Asetuksen (EU) 2016/679 (Yleinen tietosuoja-asetus – GDPR) 6 artiklan alakohdan 1c mukaisesti henkilötietojen käsittely on oikeutettua, kun se on tarpeen sen oikeudellisen velvollisuuden noudattamiseksi, joka rekisterinpitäjän on täytettävä. Periaatteessa GDPR (9(1) artikla) kieltää henkilötietojen erikoisluokkien, niin kutsuttujen "arkaluonteisten" tietojen käsittelyn, joihin esimerkiksi terveystiedot kuuluvat. Rekisteröidyn perusoikeuksien ja etujen asianmukaisten suojatoimien ehdon perusteella EU tai jäsenvaltion laki voi kuitenkin merkittävän yleisen edun perusteella tehdä poikkeuksia (GDPR:n 9(2) artikla). Arkaluonteisten tietojen käsittelyn kielto voidaan myös poistaa, mikäli rekisteröity (ts. osallistuja) antaa siihen nimenomaisen suostumuksen.Tästä syystä, jos terveystietojen kerääminen (kuten HIV- tai COVID-potilaat) on välttämätöntä joko yhteisten tai ohjelmakohtaisten indikaattoreiden keräämistä varten tai valvonta- tai auditointitarkoituksia varten (esim. osallistujen osallistumiskelpoisuuden arvioimiseksi), 2021-2027 CPR-asetuksen (Yhteisistä säännöksistä annettu asetus - 4 artikla) tarjoaa oikeudellisen perustan tällaisten tietojen oikeutetulle käsittelylle GDPR-asetuksen mukaisesti.Kansallinen tietosuojalainsäädäntö voi kuitenkin olla rajoittavampi. Suosittelemme tästä syystä, että johtavat viranomaiset proaktiivisesti hakevat neuvoa kansallisilta tietosuojaviranomaisilta siitä, kuinka tietojen käsittelyvelvollisuuksia noudatetaan GDPR-asetuksen ja kansallisen lainsäädännön mukaisesti. Voi olla niin, että ESR+-seurantavaatimusten täyttämiseksi joidenkin jäsenmaiden on säädettävä uusia lakeja, jotta tietojen keräys olisi laillista.Sivuhuomautuksena pyydämme ottamaan huomioon, että tietojoukkoja voidaan pseudonymisoida (esim. käyttämällä keinotekoisesti luotua yksilöllistä tunnistenumeroa, joka voidaan erottaa henkilötiedoista salausjärjestelmällä).
Answer