avocatnet.ro 
Există o serie de date personale, de o sensibilitate deosebită în ceea ce priveşte subiectul vizat de astfel de informaţii, care a generat o interdicţie de prelucrare a astfel de date. În acest sens, astfel de date se referă la:
- originea rasială sau etnică;
- opiniile politice;
- confesiunea religioasă sau convingerile religioase;
- apartenenţa la sindicate;
- date genetice (cum ar fi ADN-ul) sau biometrice (de exemplu, date utilizate în cadrul unui software de recunoaştere facială);
- date privind sănătatea;
- date privind viaţa sexuală sau orientarea sexuală.
Având în vedere că astfel de date personale au o legătură inerentă cu drepturi precum dreptul la viaţă privată şi necesită, astfel, precauţii deosebite, din cauza riscului ridicat de afectare a unor drepturi fundamentale (a se vedea punctele 51-56 din preambulul GDPR), precum cel menţionat anterior (dar nu numai), interdicţia este necesară în vederea unei protecţii efective a astfel de date.
Totuşi, chiar şi în acest caz, există o serie de excepţii care permit prelucrarea a astfel de date. Aceste excepţii există pentru că interesele vizate de existenţa unor astfel de derogări sunt mai importante, în anumite contexte, decât o interdicţie absolută a prelucrării datelor cu caracter sensibil. În plus, uneori este chiar în interesul persoanei vizate de astfel de date cu caracter sensibil să fie posibilă o prelucrare limitată cu privire la astfel de date.
În consecinţă, excepţiile de la interdicţia prelucrării datelor sensibile sunt:
- există un consimţământ explicit dat de persoana vizată în sensul prelucrării datelor cu caracter sensibil;
- necesitatea prelucrării este dată de obligaţii din domeniul ocupării forţei de muncă şi al securităţii sociale;
- persoana vizată se află în incapacitate fizică/ juridică de a îşi da consimţământul iar prelucrarea este necesară în interesul ei;
- o asociaţie cu specific politic, filosofic, religios sau sindical prelucrează astfel de date cu privire la (foştii) membri(i) (ai) acelei asociaţii sau cu privire la persoane cu care asociaţia are o legătură puternică;
- persoana vizată face publice în mod manifest acele date (de exemplu, acea persoană divulgă, în cadrul unei emisiuni difuzată la o oră de vârf, acele informaţii);
- prelucrarea este necesară în cadrul unor proceduri judiciare;
- prelucrarea se face în temeiul unor obiective de interes public major, în baza dreptului Uniunii Europene sau a dreptului intern;
- prelucrarea se face în scopuri medicale, inclusiv de medicina muncii;
- prelucrarea vizează chestiuni de sănătate publică (de exemplu, prevenirea unei epidemii);
- prelucrarea se face în scop de arhivare în interes public, în scop de cercetare ştiinţifică sau istorică sau în scopuri statistice, dar există proporţionalitate între astfel de obiective şi necesitatea prelucrării datelor cu caracter sensibil.
GDPR este un regulament european ce se aplică, începând din 25 mai 2018, direct în toate statele membre UE, deci și în România. Prin urmare, orice firmă sau autoritate publică ce folosește date personale trebuie să respecte prevederile GDPR.
im82