"I henhold til artikel 6, stk. 1c, i forordning (EU) 2016/679 (Generel Databeskyttelsesforordning - GDPR) er behandling af personoplysninger legitim, når det er nødvendigt for at overholde en juridisk forpligtelse, som den dataansvarlige er underlagt. I princippet forbyder GDRP (artikel 9, stk. 1) behandling af specielle kategorier af personoplysninger, de såkaldte "følsomme" data, som f.eks. omfatter sundhedsdata. Imidlertid kan EU's- eller medlemsstaternes lovgivning på grund af væsentlig offentlig interesse fastsætte undtagelser (artikel 9, stk. 2, litra g), i GDPR, med forbehold for passende garantier for den registreredes grundlæggende rettigheder og interesser). Forbuddet mod behandling af følsomme data kan også ophæves i tilfælde af udtrykkeligt samtykke fra den registrerede (dvs. deltageren). Derfor, hvis indsamling af sundhedsdata (såsom HIV- eller COVID-patienter) kræves til enten indsamling af fælles eller programspecifikke indikatorer eller til kontrol- eller auditformål (f.eks. For at vurdere deltagernes støtteberettigelse), giver 2021-2027 CPR (Forordningen om fælles bestemmelser - artikel 4) et juridisk grundlag for den legitime behandling af disse data i henhold til GDPR. Den nationale lovgivning om databeskyttelse kan dog være mere restriktiv. Det anbefales derfor, at forvaltningsmyndigheder proaktivt søger rådgivning fra deres nationale databeskyttelsesmyndigheder om, hvordan de skal overholde de databehandlingsforpligtelser, der er beskrevet i GDPR og i national lovgivning. Det kan faktisk være tilfældet, at nogle medlemsstater for at opfylde ESF+ -overvågningskravene er nødt til at udstede nye love for at gøre dataindsamlingen lovlig. Som en sidebemærkning bør det overvejes, om datasæt kan pseudonymiseres (f.eks. ved at bruge et kunstigt oprettet unikt ID-nummer, som kan adskilles fra de personlige data via en krypteringsplan).
Answer