Az EU 2016/679 rendelet (általános adatvédelmi rendelet – GDPR) 6. cikk (1) bekezdés c) pontja szerint a személyes adatok kezelése akkor törvényes, ha az az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Főszabály szerint a GDPR (9. cikk (1) bekezdés) tiltja a személyes adatok különleges kategóriáinak kezelését, vagyis az úgynevezett „érzékeny adatok” kezelését, amelyek közé például az egészségügyi adatok is tartoznak. Ugyanakkor, az érintett alapvető jogainak és érdekeinek megfelelő biztosítására vonatkozó rendelkezés figyelembevételével, az EU vagy a tagállam joga mentességeket állapíthat meg, ha az adatkezelés jelentős közérdek miatt szükséges (a GDPR rendelet 9. cikk (2) bekezdés g) pontja). Az érzékeny adatok kezelésének tilalma az érintett (vagyis a résztvevő) kifejezett hozzájárulása alapján szintén feloldható. Ezért, ha az egészségügyi (például HIV- vagy COVID-betegekre vonatkozó) adatok gyűjtése akár a közös vagy a programspecifikus mutatók gyűjtéséhez, akár ellenőrzési vagy audit célokra (pl. a résztvevők jogosultságának ellenőrzésére) szükséges, a 2021-2027 időszakra vonatkozó CPR (Common Provisions Regulation - 4 cikk) biztosít jogi alapot az ilyen adatok GDPR szerinti törvényes feldolgozásához. Előfordulhat azonban, hogy az adatvédelemre vonatkozó nemzeti jogszabályok ennél szigorúbbak. Ezért javasoljuk, hogy az irányító hatóságok proaktív módon kérjenek tanácsot a nemzeti adatvédelmi hatóságoktól a GDPR rendelet és a nemzeti jogszabályok által meghatározott adatkezelési kötelezettségeknek való megfelelésről. Olyan eset is megtörténhet, hogy az ESZA+ ellenőrzési követelmények teljesítése érdekében egyes tagállamoknak új jogszabályokat kell alkotniuk ahhoz, hogy az adatgyűjtést törvényessé tegyék. Emellett kérjük, vegyék figyelembe, hogy az adatkészletek álnevesíthetők is (pl. egy mesterségesen létrehozott egyedi azonosítószám használatával, amely egy titkosítási séma segítségével választható el a személyes adatoktól).
Answer