta a személyes adatokat

Nem használható ez az esetkör, ha tévedésből, véletlenül került nyilvánosságra az adat, illetve, ha azt harmadik személy hozta nyilvánosságra és nem az érintett.

6

jogi igényérvényesítés körében, illetve bírói igazságszolgáltatási feladatkörben,

Jogi igény esetében ún. érdekmérlegelés szükséges, illetve a bírói igazságszolgáltatásnál az eljárási jogszabályok határozzák meg a jogszerűséget.

7

jelentős közérdekből uniós vagy tagállami jog alapján

Jogszabály határozza meg az ún. jelentős közérdeket. Jelentős közérdek például a honvédelem vagy a nemzetbiztonság.

8

megelőző egészségügyi vagy munkahelyi egészségügyi célból, egészségügyi vagy szociális rendszerek és szolgáltatások irányítása miatt

A GDPR ennél az esetnél külön hangsúlyozza, hogy ez esetben az adatkezelést olyan szakembernek kell végeznie, aki uniós vagy tagállami jogban, illetve ennek felhatalmazása alapján megállapított más szabályzóban meghatározott titoktartási kötelezettség hatálya alatt áll. (Tipikus eset pl. az üzemorvosi vizsgálat)

9

a népegészségügy területét érintő közérdekből

A GDPR itt is rendelkezik arról, hogy uniós vagy tagállami jog alapján történjen az adatkezelés, amely meghatározza az érintett jogait és szabadságait védő garanciákat (pl: titoktartás).

10

közérdekű archiválás, tudományos és történelmi kutatás, statisztikai célból

Ennél a pontnál elsődlegesen (de nem kizárólagosan) a Levéltári törvény rendelkezik a részletszabályokról.

A szabályozás értelmében az Európai Unió tagállamai további feltételeket - köztük korlátozásokat – határozhatnak meg az alábbi három adatcsoport kezelése vonatkozásában:

  • a genetikai adatok,
  • biometrikus adatok és
  • egészségügyi adatok.

Ezek alapján a Rendelet lehetőséget ad a tagállamoknak arra, hogy például az egészségügyi adatok vonatkozásában nemzeti szabályozással éljen (természetesen a GDPR adta kereteknek megfelelően).

Összefoglalva tehát a különleges adatok GDPR szerinti jogszerű kezeléséhez a következők szükségesek:

Jogszerű adatkezeléshez szükséges elem

GDPR hivatkozás

Alapelvi megfelelőség

GDPR 5. cikk (1)-(2) bekezdések

Megfelelő jogalap

GDPR 6. cikk (1) bekezdés a)-f) pontok

Különleges adat kezelésének tilalma alóli felmentő (kivétel) szabály

GDPR 9. cikk (2) bekezdés vagy

GDPR 9. cikk (4) bekezdés