我的組織可以在什麼基礎上處理特殊類別的個人資料?

在上一篇文章中 ,我們研究了組織可以依賴哪些合法依據(即合法理由)來處理個人資料。基本原則是控制者必須有合法依據才能處理個 我的組織可以在什麼基礎上處理特殊類別的個人資料 人資料(英國 GDPR 第 6 條)。但是,如果個人資料是特殊類別的個人數據, 僅憑合法依據是不夠的。這是因為英國 GDPR 第 9 條禁止處理特殊類別的個人數據,除非十種例外情況之一(也稱為「處理條件」)適用。

加工的十個條件可簡單概括如下:

(a) 個人明確同意以一個或多個指定目的進行處理

(b) 處理對於就業、社會安全和社會保護目的是必要的(以英國法律為基礎)

(c) 在個人身體或法律上無法表示同意的情況下,為了保護個人的切身利益,必須進行處理

(d) 處理由非營利組織進行

(e) 處理涉及資料主體公開的個人資料

(f) 處理對於法律主張或法院以其司法能力行事是必要的

(g) 出於重大公共利益的原因(以英國法律為基礎),必須進行處理

(h) 出於健康或社會保健目的而需要處理(以英國法律為基礎)

(i) 需要為公共衛生目的進行處理(以英國法律為基礎)

(j) 處理對於存檔、研究和統計目的是必要的(以英國法律為基礎)

您會注意到,上述五項條件規定它們必須有“法律依據”,在英國,這意味著符合《2018 年資料保護法》(DPA) 中的規定。如果組織希 醫師資料庫 望依靠這五個條件之一來處理特殊類別數據,則必須遵守 DPA 附表 1 中規定的相關要求。

醫師資料庫

關於處理特殊類別資料的各種條件的使用有很多細節,我們在本文中沒有篇幅來介紹這些細節,但讓我們看幾個特殊類別資料處理的範例以及如何證明該處理的合理性:

1. 一家物流公司希望對其卡車司機進行隨機酒精檢測。作為卡車司機的雇主和卡車運營商,該組織有義務確保其司機安全操作卡車。與酒精測試(甚至陰性測試)相關的資訊將構成與駕駛員相關的特殊類別個人資料。物流公司可以依賴合法利益 最佳電子商務電子郵件行銷軟體:電子郵件行銷工具 作為其加工的合法依據,其加工條件可以是(b)就業、社會安全和社會安全。為了依賴條件 (b),DPA 要求組織必須能夠證明個人資料的處理是“必要的”,並且擁有的個人資料不得超過其目的所需的數量。還需要適當的政策文件(資訊專員辦公室(ICO)在其網站上有一個可以使用的範本)。 

2. 某個組織向部分員工提供公司汽車並為這些 印尼數據 車輛投保。一名員工在駕駛公司汽車時發生醫療事故,導致與另一輛車相撞,導致第二輛車的司機受傷。事故已報告給兩輛車的保險公司,並就事故啟動法律程序。該組織需要向保險公司和法律顧問提供事故的詳細信息,其中包括有關正在開車的員工的特殊類別數據以及導致事故的醫療事件,以獲得有關法律訴訟的建議。處理的合法依據可能是合法利益,但處理的條件可以是 (f) 合法主張。為了依賴條件 (f),DPA 再次要求組織能夠證明個人資料的處理是「必要的」。 

在考慮個人資料處理是否「必要」時,ICO 表示,這「並不意味著處理必須是絕對必要的。然而,它必須不僅僅是有用或習慣的。它必須是實現這一目標的有針對性和相稱的方式」。

這是資料保護法的一個複雜領域,特殊類別個人資料的使用需要根據具體情況仔細考慮。

我們的 資料保護團隊 在為組織遵守英國資料保護法提供建議方面擁有多年的經驗。若要與其中一位團隊交談,您可以 在此處聯絡 我們或致電 0800 2800 421聯絡我們。 

如果您沒有直接收到本文,但希望接收來自 Trethowans 的文章和資料保護新聞提醒,請發送電子郵件 

返回頂端