Що таке чутливі дані у GDPR?

Аналіз статті 9(1) GDPR демонструє, що "особливі категорії персональних даних"—які зазвичай називають чутливими персональними даними—підпадають під пряму заборону на обробку, якщо не застосовується один із винятків, передбачених статтею 9(2) (Voigt & Von dem Bussche, 2017). Основні висновки визначають такі дані як чутливі згідно з GDPR:

• Расове або етнічне походження
• Політичні погляди
• Релігійні або філософські переконання
• Членство у профспілках
• Генетичні дані
• Біометричні дані для унікальної ідентифікації
• Дані про стан здоров'я
• Дані, що стосуються статевого життя або сексуальної орієнтації фізичної особи

Обробка цих типів даних суворо обмежена. Результати показують, що контролери даних повинні забезпечити:

• Отримання явної згоди (якщо не застосовується інший виняток)
• Обробка суворо обмежується цілями, зазначеними у статті 9(2)
• Впровадження додаткових заходів безпеки, включаючи шифрування та псевдонімізацію, для захисту цих типів даних. 

Обговорення також підкреслює, що ризик заподіяння шкоди у разі несанкціонованого розголошення значно зростає для чутливих даних. Цей ризик лежить в основі вимоги GDPR щодо "посиленої безпеки та особливих вимог до обробки" (Voigt & Von dem Bussche, 2017). Наприклад, біометричні та генетичні дані не тільки ідентифікують осіб, але й можуть розкривати родинні зв'язки та схильності, посилюючи ризики для приватності (Kuner et al., 2020).

Отже, підхід GDPR до чутливих персональних даних характеризується:

• Суворими заборонами на обробку без відповідної правової підстави
• Обов'язковими заходами безпеки, адаптованими до критичного характеру даних
• Особливими зобов'язаннями щодо прозорості та підзвітності з боку контролерів даних

Дослідження показують, що порушення вимог щодо обробки чутливих персональних даних призводять до значно вищих штрафів та репутаційних ризиків.