Dane osobowe określa się jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Rozporządzenie o ochronie danych osobowych (RODO) wprowadza podział na dane osobowe zwykłe, dane o wyrokach skazujących oraz tzw. dane szczególnych kategorii.
Wrażliwe dane osobowe
Dane szczególnych kategorii. Wrażliwe dane, określane też jako dane sensytywne, zostały wskazane w art. 9 RODO i są to:
- dane ujawniające pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych,
- dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej,
- dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby.
Są to zatem wszelkie informacje dotyczące prywatnej i osobistej sfery życia. Zaznaczyć należy, że powyższy katalog ma charakter zamknięty. Oznacza to, że tylko wyżej wymienione dane traktować można jako informacje wrażliwe.
Ochrona danych wrażliwych opiera się przede wszystkim na domyślnym zakazie ich przetwarzania. RODO w art. 9 ust. 2, określa jednak zbiór wyjątków, czyli sytuacji, w których przetwarzanie danych wrażliwych jest dopuszczalne.
Zgoda
Jednym z wyjątków uchylających ogólny zakaz przetwarzania danych szczególnych kategorii jest zgoda wyrażona przez osobę, której te dane dotyczą.
Omawiana zgoda musi spełniać warunek dobrowolności, konkretności, świadomości i jednoznaczności, tak samo jak w przypadku przetwarzania danych zwykłych. Dodatkowo zgoda powinna być wyraźna. Jej wyrażenie nie powinno opierać się na mechanicznym czy nieświadomym potwierdzeniu.
Sprawdź jak wdrożyć RODO w twojej organizacji
Ochrona danych wrażliwych a stosunek pracy
Dane osobowe wrażliwe mogą być przetwarzane również w sytuacji, gdy jest to niezbędne do wypełniania obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.
Prawo pracy lub porozumienia zbiorowe pracy mogą dopuszczać przetwarzanie danych wrażliwych, gdy wymaga tego stosunek pracy, tak jak na przykład szczególne dane na temat zdrowia w przypadku sektora spożywczego. Przyjmuje się, że powyższe dotyczy zarówno pracowników jak i osób zatrudnionych na umowy cywilnoprawne.
Żywotne interesy osoby
Dane wrażliwe można przetwarzać, jeśli jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. Może mieć to miejsce, gdy osoba jest fizycznie lub prawnie niezdolna do wyrażenia zgody na przetwarzanie danych osobowych. W praktyce możemy mówić o nagłych zdarzeniach, które dotyczą szczególnego stanu zdrowia, na przykład utraty przytomności, ale także kiedy mowa o ubezwłasnowolnieniu lub w przypadku dziecka.
Organizacje niezarobkowe
W przypadku przetwarzania, które dokonywane jest w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń, przez fundację, stowarzyszenie lub inny niezarobkowych podmiot o celach politycznych czy światopoglądowych, także istnieje możliwość przetwarzania danych wrażliwych, czyli danych szczególnej kategorii. Kluczowym zagadnieniem jest w tym przypadku to, aby dane wrażliwe dotyczyły jedynie członków lub byłych członków tego podmiotu i nie były ujawniane poza organizację bez zgody osób, których dotyczą.
Dane upublicznione
W przypadku, gdy dane osobowe wrażliwe zostały upublicznione przez osobę, której dotyczą, RODO dopuszcza możliwość ich przetwarzania bez dodatkowych wymogów prawnych.
Dane wrażliwe a dochodzenie roszczeń
Przetwarzanie danych wrażliwych możliwe jest także w związku z ustaleniem, dochodzeniem lub obroną roszczeń, albo w ramach sprawowania wymiaru sprawiedliwości przez sądy. W szczególności dotyczyć to może przetwarzania danych dotyczących stanu zdrowia w związku z prowadzonymi postępowaniami windykacyjnymi.
Przetwarzanie niezbędne ze względu na ważny interes publiczny
Przetwarzanie szczególnych kategorii danych osobowych możliwe jest także ze względów związanych z ważnym interesem publicznym.
Dane wrażliwe mogą być przetwarzane przez podmioty działające w sektorze ochrony zdrowia, w przypadku, gdy:
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia,
- przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.
Interes publiczny wynikać może także z celów badań naukowych, historycznych lub celów statystycznych.
Czy to informacje wrażliwe?
Co z takimi informacjami jak wiek, numer rachunku bankowego, stan cywilny, PESEL czy informacje dotyczące wynagrodzenia lub posiadanego majątku? Często spotkać można się ze stwierdzeniem jakoby takie informacje stanowiły dane osobowe wrażliwe. Jest to mylne określenie w rozumieniu RODO. Warto natomiast tym miejscu podkreślić szczególne znaczenie identyfikatora PESEL. Zdaniem Urzędu Ochrony Danych Osobowych, ujawnienie osobie niepowołanej numeru PESEL wraz z takimi danymi jak imię i nazwisko, może spowodować wysokie ryzyko naruszenia praw lub wolności. Powinno zostać to uwzględnione przez administratorów i podmioty przetwarzające w metodologii oceny ryzyka.
Co z danymi dotyczącymi wyroków?
Dane dotyczące wyroków skazujących i naruszeń prawa zostały wyłączone ze zbioru danych osobowych wrażliwych. Ich przetwarzanie można dokonywać wyłącznie pod nadzorem władz publicznych, jeżeli przetwarzanie jest dozwolone przez prawo Unii lub państwa członkowskiego.
Podsumowując, dane wrażliwe mogą być przetwarzane tylko wtedy, gdy zaistnieje podstawa prawna legalizująca ich wykorzystanie. Dodatkowo, warto zauważyć, że w przypadku przetwarzania na dużą skalę danych szczególnej kategorii, a także danych dotyczących wyroków skazujących i naruszeń prawa, administrator i podmiot przetwarzający są zobowiązani do wyznaczenia inspektora ochrony danych.