Pagal Reglamento (ES) 2016/679 (Bendrasis asmens duomenų apsaugos reglamentas – BADAR) 6 straipsnio 1c dalį asmens duomenų tvarkymas yra teisėtas, jeigu jis būtinas siekiant laikytis teisinio įpareigojimo, kuris taikomas duomenų valdytojui. Iš esmės pagal BADAR (9 straipsnio 1 dalį) draudžiama tvarkyti specialių kategorijų asmens duomenis – vadinamuosius „neskelbtinus“ duomenis, pvz., sveikatos duomenis. Tačiau jeigu taikomos pagrindines duomenų subjektų teises ir interesus užtikrinančios tinkamos apsauginės priemonės siekiant patenkinti esminį visuomenės interesą, ES arba valstybių narių įstatyme galima nustatyti išimtis (BADAR 9 straipsnio, 2 dalies g punktas). Draudimą tvarkyti neskelbtinus duomenis taip pat galima atšaukti tuo atveju, jeigu gaunamas aiškus duomenų subjekto sutikimas (t. y. dalyvio). Todėl jeigu renkami sveikatos duomenys (pvz., žmogaus imunodeficito virusu arba COVID virusu užsikrėtusių pacientų), kurie būtini siekiant kaupti bendruosius rodiklius, arba su programa susijusius rodiklius ar kontrolės arba tikrinimo tikslais (pvz., norint įvertinti dalyvių atitiktį reikalavimams), 2021–2027 CPR (Bendrųjų nuostatų reglamente - 4 straipsnis) numatytas teisinis šių duomenų teisinio tvarkymo pagrindas pagal BADAR. Tačiau nacionaliniuose teisės aktuose galima nustatyti griežtesnes nuostatas. Todėl rekomenduojama, kad vadovaujančiosios institucijos aktyviai konsultuotųsi su jų nacionalinėmis duomenų apsaugos institucijomis, kaip reikėtų laikytis BADAR ir nacionaliniuose teisės aktuose nustatytų duomenų tvarkymo įpareigojimų. Iš tikrųjų gali nutikti taip, kad siekiant vykdyti ESF+ stebėjimo reikalavimus, kai kurios valstybės narės turės priimti naujus teisės aktus tam, jog duomenų rinkimas būtų teisėtas. Kita vertus, prašome atsižvelgti į tai, kad duomenų rinkiniai gali būtų pseudonominiai (t. y. naudojant dirbtinai sukurtą unikalųjį ID numerį, kurį nuo asmens duomenų galima atsieti naudojant šifravimo schemą).
Answer