Które dane są wrażliwe według RODO?
Dane osobowe dzielą się na dane osobowe zwykłe, czyli informacje służące do identyfikacji osoby fizycznej, np. imię i nazwisko, adres zamieszkania lub zameldowania, numer PESEL, numer telefonu oraz dane osobowe wrażliwe, które należą do sfery prywatnej i nie służą jako identyfikatory z wyjątkiem danych biometrycznych, np. pochodzenie rasowe lub etniczne, poglądy polityczne.
Dane osobowe wrażliwe – definicja oraz rodzaje
Dane wrażliwe to dane szczególnych kategorii, dla których przetwarzania wymaga się szczególnych środków ochrony, ponieważ dotyczą sfery prywatnej.
Do danych wrażliwych zaliczymy informacje ujawniające:
- pochodzenie rasowe czy etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych.
- dane genetyczne – niepowtarzalne informacje o fizjologii lub zdrowiu,
- dane biometryczne – odciski palców, tęczówka oka, owal twarzy, głos, kształt ucha, układ żył dłoni,
- dane dotyczące zdrowia – informacje o przebytych lub aktualnie leczonych chorobach, skłonność do zachorowania, alergie,
- dane dotyczące seksualności lub orientacji seksualnej.
Wrażliwe dane osobowe – sposób przetwarzania
Co do zasady zabrania się przetwarzania danych wrażliwych. Od tej reguły istnieją wyjątki. Wrażliwe dane osobowe można przetwarzać, jeżeli spełniony zostanie jeden z poniższych warunków:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach,
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,
- przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie obecnych lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą,
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą,
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,
- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym,
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;
- przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
- przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
Ważną aspektem przetwarzania informacji wrażliwych w powyższych przypadkach jest okoliczność, że przetwarzanie:
- musi być proporcjonalne do wyznaczonego celu,
- nie może naruszać istoty prawa do ochrony danych,
- musi przewidywać odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
W momencie, gdy przetwarzanie danych wrażliwych nie jest już konieczne, podmiot musi zaprzestać przetwarzania. W międzyczasie dane wrażliwe muszą być ściśle chronione przed nieuprawnionym dostępem. Złe wykorzystanie danych wrażliwych może w konsekwencji doprowadzić do dyskryminacji ze względu na pochodzenie rasowe lub etniczne, wyznanie religijne, orientację seksualną, przynależność do związków zawodowych, stan zdrowia, obciążenie genetyczne, poglądy polityczne, przekonania światopoglądowe i inne.
Kary za bezprawne przetwarzanie danych osobowych
Rozporządzenie RODO wyróżnia się dwie odmiany przestępstw bezprawnego przetwarzania danych osobowych:
- podmiot przetwarza dane, choć jest do niedopuszczalne,
- podmiot nie jest uprawniony do przetwarzania danych, ale i tak się tym zajmuje.
Takie przestępstwa dotyczące danych wrażliwych podlegają karze grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3.
Podstawa prawna:
- art. 9, 27 ust. 1, Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, str. 1) (rozporządzenie RODO).
- art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781).