Dữ liệu nhạy cảm trong GDPR là gì?

Phân tích Điều 9(1) GDPR cho thấy "các loại dữ liệu cá nhân đặc biệt"—thường được gọi là dữ liệu cá nhân nhạy cảm—phải tuân theo các lệnh cấm xử lý rõ ràng trừ khi một trong các trường hợp ngoại lệ theo Điều 9(2) được áp dụng (Voigt & Von dem Bussche, 2017). Những phát hiện chính xác định các loại dữ liệu sau đây là dữ liệu nhạy cảm theo GDPR:

• Nguồn gốc chủng tộc hoặc dân tộc
• Quan điểm chính trị
• Tín ngưỡng tôn giáo hoặc triết học
• Thành viên công đoàn
• Dữ liệu di truyền
• Dữ liệu sinh trắc học để nhận dạng duy nhất
• Dữ liệu liên quan đến sức khỏe
• Dữ liệu liên quan đến đời sống tình dục hoặc xu hướng tính dục của một thể nhân

Việc xử lý các loại dữ liệu này bị hạn chế về cơ bản. Kết quả cho thấy các bên kiểm soát dữ liệu phải đảm bảo:

• Có được sự đồng ý rõ ràng (trừ khi có một ngoại lệ khác được áp dụng)
• Việc xử lý được giới hạn nghiêm ngặt cho các mục đích đã nêu trong Điều 9(2)
• Các biện pháp bảo mật bổ sung được thực hiện, bao gồm mã hóa và bút danh hóa, để bảo vệ các loại dữ liệu này. 

Thảo luận còn nhấn mạnh thêm rằng nguy cơ gây hại trong trường hợp tiết lộ trái phép sẽ tăng lên đáng kể đối với dữ liệu nhạy cảm. Rủi ro này củng cố yêu cầu của GDPR về "bảo mật cao hơn và các yêu cầu xử lý đặc biệt" (Voigt & Von dem Bussche, 2017). Ví dụ, dữ liệu sinh trắc học và di truyền không chỉ nhận dạng cá nhân mà còn có thể tiết lộ các mối quan hệ gia đình và khuynh hướng di truyền, làm tăng rủi ro về quyền riêng tư (Kuner et al., 2020).

Tóm lại, cách tiếp cận của GDPR đối với dữ liệu cá nhân nhạy cảm được đặc trưng bởi:

• Các lệnh cấm nghiêm ngặt về việc xử lý mà không có cơ sở pháp lý đủ điều kiện
• Các biện pháp kiểm soát an ninh bắt buộc phù hợp với tính chất quan trọng của dữ liệu
• Các nghĩa vụ đặc biệt về tính minh bạch và trách nhiệm giải trình của các bên kiểm soát dữ liệu

Nghiên cứu cho thấy rằng các trường hợp không tuân thủ liên quan đến dữ liệu cá nhân nhạy cảm sẽ phải chịu các hình phạt thực thi cao hơn đáng kể và rủi ro về danh tiếng.