Määruse (EL) 2016/679 (isikuandmete kaitse üldmäärus, GDPR) artikli 6 lõike 1 punkti c järgi on isikuandmete töötlemine seaduslik, kui seda on vaja audiitori vastutusalasse kuuluva juriidilise kohustuse täitmiseks.Sisuliselt keelab GDPR (artikli 9 lõige 1) isikuandmete eriliikide töötlemise, nn delikaatsete andmete töötlemise, mis puudutavad näiteks terviseandmeid. Kuid sobivate ja konkreetsete meetmete tagamisel andmesubjekti põhiõiguste ja huvide kaitseks võivad ELi või liikmesriikide õigused olulise avaliku huviga seotud põhjustel lubada erandeid (GDPR-i artikli 9 lõike 2 punkt g). Delikaatsete andmete töötlemise keelu võib tühistada ka andmesubjekti sõnaselgel nõusolekul.Seega, kui terviseandmete (näiteks HIVi või COVIDi patsientide puhul) kogumine on vajalik kas ühiste või programmipõhiste näitajate jaoks või siis kontrollimise või auditeerimise eesmärgil (nt osalejate rahastamiskõlblikkuse hindamiseks), annab 2021–2027 ühissätete määruse (artikkel 4) õigusliku aluse nende andmete seaduslikuks töötlemiseks GDPR-i alusel.Samas võib riiklik andmekaitsealane seadusandlus olla piiravam. Seega on soovitatav, et korraldusasutused küsiksid oma riiklikelt andmekaitseasutustelt ennetavalt nõu, kuidas täita GDPR-is ja riigisisestes õigusaktides sätestatud andmetöötluskohustusi. Võib juhtuda, et ESF+ seirenõuete täitmiseks peavad mõned liikmesriigid isikuandmete kogumise seaduslikuks muutmiseks välja andma uusi õigusakte.Muuseas palun arvesse võtta, et andmestikke saab pseudonüümida (nt kasutades kunstlikult loodud ainulaadset ID-numbrit, mille saab krüptimissüsteemi abil isikuandmetest lahutada).
Answer