Dane wrażliwe to szczególny typ danych osobowych. Wymagają też szczególnej ochrony. Wszystkie podmioty, które w jakikolwiek sposób zbierają i przetwarzają dane osobowe, muszą o tym wiedzieć i pamiętać. W dzisiejszym artykule chcemy nie tylko o tym przypomnieć ale też sprawić abyście lepiej zrozumieli tą potrzebę. Wskażemy podstawowe różnice między zwykłymi danymi osobowymi, a wrażliwymi. Podpowiemy kiedy możemy je przetwarzać i jak to robić zgodnie z RODO. A na miłe zakończenie, dowiecie co Was czeka, gdy nie będziecie tego robić 😉
Dane osobowe zwykłe, a dane wrażliwe
Na sam początek wypada podsumować najważniejsze informacje i pojęcia. Mówiąc o wrażliwych danych osobowych (często nazywane danymi sensytywnymi) wypada dokładnie określić czym są zwykłe dane osobowe. Poszczególne pojęcia odnajdujemy zarówno w Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (regulacje dotyczące przetwarzania danych osobowych na terenie Unii Europejskiej), jak również w Ustawie o ochronie danych osobowych z dnia 10 maja 2018 roku (czyli regulacji krajowych). W oparciu o te przepisy podsumowaliśmy teraz krótko charakterystykę i najważniejsze informacje dotyczące danych osobowych zwykłych i wrażliwych. Dokładnie w tej kolejności.
Czym są dane osobowe zwykłe?
Definicji danych osobowych najlepiej będzie poszukać w RODO, a dokładniej w Art.4. Znajdziemy tam informację, że dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Co znaczy możliwa do zidentyfikowania? Chodzi o osobę fizyczną, którą można (bezpośrednio lub pośrednio) zidentyfikować na podstawie danego identyfikatora. Może nim być imię i nazwisko, lokalizacja, numer identyfikacyjny, PESEL, NIP ale nie tylko. RODO nie określa i nie wymienia wprost katalogu tych danych. Natomiast w Art 4 pkt 1 wskazuje:
„Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
Definicja danych osobowych nie uległa większej zmianie w porównaniu z poprzednio obowiązującą Dyrektywą 95/46/WE. W zasadzie została tylko rozszerzona – o wszelkie dane elektroniczne. Katalog danych pozostaje otwarty, co tylko potwierdza, że RODO jest elastyczne. Wspominaliśmy już o tym wielokrotnie na naszym blogu, na przykład gdy pisaliśmy o polityce ochrony danych. Dlatego też w zacytowanej wyżej treści rozporządzenia wyróżniliśmy określenie „takiego jak”. Pod tym określeniem mogą skrywać się zupełnie inne dane niż te podstawowe jak imię i nazwisko i adres. To może być waga, wiek, cechy wyglądu, a nawet głos. A czym są w takim razie dane osobowe wrażliwe?
Czym są dane osobowe wrażliwe?
I znów – RODO nie definiuje wprost pojęcia wrażliwych danych osobowych. Wskazuje jednak szczególne kategorie danych, które dotyczą sfery prywatnej konkretnych osób. Ich gromadzenie i przetwarzanie obwarowano większymi rygorami, niż w przypadku zwykłych danych. W Art.9 wymieniono informacje podlegające szczególnej ochronie i określono zasady tej ochrony, do tego katalogu wliczają się:
- dane ujawniające pochodzenie rasowe lub etniczne,
- dane dotyczące poglądów politycznych
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych
- dane genetyczne,
- dane biometryczne
- dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby.
Tak jak w przypadku danych osobowych zwykłych, katalog ma charakter otwarty, tak w tym przypadku pozostaje zamknięty. Innymi słowy, wszelkie inne informacje od wymienionych, co do zasady, należy uznawać za zwykłe dane osobowe. Warto mieć na uwadze, że organ nadzoru może mieć własną interpretację, która rozszerzy wspomniany zakres. Obejmie dodatkowe dane wchodzące w skład wrażliwych (np. dotyczących zdrowia). Przetwarzanie danych wrażliwych wiąże się z większym ryzykiem naruszenia podstawowych praw lub wolności człowieka (ryzyko dyskryminacji). Z tego też powodu wymagają szczególnej ochrony. Jak wygląda kwestia przetwarzania danych wrażliwych?
Przetwarzanie danych wrażliwych
Z uwagi na szczególny charakter danych sensytywnych, ustawodawca ograniczył możliwość ich przetwarzania. A jeśli już do niego dochodzi, obowiązują zaostrzone środki ostrożności. Dane wrażliwe mogą być przetwarzane przez organy do tego upoważnione, a przez inne podmioty jedynie wtedy, gdy istnieje ku temu konkretna podstawa prawna.
Kiedy można przetwarzać dane wrażliwe?
- gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie danych osobowych w jednym lub kilku konkretnych celach;
- gdy przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego
- gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- gdy przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
- gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
- gdy przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
Kary za przetwarzanie danych wrażliwych
Po stronie przedsiębiorcy leży obowiązek wdrożenia i przestrzegania RODO w firmie. Zwłaszcza w sytuacji, gdy macie do czynienia z danymi wrażliwymi. Dlaczego to takie ważne? Za niewłaściwą ochronę danych czekają surowe konsekwencje. Ustawa o ochronie danych osobowych przewiduje maksymalny wymiar kary właśnie za nieuprawnione przetwarzanie danych wrażliwych.
Za niedopuszczalne przetwarzanie danych zwykłych grozi do 2 lat pozbawienia wolności, w przypadku danych wrażliwych – do 3 lat. Próżno szukać w rozporządzeniu przepisów karnych, za określenie ich odpowiada już ustawodawca krajowy. Ogólne Rozporządzenie o Ochronie Danych Osobowych wskazuje natomiast, że organ nadzorczy (w Polsce jest nim UODO) ma możliwość nałożenia kar pieniężnych w wysokości do 10 mln euro lub do 2% rocznego obrotu przedsiębiorstwa za niewłaściwe zabezpieczenie danych osobowych i do 20 mln euro lub do 4% rocznego obrotu firmy za przetwarzanie danych niezgodnie z zasadami RODO. Więcej o karach za nieprzestrzeganie RODO pisaliśmy TUTAJ. Także jeśli szukacie dodatkowej motywacji – zapraszamy do lektury. A jeśli potrzebujecie profesjonalnego wsparcia, zachęcamy do kontaktu z nami. Przeprowadzimy audyt, znajdziemy i wypełnimy luki w Waszych zabezpieczeniach, przeszkolimy pracowników (np. aby potrafili rozróżniać dane osobowe zwykłe i wrażliwe), przejmiemy funkcję IOD, zapewnimy indywidualne konsultacje prawne, zaproponujemy sprawdzone rozwiązania i sprawimy, że dane w Waszej firmie będą właściwie chronione i monitorowane.
