涉及以下一种或一种以上类别的个人数据视为敏感数据：

50. 种族或民族出身
50. 政治观点
50. 宗教/哲学信仰
50. 工会成员身份
50. 涉及健康、性生活或性取向的数据
50. 基因数据（新）
50. 经处理可识别特定个人的生物识别数据（新）

根据GDPR，处理照片并不当然地被认为是处理个人敏感数据。仅在通过特定技术方法对照片进行处理，使其能够识别或认证特定自然人时，照片才被认为是生物识别数据。

根据GDPR，敏感数据的处理仅在下列例外情况下才被允许：

1.数据主体明示同意。该等同意应当是自由作出的，特定的，知情的且明确的。需要注意的是，雇主对员工医疗数据的处理（包括药物或酒精测试）不能以员工的同意为依据。这是因为，考虑到双方的层级关系，这种同意不被视为是自由作出的。

2.在劳动法、社会保障法或社会保护法领域，雇主对此类数据的处理必须在欧盟或成员国法律或集体协议授权的范围内进行。

3.在数据主体因为身体上或法律上的原因（紧急情况）不能作出同意时，为保护数据主体或他人的重大利益之目的所必需的处理。

4.处理是由具有政治、哲学、宗教或工会目的的非营利团体进行的，并且该等处理仅涉及团体成员或前成员，同时，相关数据在未经数据主体同意的情况下不会向第三方披露。

5.涉及已由数据主体公开的个人数据的处理。

6.为合法诉求的成立、行使或抗辩或法院行使其司法职能之目的所必需的处理。

7.根据欧盟或成员国的法律，为重大公共利益所必需的处理。该处理所追求的目的应当是适当的，且包含合理的数据保护措施。

8.根据欧盟或成员国的法律或与医疗专业人士的合同，为预防医学或职业医学，为评估雇员的工作能力，医疗诊断，提供卫生或社会保健或治疗或卫生社会保健系统和服务管理之目的所必需的处理。

9.根据欧盟或成员国法律规定以适当的、特定的措施保障数据主体的权利和自由，在公共健康领域中为公共利益之目的所必需的处理。例如抵御严重的跨境卫生威胁，或确保医疗保健和医药产品或医疗器械的高标准。

10.根据欧盟或成员国法律，为公共利益，统计，科学或历史研究之目的所必需的处理。该处理所追求的目的应当是适当的，尊重数据保护的基本权利，并采取了适当的、特定的措施以保障数据主体的基本权利和利益。