רגולטור הפרטיות בבריטניה פרסם מדריך על עיבוד מידע רגיש

משרד נציב המידע הבריטי (Information Commissioner's Office - ICO) - הממונה על הגנת הפרטיות בממלכה - פרסם מדריך מפורט על עיבוד 'קטגוריות מיוחדות של מידע' (מידע רגיש) לפי ה-GDPR. המדריך מסביר בהרחבה מהן קטגוריות מיוחדות של מידע הכפופות להוראות ייחודיות ב-GDPR, כגון מידע על מצבו הבריאותי של אדם, דתו ואמונותיו, דעותיו הפוליטיות ומוצאו האתני. גם מידע גנטי הוא קטגוריה מיוחדת של מידע, אולם המדריך מבהיר כי דגימה ביולוגית כשלעצמה לא מהווה מידע אישי. רק מידע גנטי שהופק מדגימה (אם הופק) במידה המאפשרת לייחד את המידע הגנטי לאדם מסוים, אף אם זהותו לא ידועה - ייחשב מידע אישי רגיש.

בדומה, מידע ביומטרי גם הוא קטגוריה מיוחדת של מידע, אך תמונת פנים או תמונת טביעת אצבע כשלעצמן אינן מידע ביומטרי. רק אם הופק מהן מידע המגבש פרופיל ביומטרי של אדם - הופך המידע המופק למידע ביומטרי ולקטגוריה מיוחדת של מידע. המדריך מסביר כי גם מידע שבסבירות, הגם שלא בוודאות, מלמד על מצבו הבריאותי של אדם, דתו ואמנותיו, דעותיו הפוליטיות או מוצא אתני - ייחשב לקטגוריה מיוחדת של מידע.

עיבוד קטגוריות מיוחדות של מידע מתאפשר רק אם הוא עומד באחת או יותר העילות הייחודיות ב-GDPR המצדיקות עיבוד מידע כזה, כגון הסכמתו המפורשת של נושא המידע, כאשר נושא המידע פרסם את המידע בפומבי או כאשר העיבוד נדרש למתן שירותים רפואיים, בריאות הציבור, מחקר, אינטרנס ציבורי מיוחד או עילות אחרות המנויות ב-GDPR, כל זאת בהתאם לכללים ספציפיים המעוגנים בחקיקה לאומית.

המדריך מסביר עוד כי עיבוד קטגוריות מיוחדות של מידע מחייב לעתים קרובות עריכת תסקיר השפעה על הפרטיות (Data Protection Impact Assessment - DPIA) ומינוי קצין הגנת מידע (Data Protection Officer - DPO).