Unijne rozporządzenie o ochronie danych osobowych i wdrażająca je w Polsce ustawa o ochronie danych osobowych weszły w życie w 2018 r., nakładając na przedsiębiorców szereg obowiązków, niezbędnych, by przetwarzanie danych było bezpieczne. Kategorią wymagającą szczególnego zabezpieczenia, ochrony przed cyberatakami, wyciekiem informacji itd. są dane wrażliwe. Co się do nich zalicza? Kiedy i przez jakie podmioty mogą być przetwarzane?
Co to są dane wrażliwe?
Na gruncie RODO, dane osobowe: „oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4.).
Dane zwykłe i dane wrażliwe muszą być przetwarzane zgodnie z zasadami, ale te drugie, ze względu na swój charakter, są dodatkowo chronione. Ich udostępnianie w niewłaściwym kontekście wiąże się z zagrożeniem, że złamane zostaną podstawowe prawa i wolności osoby, której te dane dotyczą.
Jakie dane osobowe są wrażliwe?
Dane wrażliwe według RODO to zamknięty zbiór, w którym znalazły się:
• dane osobowe ujawniające pochodzenie rasowe lub etniczne,
• dane osobowe ujawniające poglądy polityczne,
• dane osobowe ujawniające przekonania religijne lub światopoglądowe,
• dane osobowe ujawniające przynależność do związków zawodowych,
• dane biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej,
• dane dotyczących zdrowia,
• dane dotyczące seksualności lub orientacji seksualnej.
Nie ma zatem w katalogu danych wrażliwych wynagrodzenia czy nr PESEL – to zamknięta lista i nie modyfikuje się jej. Przed wejściem w życie RODO za dane wrażliwe uważano też informacje o mandatach karnych, wyrokach sądu. W świetle obowiązujących obecnie przepisów to dane zwykłe, ale przetwarzać je można jedynie w przypadkach, które mają uzasadnienie w prawie. Nie każdy pracodawca ma więc prawo prosić kandydata o orzeczenie o niekaralności itd.
Kiedy można przetwarzać dane wrażliwe?
Jak już zostało wspomniane, ochrona danych osobowych wrażliwych jest szczególna – po prostu nie można ich przetwarzać, a więc zbierać, utrwalać, sporządzać zestawienia. Są od tej zasady pewne wyjątki, dokładnie opisane w art. 9. RODO. Dane szczególnie wrażliwe można przetwarzać w kilku przypadkach, m.in. pod warunkiem, że:
- została wyrażona wyraźna zgoda na przetwarzanie danych osobowych przez osobę, której one dotyczą,
- przetwarzanie jest niezbędne do wypełniania obowiązków – np. pracodawca może wymagać orzeczenia o stopniu niepełnosprawności, by dostosować stanowisko pracy i uwzględnić przywileje pracownika,
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innych osób,
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą – to ma zastosowanie np. gdy organizuje się zbiórkę pieniędzy dla osoby, która sama udostępniła informację, np. o swoim złym stanie zdrowia etc.