Przepisy rozporządzenia RODO wyróżniają dwa rodzaje kategorii danych osobowych – dane zwykłe oraz dane szczególne. Od tego podziału zależy dopuszczalność przetwarzania oraz katalog metod, jakie powinien zastosować przedsiębiorca w celu ich ochrony. Rozporządzenie RODO reguluje zasady jakich musi przestrzegać każdy przedsiębiorca przetwarzający dane osobowe, w szczególności przetwarzając dane szczególne, które podlegają dodatkowej ochronie. Czym są szczególne kategorie danych osobowych?
Co to są dane osobowe i jak je dzielimy?
Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:
- imię i nazwisko,
- numer identyfikacyjny (np. numer PESEL, numer dowodu osobistego, numer prawa jazdy itd.),
- dane o lokalizacji (np. adres zamieszkania, miejsce pracy itd.),
- identyfikator internetowy (np. numer IP, adres e-mail itd.),
- cechy określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Pewną wątpliwość budzi to, kiedy osoba może być zidentyfikowana. RODO sugeruje tutaj, by brać pod uwagę wszelkie rozsądnie prawdopodobne sposoby […] w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu […] zidentyfikowania osoby fizycznej. Zależy to zatem od sytuacji, kontekstu działalności danego administratora – ale także innych osób które mogą takie dane wykorzystać. W większości przypadków Sąd i organy przyjmują zazwyczaj szerokie rozumienie takiej możliwości identyfikacji, więc w przypadku wątpliwości bezpieczniej jest przyjąć że identyfikacja jest możliwa.
Co prawda podział danych na dane osobowe zwykłe i szczególne nie został w rozporządzeniu RODO nazwany wprost, jednak w tekście rozporządzenia doszło do rozróżnienia tych kategorii.
Sprawdź jak wdrożyć RODO w twojej organizacji
Zwykłe dane osobowe RODO
Zwykłe dane osobowe to informacje nie należące do drugiej kategorii, jak np imię i nazwisko, adres zamieszkania lub zameldowania, numer PESEL, numer NIP, numer telefonu, inne dane kontaktowe i tak dalej. Zaliczymy do nich większośc danych które są na co dzień wykorzystywanych.
Szczególne kategorie danych osobowych RODO
Dane szczególne (dane wrażliwe) to dane, dla których przetwarzania wymaga się szczególnych środków ochrony, ponieważ dotyczą sfery w sposób szczególny prywatnej.
Do danych wrażliwych zaliczymy informacje ujawniające:
- pochodzenie rasowe czy etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych,
- dane genetyczne – niepowtarzalne informacje o fizjologii lub zdrowiu,
- dane biometryczne – odciski palców, tęczówka oka, owal twarzy, głos, kształt ucha, układ żył dłoni, głos, cechy behawioralne – ale tylko jeżeli są wykorzystywane w celu jednoznacznego zidentyfikowania osoby za pośrednictwem specjalnego systemu,
- dane dotyczące zdrowia – informacje o przebytych lub aktualnie leczonych chorobach, skłonność do zachorowania, alergie. Dotyczy to także danych z których możemy wywnioskować informacje o aktualnym, przeszłym (czy przyszłym) stanie zdrowia – w tym np o pobieranych lekach, miejscach leczenia, itd.
- dane dotyczące seksualności lub orientacji seksualnej.
Żadne inne dane nie są danymi wrażliwymi w rozumieniu RODO – katalog jest zamknięty. Natomiast musimy pamiętać że powyższe pojęcia są raczej rozumiane w sposób szeroki, w tym także jeżeli nie są pewne. Przykładowo, informacja z geolokalizacji, opisująca miejsca które osoba odwiedzała, może być uznana za ujawniająca dane wrażliwe o przekonaniach religijnych (w związku z odwiedzeniem miejsca kultu) czy seksualności (przy odwiedzaniu klubu skierowanego dla osób LGBTQ+) chociaż te informacje nie jest podana w sposób bezpośredni. W każdym przypadku musimy pamiętać że dane osobowe są chronione także wtedy, gdy nie są całkowicie prawdziwe czy pewne. Nie mówimy natomiast o przetwarzaniu danych dotyczących szczególnych kategorii w przypadkach, w których uzyskujemy je przypadkowo i nie wykonujemy na nich operacji – przykładowo nie jest przetwarzaniem danych o stanie zdrowia nagranie z monitoringu, pokazujące chorego pracownika – ale byłoby, jeżeli dokonalibyśmy analizy takich nagrań w celu wyłapania chorych pracowników.
Szczególne kategorie danych osobowych – sposób przetwarzania
Co do zasady przetwarzanie danych wrażliwych jest zabronione. Jednak od każdej zasady istnieją wyjątki. Wrażliwe dane osobowe można przetwarzać, jeżeli spełniony zostanie jeden z poniższych warunków:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na ich przetwarzanie,
- przetwarzanie jest konieczne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,
- przetwarzanie jest konieczne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,
- przetwarzanie danych przez fundację, stowarzyszenie lub inny podmiot działający w celach niezarobkowych, jeśli chodzi o cele polityczne, światopoglądowe, religijne i związkowe dotyczące członków tej organizacji,
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą,
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy,
- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym,
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego,
- przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.