《一般資料保護規範》(GDPR) 是世界上最嚴格的資料保護法之一。它為收集和處理歐盟個人的個人資料提供了法律框架。
GDPR區分了「特殊類別的個人資料」(也稱為「敏感資料」)和其他個人數據,並對敏感資料的收集和處理提出了更嚴格的要求。了解這些差異將有助於您的公司遵守要求並避免嚴厲處罰。
在本文中,我們將解釋根據 GDPR 哪些個人資料被視為「敏感」。我們還將研究像 Matomo 這樣的網路分析解決方案如何幫助您保持合規性。
什麼是敏感個人資料?
以下類別的資料被視為敏感資料:
- 個人資料外洩:
- 種族或民族血統;
- 政治觀點;
- 宗教或哲學信仰;
- 工會會員資格;
- 遺傳和生物識別數據;
- 有關個人的資料:
- 健康;或者
- 性生活或性取向。
敏感個人資料與非敏感個人資料:有什麼區別?
雖然這兩個類別都包含有關個人的信息,但敏感資料被視為更私密,或需要更好的保護。
如果資料被洩露,敏感資料通常會為資料主體帶來更高程度的風險和傷害。例如,暴露健康記錄的資料外洩可能會導致相關個人受到歧視。保險公司可以利用這些資訊來增加保費或拒絕承保。
相較之下,姓名或性別等個人資料被認為較不敏感,因為它不具有與敏感資料相同程度的危害。
與未經授權存取某人的健康記錄或生物識別資料相比,僅未經授權存取某人的姓名不太可能傷害他們或侵犯他們的基本權利和自由。請注意,財務資訊(例如信用卡詳細資料)不屬於特殊資料類別。
處理的合法性
根據 GDPR,敏感和非敏感個人資料都受到保護。然而,處理敏感資料的規則和條件更加嚴格。
第 6 條涉及非敏感資料的處理,並規定,如果六種合法處理依據之一適用,則處理是合法的。
相比之下,藝術。 GDPR 第 9 條規定,原則上禁止處理敏感數據,但規定了十種例外。
值得注意的是,藝術的合法基礎。 6 與藝術中的例外情況不同。 9. 例如,雖然履行合約或控制者的合法利益是處理非敏感個人資料的合法依據,但它們不屬於第 1 條中的例外情況。 9. 接下來是控制者不得基於合約或合法利益處理敏感資料。
允許處理敏感個人資料的例外情況(根據附加要求)是:
- 明確同意:個人明確同意出於特定目的處理其敏感個人數據,除非歐盟成員國禁止此類同意。有關明確同意的更多信息,請參閱下文。
- 就業、社會安全或社會保護:處理敏感資料是執行就業、社會安全或社會保護法規定的任務所必需的。
- 重大利益:為了保護資料主體的利益,或在個人身體或法律上無法同意的情況下,處理敏感資料是必要的。
- 非營利組織:具有政治、哲學、宗教或工會目標的基金會、協會或非營利組織可能會根據其目的處理其成員或與其經常接觸的人的敏感數據(並且不得披露未經數據主體同意,數據可在組織外部使用)。
- 公開:在某些情況下,如果資料主體的敏感資料已經公開且可訪問,則可能允許處理該資料。
- 法律索賠:處理敏感資料對於建立、行使 南非電話號碼數據 或捍衛法律索賠(包括法律訴訟或法庭訴訟)是必要的。
- 公共利益:出於重大公共利益的原因,例如防止非法行為或保護公眾,有必要進行處理。
- 健康或社會照護:處理特殊類別資料對於以下用途是必要的:預防或職業醫學、提供健康和社會照護、醫療診斷或管理醫療保健系統。
- 公共衛生:出於公共衛生原因,允許處理敏感數據,例如防止跨境健康威脅或確保藥物或醫療設備的安全。
- 存檔、研究和統計:如果出於公共利益、科學或歷史研究目的或統計目的的存檔目的,您可以處理敏感資料。
此外,您必須遵守 GDPR 規定的所有資料處理要求。
重要提示:請注意,對於您正在處理 會和學生宿舍的大膽而美麗 的任何已發送的數據,您始終需要根據第 1 條確定合法依據。 6. 此外,如果發送的數據包含敏感數據,您必須遵守Art. 9.
明確同意
雖然同意是處理非敏感個人資料的有效合法依據,但只有在資料主體「明確同意」的情況下,控制者才可以處理敏感資料。
GDPR 並沒有定義「明確」同意,但人們普 印尼數據 遍認為它必須符合所有藝術。同意的 7 個條件,門檻較高。要「明確」同意,需要資料主體的明確聲明(口頭或書面)。從資料主體的行為推斷的同意不符合閾值。
控制者必須保留明確同意的記錄,並提供適當的同意撤銷方法,以允許資料主體行使其權利。
合規和不合規敏感資料處理範例
以下是何時可以和不能處理敏感資料的範例:
- 何時可以處理敏感數據:醫生記錄有關患者的敏感數據,包括患者的姓名、症狀和處方藥物。醫院可以處理這些數據,以便為患者提供適當的醫療照護。物聯網設備和軟體製造商根據每個客戶的明確同意來處理客戶的健康資料。
- 當您無法處理敏感資料時:一個例子是當您沒有獲得資料主體的明確同意時。另一種情況是沒有合法依據進行處理,或者您正在收集您根本不需要的個人資料。例如,您不需要客戶的種族血統來完成線上訂單。
處理敏感資料的其他影響
如果您處理敏感數據,尤其是大規模處理敏感數據,GDPR 會提出額外要求,例如進行資料隱私影響評估、任命資料保護官員和歐盟代表(如果您是歐盟以外的控制者)。
對 GDPR 違規行為的處罰
敏感資料處理不當(或在不允許的情況下處理資料)可能會導致巨額處罰。GDPR 罰款分為兩級:
- 對於不太嚴重的侵權行為,處以 1000 萬歐元或公司年收入的 2%
對於更嚴重的侵權行為
處以 2000 萬歐元或公司年收入的 4%
光是 2023 年上半年,歐盟因違反 GDPR 而處以的罰款就超過16 億歐元,高於 2019 年的 7,300 萬歐元。