我想處理特殊類別資料(敏感個人資料)

有時需要處理英國 GDPR 稱為「特殊類別」的敏感個人資料。由於此類個人資料是關於人們的敏感信息,因此必須格外小心地管理資料並保護他們的隱私。

使用敏感的個人「特殊類別」數據,一目了然…

本「操作方法」指南解釋了您需要遵循的步驟,以建立所需的額外保護措施,以確保根據資料保護法安全、合法地處理敏感的特殊類別資訊。這些步驟一目了然:

如果您打算使用敏感個人數據,請務必確保您在過去兩年內完成了強制性資訊安全訓練。

什麼是個人資料?

「個人資料」指與已識別可識別的在世人員有關的任何資料或資訊。它包括客觀資訊(姓名、出生日期)和主觀資訊(意見、信仰)。個人資料的範例包括家庭地址、性別、電子郵件地址(工作和個人)、位置資料(例如行動電話上保存的位置資料)、網際網路通訊協定(IP)位址、影像和語音記錄。

一個人可以透過參考身分證號碼(職員或學生 ID)或透過結合一個或多個特定於其身分的因素(身體、遺傳、經濟、文化或社會身分)來直接或間接地識別。

如果某些個人資料的使用環境可能會產生重大風險、幹擾個人的基本權利或使某人受到歧視,則應更加謹慎地對待這些資料。雖然這些資訊可能不屬於「特殊類別」資料的定義,但它可能仍然高度敏感。如果您有任何顧慮,它可能會使人受到傷害,請考慮與其使用相關的可能風險,並採取相當於特殊類別資料的額外保護措施。例如,使用與性別認同或兒童個人資訊相關的個人資料。

更多資訊:什麼是個人資料?

「處理」是什麼意思?

幾乎您對個人資料所做的任何事情都將涉及「處理」它,這包括其收集、記錄、儲存、更改、分析、使用(包括作為郵件列表)、共享、刪除或銷毀。如果您正在考慮做這些事情,您必須繼續閱讀。

什麼是「特殊類別資料」?

有些個人資料本質上被認為是更敏感。 特殊類別數據是揭示一個人的以下資訊的數據:

  • 種族或民族血統,
  • 政治觀點,
  • 宗教或哲學信仰,
  • 工會會員資格,
  • 遺傳數據,
  • 生物辨識數據,
  • 健康數據(精神和身體),
  • 性生活,
  • 性取向。

特殊類別數據是揭示個人敏感事實的數據或信息,信息的敏感性質意味著其收集和使用可能對個人造成實際傷害的風險更大。

《資料保護法》將健康數據定義為與個人身體或心理健康相關的個人數據,包括提供醫療保健服務,以揭示有關其健康狀況的資訊。例如,有關受傷、疾病、懷孕、殘疾狀況和心理健康的任何資訊。

與兒童(18 歲以下的任何人)相關的個人資料不屬於特殊類別資料。但是,您處理的有關兒童的資料可能屬於「特殊類別」規則。此外,我想處理特殊類別資料(敏感個人資料) 英國 GDPR 要求處理時要格外小心。

有關犯罪記錄和訴訟程序的個人資料不屬於特殊類別資料。然而,處理它也有類似的規則。

2010 年《平等法案》確定了與個人資料相關的九個受保護特徵,但這些特徵並未完全對應到英國 GDPR 中定義的個人資料類型。透過下面的連結了解更多並查看兩者的比較。

更多資訊:比較《平等法》與英國 GDPR 個人資料的受保護特徵

為什麼「特殊類別資料」特殊?

您應避免處理特殊類別數據(敏 全球數據中的海外華人 感個人資訊)或需要額外小心的數據,盡可能僅在必要時收集和使用

全球數據中的海外華人

如果有必要處理特殊類別的數據,根據法律,您需要額外注意保護數據(以保護與數據相關的人員)。收集和使用這些資料可能會對個人 電子郵件培養活動最佳實務:可轉換的電子郵件行銷活動 的權利和自由造成重大風險。例如,它可能會意外或無意地使某人受到歧視或傷害。

由於特殊類別資料的敏感度以及處理該資料所涉及的風險,英國 GDPR 和資料保護法案 (2018) 規定了可以處理該資料的特定情況,否則不允許使用該資料。

非法處理或濫用這些敏感個人資料的 印尼數據 後果可能會對個人安全產生深遠而嚴重的後果,也可能損害大學的聲譽,削弱對機構的信任,並導致法律行動或經濟處罰。

更多資訊:什麼是個人資料?

如果我需要處理特殊類別數據,這一切意味著什麼?

在處理敏感的「特殊類別」個人資料之前,您必須完成許多步驟,這些步驟不是可選的,它們確保您對特殊類別資料的使用是合法的,並且旨在保護您計劃使用其敏感個人資訊的個人。您必須能夠:

那麼匿名資料呢?

在處理敏感個人資料之前,應注意管理重新識別的風險以及揭露可能產生的後果。雖然完全匿名個人資料可能很困難,但如果滿足以下條件,則將其視為匿名:

  • 資訊與已識別或可識別的個人無關;或到
  • 無法再辨識個人身分的個人資料。

匿名化是一種試圖透過永久替換或刪除個人資料來防止從特定資料集中識別個人的過程。如果一個人因其個人資料已匿名而無法再被識別,則不受資料保護法的約束。

資料保護法僅適用於已識別或可識別人員的資訊。如果使用附加資訊可以識別他們、推斷他們的身份或歸因於他們的個人數據,則英國 GDPR 不會將他們的個人資料視為匿名數據。因此,假名數據(使用唯一識別碼來偽裝個人數據,但可以使用金鑰進行追蹤)被歸類為個人數據。

如果無法完全解決識別風險,請考慮是否可以透過使用諸如將特定類別內的個人數量進行四捨五入或重新定義類別(例如重新分組年齡範圍)等技術來減輕其影響。如果這是不可能的,或者個人仍然可以識別,請重新審視您的資料保護影響評估,並重新評估是否繼續安全且合適。

返回頂端