داده‌های حساس در GDPR چیست؟

تحلیل ماده 9(1) GDPR نشان می‌دهد که «دسته‌بندی‌های خاص داده‌های شخصی»—که معمولاً داده‌های شخصی حساس نامیده می‌شوند—مشمول ممنوعیت‌های صریح پردازش هستند، مگر اینکه یکی از استثنائات ذیل ماده 9(2) اعمال شود (Voigt & Von dem Bussche, 2017). یافته‌های اصلی، موارد زیر را به‌عنوان داده‌های حساس تحت GDPR شناسایی می‌کنند:

• منشاء نژادی یا قومی
• نظرات سیاسی
• باورهای مذهبی یا فلسفی
• عضویت در اتحادیه‌های کارگری
• داده‌های ژنتیکی
• داده‌های بیومتریک برای شناسایی منحصر به فرد
• داده‌های مربوط به سلامت
• داده‌های مربوط به زندگی جنسی یا گرایش جنسی یک شخص حقیقی

پردازش این نوع داده‌ها اساساً محدود شده است. نتایج نشان می‌دهد که کنترل‌کنندگان داده باید اطمینان حاصل کنند که:

• رضایت صریح اخذ شود (مگر اینکه استثنای دیگری اعمال شود)
• پردازش اکیداً به اهداف ذکر شده در ماده 9(2) محدود شود
• اقدامات امنیتی بیشتری، از جمله رمزگذاری و نام مستعارسازی، برای حفاظت از این نوع داده‌ها اجرا شود. 

بحث بیشتر نشان می‌دهد که خطر آسیب در صورت افشای غیرمجاز برای داده‌های حساس به طور قابل توجهی افزایش می‌یابد. این خطر، الزام GDPR’s برای «امنیت بیشتر و الزامات پردازش ویژه» را تقویت می‌کند (Voigt & Von dem Bussche, 2017). برای مثال، داده‌های بیومتریک و ژنتیکی نه تنها افراد را شناسایی می‌کنند، بلکه ممکن است روابط خانوادگی و استعدادهای ذاتی را نیز آشکار سازند و خطرات حریم خصوصی را تشدید کنند (Kuner et al., 2020).

به طور خلاصه، رویکرد GDPR’s به داده‌های شخصی حساس با موارد زیر مشخص می‌شود:

• ممنوعیت‌های سختگیرانه برای پردازش بدون مبنای قانونی واجد شرایط
• کنترل‌های امنیتی الزامی متناسب با ماهیت حیاتی داده‌ها
• تعهدات ویژه برای شفافیت و پاسخگویی توسط کنترل‌کنندگان داده

تحقیقات نشان می‌دهد که عدم انطباق در مورد داده‌های شخصی حساس، جریمه‌های اجرایی و خطرات اعتباری به مراتب بالاتری را به همراه دارد.