2019年11月14日,信息专员办公室(ICO)发布了指南(在这里链接 适用于处理特殊类别的个人数据的组织(指南)。以前,组织在处理特殊类别的个人数据时往往只关注GDPR第9条处理基础。 ICO进行此更新后,提醒组织必须具备 GDPR第6条 第9条处理特殊类别的个人数据时的处理依据。此外,在某些情况下,ICO将要求组织:(i)证明他们已经进行了数据保护影响评估; (ii)拥有适当的政策文件(该指南提供了模板),他们依靠GDPR第9条来处理特殊类别的个人数据并履行其《 2018年数据保护法》(DPA 2018)的义务。

背景

GDPR第9(1)条规定了个人数据的特殊类别,并在第51条中对其进行了澄清。特殊类别的个人数据比普通个人数据更加敏感。因此,GDPR为特殊类别的个人数据提供了更大的保护。特殊类别的个人数据涉及数据主体的种族或民族血统,健康信息,工会会员身份,宗教信仰,性历史或性偏爱等。遗传和生物特征识别数据也包括在内。处理此类个人数据时,“对个人的基本权利和自由构成重大风险”。因此,组织需要确保在处理它时要格外小心。

指导要点

  • 该指南阐明了构成遗传或生物特征数据的内容。还包括GDPR对健康数据和刑事犯罪数据的不明确定义的解释。此外,ICO强调指出,在识别特殊类别的个人数据时,该数据不必只是指定相关详细信息的个人数据。组织应考虑可能“推断或猜测某人的详细信息”的场景。如果可以合理确定程度进行这种推断,则可能是特殊类别的个人数据。
  • 为了使处理合法,组织必须确定GDPR第6条的合法处理基础。此外,只有在GDPR第9条中的法律基础之一适用的情况下,才能处理特殊类别的个人数据(并在需要时与任何相关的DPA 2018附表1条件一起使用)。例如,更严格的规则适用于与特殊类别的个人数据有关的自动决策(和配置文件),要求 明确同意 或一个 实质公共利益条件。如果组织不确定,则ICO建议在考虑其他第9条处理基础之前,先获得明确的同意作为起点。
  • 在以下情况下,特殊类别的个人数据可能需要数据保护影响评估(DPIA):(i)是大规模的; (ii)用于确定获得产品,服务,机会或利益的途径;或(iii)包括遗传或生物特征数据。如有疑问,ICO建议执行DPIA。
  • 对于大多数GDPR第9条处理基地,必须有“适当的政策文件”。这是一份简短的文件,概述了公司处理特殊类别的个人数据所依赖的DPA 2018附表1条件。该文档还必须包括遵循每个原则的程序以及数据保留期和删除策略的详细信息。 ICO提供了一个模板文件(在这里链接)。适当的政策文件必须保留到相关处理停止之日起六个月。组织应准备在被要求时将此文件提交给ICO。

评论

该指南的最大变化是,处理特殊类别个人数据的组织有义务拥有GDPR第6和9条规定的处理基础。第9条处理基础不是第6条的替代处理基础。相反,第9条处理基础是处理特殊类别的个人数据时,附加的保护层。这种澄清可能意味着您的公司必须为特殊类别的个人数据识别并公布其GDPR第6条处理基础。您可能还需要填写适当的政策文件,证明您对某些GDPR第9条处理基础的依赖。这是ICO在指南中阐明的两个问题,并且它将期望所有公司都遵守。