Segundo o Artigo 6.º, número 1, alínea c) do Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados – RGPD), o tratamento de dados pessoais é legítimo quando for necessário para o cumprimento de uma obrigação legal a que o responsável pelo tratamento dos dados esteja sujeito. Por princípio, o RGPD (Artigo 9.º, número 1) proíbe o tratamento de categorias especiais de dados pessoais, os chamados dados “sensíveis”, que abrangem, por exemplo, os dados de saúde. Porém, sujeitos às salvaguardas adequadas para os direitos e interesses fundamentais do titular dos dados, a lei da UE ou dos Estados-Membros poderá, por motivos de interesse público substancial, definir isenções (Artigo 9.º, número 2, alínea g) do RGPD). A proibição do tratamento de dados sensíveis pode também ser levantada no caso de o titular dos dados (ou seja, o participante) consentir explicitamente com o referido tratamento. Por conseguinte, se a recolha de dados sobre saúde (como nos casos dos pacientes com VIH ou COVID) for necessária para a recolha de indicadores comuns ou específicos do programa, ou para efeitos de controlo ou auditoria (p. ex., para avaliar a elegibilidade dos participantes), o Regulamento de Disposições Comuns 2021-2027 (Artigo 4) cria um fundamento jurídico para o tratamento legítimo destes dados de acordo com o RGPD. Contudo, a legislação nacional sobre a proteção de dados poderá ser mais restritiva. Assim, recomenda-se que as entidades gestoras sejam proativas na procura de aconselhamento junto das suas autoridades nacionais no domínio da proteção de dados para saberem como cumprir as obrigações de tratamento de dados definidas no RGPD e na legislação nacional. Poderá mesmo acontecer que, para cumprimento dos requisitos de monitorização do FSE+, alguns Estados-Membros possam ter de aprovar novos diplomas legislativos para que a recolha de dados se torne legal. Como comentário adicional, deverá considerar-se que os conjuntos de dados podem ser pseudonimizados (p. ex., através da utilização de um número de identificação único e criado artificialmente, que poderá ser dissociado dos dados pessoais através de um sistema de encriptação).

Zgodnie z artykułem 6 punkt 1 litera c) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólne rozporządzenie o ochronie danych, RODO) przetwarzanie danych osobowych jest uzasadnione, gdy jest to konieczne do zachowania zgodności z obowiązkiem prawnym ciążącym na administratorze.\nCo do zasady RODO (artykuł 9 punkt 1) zakazuje przetwarzania szczególnych kategorii danych osobowych (tzw. dane wrażliwe), takich jak dane dotyczące zdrowia. Jednakże przy zapewnieniu odpowiednich zabezpieczeń podstawowych praw i interesów osoby, której dane dotyczą, przepisy unijne lub państw członkowskich mogą dopuszczać wyjątki z uwagi na względy interesu publicznego (artykuł 9 punkt 2 litera g) RODO). Zakaz przetwarzania danych wrażliwych może również zostać zniesiony na wyraźną zgodę osoby, której dane dotyczą (tzn. uczestnika).\nDlatego jeśli gromadzenie danych dotyczących zdrowia (np. pacjenci z HIV lub COVID) jest wymagane do potrzeb gromadzenia wskaźników wspólnych lub wskaźników specyficznych dla programu, tudzież do celów kontroli lub audytu (np. w celu oceny kwalifikowalności uczestników), rozporządzenia w sprawie wspólnych przepisów na lata 2021–2027 (art. 4) daje podstawę prawną do przetwarzania takich danych zgodnie z RODO.\nKrajowe przepisy dotyczące ochrony danych mogą być jednak bardziej restrykcyjne. W związku z tym zaleca się, aby organy zarządzające proaktywnie zasięgały porad krajowych organów ochrony danych w kwestii zgodności z obowiązkami przetwarzania danych ustalonych w RODO i przepisach krajowych. Może zdarzyć się, że w celu spełnienia wymogów monitorowania ESF+ niektóre państwa członkowski będą musiały wydać nowe akty prawne umożliwiające zgodne z prawem gromadzenie danych.\nNa marginesie: należy pamiętać, że zestawy danych można poddać pseudonimizacji (np. użycie sztucznie utworzonego unikatowego numeru identyfikacyjnego, który można oddzielić od danych osobowych poprzez zastosowanie schematu szyfrowania).

Volgens artikel 6, lid 1, onder c), van Verordening (EU) 2016/679 (algemene verordening gegevensbescherming - AVG) is de verwerking van persoonsgegevens rechtmatig wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.  beginsel verbiedt de AVG (artikel 9, lid 1) de verwerking van bijzondere categorieën van persoonsgegevens, de zogenaamde \"gevoelige\" gegevens, die bijvoorbeeld gezondheidsgegevens omvatten. Op voorwaarde dat er passende waarborgen worden geboden voor de grondrechten en de fundamentele belangen van de betrokkene, kunnen er in de EU-wetgeving of de wetgeving van de lidstaten echter om redenen van zwaarwegend algemeen belang uitzonderingen worden voorzien (artikel 9, lid 2, onder g), van de AVG). Het verbod op de verwerking van gevoelige gegevens kan ook worden opgeheven als de betrokkene (d.w.z. de deelnemer) zijn uitdrukkelijke toestemming geeft. Indien het verzamelen van gezondheidsgegevens (zoals hiv- of COVID-patiënten) nodig is voor het samenstellen van gemeenschappelijke of programmaspecifieke indicatoren, of voor controle- of auditdoeleinden (bv. om te beoordelen of deelnemers in aanmerking komen), biedt de VGB 2021-2027 (verordening houdende gemeenschappelijke bepalingen - artikel 4) derhalve een rechtsgrondslag voor de rechtmatige verwerking van deze gegevens in de zin van de AVG. De nationale wetgeving inzake gegevensbescherming kan echter restrictiever zijn. Daarom wordt aanbevolen dat de beheersautoriteiten proactief advies inwinnen bij hun nationale gegevensbeschermingsautoriteiten over de wijze waarop zij kunnen voldoen aan de verplichtingen inzake gegevensverwerking die in de AVG en de nationale wetgeving zijn vastgelegd. Om aan de monitoringvereisten van het ESF+ te voldoen, zullen sommige lidstaten mogelijk nieuwe wetgeving moeten uitvaardigen, zodat de gegevens rechtmatig kunnen worden verzameld. Er wordt eveneens op gewezen dat gegevensreeksen kunnen worden gepseudonimiseerd (bv. door gebruik te maken van een kunstmatig gecreëerd uniek identificatienummer, dat door middel van versleuteling kan worden losgekoppeld van de persoonsgegevens).

Skont l-Artikolu 6 (1C) tar-Regolament (UE) 2016/679 ) Regolament generali dwar il-protezzjoni tad-data - GDPR), l-ipproċessar ta' data personali hija leġittima meta ikun meħtieġ għall-konformità ma' obbligu legali li għalih huwa soġġett il-kontrollur. Fil-prinċipju, il-GDPR (Artikolu 9(1)) jipprojbixxi l-ipproċessar ta' kategoriji speċjali ta' data personali, l-hekk imsejħa data  "sensittiva " li pereżempju tkopri data dwar is-saħħa. Madankollu, suġġett għall-provediment ta' salvagwardji xierqa għad-drittijiet fundamentali u l-interess tas-suġġett tad-data, liġi tal-UE jew tal-Istati Membri tista' għal raġunijiet ta' interess pubbliku sostanzjali jistabbilixxu eżenzjonijiet (Artikolu 9(2)(g) tal-GDPR). Il-projbizzjoni tal-ipproċessar ta' data sensittiva tista' titneħħa fil-każ ta' kunsens espliċitu mis-suġġett tad-data (jiġifieri l-parteċipant). Għalhekk, jekk il-ġbir ta' data dwar is-saħħa (bħall-pazjenti bl-HIV jew bil-COVID) huwa meħtieġ għal jew il-ġbir ta'  indikaturi komuni jew speċifiċi għal programm,  jew għal skop ta' kontroll jew verifika (eż. biex tkun valutata l-eliġibbiltà tal-parteċipanti), 2021-2027 CPR (Ir-Regolament dwar id-Dispożizzjonijiet Komuni - l-Artikolu 4) jipprovdi bażi legali għall-ipproċessar leġittimu ta' din id-data skont il-GDPR. Madankollu, leġiżlazzjoni nazzjonali dwar il-protezzjoni tad-data tista' tkun aktar restrittiva. Huwa għalhekk rakkomandat li awtoritajiet tal-immaniġġar b'mod proattiv ifittxu parir mill-awtoritajiet nazzjonali dwar il-protezzjoni tad-data dwar kif jikkonformaw mal-obbligi dwar l-ipproċessar tad-data stabbiliti fil-GDPR u l-leġiżlazzjoni nazzjonali.  Tabilħaqq jista' jkun il-każ li bil-għan li jissodisfaw ir-rekwiżiti ta' monitoraġġ tal-FSE+, xi Stati Membri jkollhomn joħorġu xi partijiet ġodda ta' leġiżlazzjoni biex il-ġbir tad-data isir legali. B'nota separat, jekk jogħġbok ikkunsidra li s-settijiet tad-data jistgħu jingħataw psewdonimu (eż. bl-użu ta' numru tal-ID maħluq artifiċjalment, li jista' jkun disassoċjat mid-data personali permezz ta' skema ta' ċċifrar).

Saskaņā ar Vispārīgās datu aizsardzības regulas (ES) 2016/679 6. panta 1. c) punktu, personas datu apstrāde ir likumīga, ja datu apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu. Principā regulas 9. panta 1. punkts aizliedz īpašu kategoriju personas datu, tā saukto “sensitīvo”, piemēram, datu par veselību, apstrādi. Tomēr, ja tiek nodrošināta pienācīga aizsardzība attiecībā uz datu subjekta pamattiesībām un interesēm, būtisku sabiedrības interešu dēļ ES vai dalībvalstu tiesību aktos var paredzēt atbrīvojumus (Regulas 9. panta 2. g) punkts). Aizliegumu apstrādāt sensitīvus datus var atcelt arī tad, ja datu subjekts (t. i., dalībnieks) sniedz nepārprotamu piekrišanu. Tāpēc, ja datu vākšana par veselību (piemēram, HIV vai COVID slimnieki) ir nepieciešama, lai savāktu kopīgus vai programmai specifiskus rādītājus vai lai veiktu kontroli vai revīziju (piemēram, lai novērtētu dalībnieku atbilstību), 2021. –2027. gada Kopīgo noteikumu regulas (4 pants) nodrošina juridisko pamatu šo datu likumīgai apstrādei saskaņā ar datu aizsardzības regulu. Tomēr valstu tiesību akti par datu aizsardzību var būt ierobežojošāki. Tādēļ vadošajām iestādēm ieteicams aktīvi lūgt valsts datu aizsardzības iestādēm padomu par to, kā izpildīt datu apstrādes pienākumus, kas noteikti Vispārīgajā datu aizsardzības regulā un valsts tiesību aktos. Atsevišķos gadījumos var rasties situācija, ka, lai izpildītu ESF+ uzraudzības prasības, dažām dalībvalstīm var nākties izdot jaunus tiesību aktus, lai šādu datu vākšana būtu likumīga. Tāpat ņemiet vērā, ka datu kopas drīkst arī tikt anonimizētas (piemēram, izmantojot mākslīgi izveidotu unikālu identifikācijas numuru, kuru var atdalīt no personas datiem, izmantojot šifrēšanas shēmu).\

Pagal Reglamento (ES) 2016/679 (Bendrasis asmens duomenų apsaugos reglamentas – BADAR) 6 straipsnio 1c dalį asmens duomenų tvarkymas yra teisėtas, jeigu jis būtinas siekiant laikytis teisinio įpareigojimo, kuris taikomas duomenų valdytojui. Iš esmės pagal BADAR (9 straipsnio 1 dalį) draudžiama tvarkyti specialių kategorijų asmens duomenis – vadinamuosius „neskelbtinus“ duomenis, pvz., sveikatos duomenis. Tačiau jeigu taikomos pagrindines duomenų subjektų teises ir interesus užtikrinančios tinkamos apsauginės priemonės siekiant patenkinti esminį visuomenės interesą, ES arba valstybių narių įstatyme galima nustatyti išimtis (BADAR 9 straipsnio, 2 dalies g punktas). Draudimą tvarkyti neskelbtinus duomenis taip pat galima atšaukti tuo atveju, jeigu gaunamas aiškus duomenų subjekto sutikimas (t. y. dalyvio). Todėl jeigu renkami sveikatos duomenys (pvz., žmogaus imunodeficito virusu arba COVID virusu užsikrėtusių pacientų), kurie būtini siekiant kaupti bendruosius rodiklius, arba su programa susijusius rodiklius ar kontrolės arba tikrinimo tikslais (pvz., norint įvertinti dalyvių atitiktį reikalavimams), 2021–2027 CPR (Bendrųjų nuostatų reglamente - 4 straipsnis) numatytas teisinis šių duomenų teisinio tvarkymo pagrindas pagal BADAR. Tačiau nacionaliniuose teisės aktuose galima nustatyti griežtesnes nuostatas. Todėl rekomenduojama, kad vadovaujančiosios institucijos aktyviai konsultuotųsi su jų nacionalinėmis duomenų apsaugos institucijomis, kaip reikėtų laikytis BADAR ir nacionaliniuose teisės aktuose nustatytų duomenų tvarkymo įpareigojimų. Iš tikrųjų gali nutikti taip, kad siekiant vykdyti ESF+ stebėjimo reikalavimus, kai kurios valstybės narės turės priimti naujus teisės aktus tam, jog duomenų rinkimas būtų teisėtas. Kita vertus, prašome atsižvelgti į tai, kad duomenų rinkiniai gali būtų pseudonominiai (t. y. naudojant dirbtinai sukurtą unikalųjį ID numerį, kurį nuo asmens duomenų galima atsieti naudojant šifravimo schemą).

Secondo l'Articolo 6 (1c) del Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati - RGPD), il trattamento dei dati personali è legittimo quando necessario per rispondere a vincoli legali ai quali il titolare del trattamento è sottoposto. In linea di principio, il RGPD (Articolo 9(1)) vieta il trattamento di speciali categorie di dati personali, i così detti \"dati sensibili\" che, ad esempio, includono i dati sanitari. Ad ogni modo, mantenendo la garanzia di un'adeguata tutela degli interessi e dei diritti fondamentali della persona interessata, le leggi della UE o degli Stati Membri possono stabilire eccezioni in casi di rilevante interesse pubblico (Articolo 9(2)(g) del RGPD). Il divieto di trattare dati sensibili può anche essere revocato in caso di consenso esplicito da parte dell'interessato (ovvero il partecipante). Quindi, se raccogliere dati sanitari (come per i pazienti con HIV o Covid) è necessario per la raccolta di dati sugli indicatori comuni o specifici di programma, o per fini di controllo o audit (ad es. per verificare l'eleggibilità dei partecipanti), il Regolamento recante disposizioni comuni 2021-2027 (CPR) (Articolo 4) offre il fondamento giuridico per il trattamento legittimo di questi dati come da RGPD. Tuttavia, la legislazione nazionale sulla protezione dei dati potrebbe essere più restrittiva. Per questo motivo si raccomanda alle autorità di gestione di attivarsi per richiedere il consiglio delle autorità nazionali responsabili del trattamento dei dati su come osservare i vincoli stabiliti dal RGPD e dalla legislazione nazionale. Potrebbe infatti darsi che, per rispondere agli obblighi di monitoraggio dell'FSE+, alcuni Stati Membri debbano promulgare nuove leggi che rendano le attività di raccolta dati legittime. A margine, si prega di tenere a mente che i dati possono essere anonimizzati (ad es. utilizzando un numero identificativo univoco artificialmente creato, che può essere disgiunto dai dati personali tramite un sistema di crittografia).

Az EU 2016/679 rendelet (általános adatvédelmi rendelet – GDPR) 6. cikk (1) bekezdés c) pontja szerint a személyes adatok kezelése akkor törvényes, ha az az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Főszabály szerint a GDPR (9. cikk (1) bekezdés) tiltja a személyes adatok különleges kategóriáinak kezelését, vagyis az úgynevezett „érzékeny adatok” kezelését, amelyek közé például az egészségügyi adatok is tartoznak. Ugyanakkor, az érintett alapvető jogainak és érdekeinek megfelelő biztosítására vonatkozó rendelkezés figyelembevételével, az EU vagy a tagállam joga mentességeket állapíthat meg, ha az adatkezelés jelentős közérdek miatt szükséges (a GDPR rendelet 9. cikk (2) bekezdés g) pontja). Az érzékeny adatok kezelésének tilalma az érintett (vagyis a résztvevő) kifejezett hozzájárulása alapján szintén feloldható. Ezért, ha az egészségügyi (például HIV- vagy COVID-betegekre vonatkozó) adatok gyűjtése akár a közös vagy a programspecifikus mutatók gyűjtéséhez, akár ellenőrzési vagy audit célokra (pl. a résztvevők jogosultságának ellenőrzésére) szükséges, a 2021-2027 időszakra vonatkozó CPR (Common Provisions Regulation - 4 cikk) biztosít jogi alapot az ilyen adatok GDPR szerinti törvényes feldolgozásához. Előfordulhat azonban, hogy az adatvédelemre vonatkozó nemzeti jogszabályok ennél szigorúbbak. Ezért javasoljuk, hogy az irányító hatóságok proaktív módon kérjenek tanácsot a nemzeti adatvédelmi hatóságoktól a GDPR rendelet és a nemzeti jogszabályok által meghatározott adatkezelési kötelezettségeknek való megfelelésről. Olyan eset is megtörténhet, hogy az ESZA+ ellenőrzési követelmények teljesítése érdekében egyes tagállamoknak új jogszabályokat kell alkotniuk ahhoz, hogy az adatgyűjtést törvényessé tegyék. Emellett kérjük, vegyék figyelembe, hogy az adatkészletek álnevesíthetők is (pl. egy mesterségesen létrehozott egyedi azonosítószám használatával, amely egy titkosítási séma segítségével választható el a személyes adatoktól).

U skladu s člankom 6. (1c) Uredbe (EU) 2016/679 (Opća uredba o zaštiti podataka - GDPR), obrada osobnih podataka je opravdana kada je nužna radi poštovanja pravne obveze voditelja obrade. U načelu, GDPR (članak 9. st. 1.) zabranjuje obradu posebnih kategorija osobnih podataka, takozvanih „osjetljivih“ podataka koji, na primjer, obuhvaćaju zdravstvene podatke. Međutim, podložno odredbama odgovarajućih zaštitnih mjera za temeljna prava i interese ispitanika, pravo EU-a ili država članica može, zbog razloga znatnog javnog interesa, predvidjeti izuzeća (članak 9. st. 2. točka (g) GDPR-a). Zabrana obrade osjetljivih podataka može se također ukinuti u slučaju izričite privole ispitanika (tj., sudionika). Stoga, ako je prikupljanje zdravstvenih podataka (poput HIV ili COVID pozitivnih pacijenata) nužno za prikupljanje zajedničkih pokazatelja ili pokazatelja specifičnih za određeni program ili za potrebe kontrole ili revizije (npr., kako bi se ocijenila prihvatljivost sudionika), Uredba o zajedničkim odredbama za razdoblje 2021. - 2027. (članak 4) pruža pravnu osnovu za opravdanu obradu ovih podataka u skladu s GDPR-om. Međutim, nacionalno zakonodavstvo može biti restriktivnije. Stoga se preporučuje da se upravljačka tijela proaktivno savjetuju s njihovim nacionalnim tijelima nadležnim za zaštitu podataka o tome kako ispuniti obveze obrade podataka utvrđene u GDPR-u i nacionalnom zakonodavstvu. Doista je moguće da će, kako bi ispunile zahtjeve praćenja ESF-a plus, neke države članice morati donijeti nove zakonodavne propise kojima će prikupljanje podataka postati zakonito. Ipak, razmotrite da skupovi podataka mogu biti pseudonimizirani (npr., pomoću umjetno stvorenog jedinstvenog identifikacijskog broja koji može biti razdvojiv od osobnih podataka preko programa za enkripciju).

Conformément à l’article 6 (1c), du règlement (UE) 2016/679 (Règlement général sur la protection des données – RGPD), le traitement des données à caractère personnel est légitime lorsque cela est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.  En principe, le RGPD (article 9(1)) interdit le traitement de catégories particulières de données à caractère personnel, les données dites «sensibles» qui couvrent par exemple les données de santé. Toutefois, sous réserve de la mise en place de garanties appropriées pour les droits et intérêts fondamentaux de la personne concernée, la législation de l’UE ou des États membres peut, pour des motifs d’intérêt public important, prévoir des dérogations (article 9 (2g) du RGPD). L’interdiction de traiter des données sensibles peut également être levée en cas de consentement explicite de la personne concernée (c’est-à-dire du participant).  Par conséquent, si la collecte de données sur la santé (telles que les patients atteints du VIH ou du COVID) est nécessaire pour la collecte d’indicateurs communs ou spécifiques au programme, ou à des fins de contrôle ou d’audit (par exemple pour évaluer l’admissibilité des participants), le règlement portant dispositions communes - RPDC 2021-2027 (article 4) - fournit une base juridique pour le traitement légitime de ces données conformément au RGPD.  Toutefois, la législation nationale en matière de protection des données peut être plus restrictive. Il est donc recommandé que les autorités de gestion sollicitent activement l’avis de leurs autorités nationales responsables de la protection des données sur la manière de se conformer aux obligations en matière de traitement des données énoncées dans le RGPD et dans la législation nationale. Il se peut en effet que, pour satisfaire aux exigences de suivi du FSE+, certains États membres soient tenus de promulguer de nouveaux textes législatifs pour rendre la collecte de données licite.  Par ailleurs, veuillez noter que les données peuvent être pseudonymisées (par exemple en utilisant un numéro d’identification unique créé artificiellement, qui peut être dissocié des données à caractère personnel grâce à un système de chiffrement).