skip to Main Content

Przetwarzanie wrażliwych danych osobowych

Elementarz RODO
1. Co to są dane osobowe?
2. Przetwarzanie danych osobowych w rozumieniu RODO
3. Kiedy musisz stosować RODO?
4. ADO, czyli administrator danych osobowych
5. Podstawy przetwarzania danych osobowych
6. Zgoda na przetwarzanie danych osobowych
7. Dokumentacja wymagana przez RODO
8. Prawnie uzasadnione interesy realizowane przez administratora
9. Przetwarzanie danych osobowych w celach marketingowych
10. Przetwarzanie wrażliwych danych osobowych
11. Obowiązek informacyjny administratora danych osobowych

Choć RODO[1]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zastąpiło pojęcie „wrażliwe dane osobowe” z poprzedniej ustawy o ochronie danych osobowych, określeniem „szczególne kategorie danych osobowych”, ten pierwszy termin nadal jest często używany. Pomimo, że zmiana terminologii sugeruje zmianę również zasad postępowania z tym rodzajem danych osobowych, najważniejsza reguła pozostała taka sama: przetwarzanie takich danych jest możliwe, ale jedynie w ściśle określonych przypadkach.

Szczególne kategorie danych osobowych, czyli jakie?

RODO nie zawiera definicji szczególnych kategorii danych osobowych. Nie stanowi to jednak problemu, bo unijny ustawodawca przewidział coś zdecydowanie lepszego – zamknięty katalog. Zgodnie z art. 9 ust. 1 RODO pojęciem tym objęte są następujące dane:

  • dane ujawniające pochodzenie rasowe lub etniczne,
  • dane ujawniające poglądy polityczne, przekonania religijne lub światopoglądowe,
  • dane ujawniające przynależność do związków zawodowych,
  • dane genetyczne i biometryczne,
  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.

Definicje trzech z powyższych kategorii danych stanowią element katalogu definicji w art. 4 RODO. Zgodnie z nimi:

  • „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej
  • „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne,
  • „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

Co obejmują pozostałe kategorie, trzeba się domyślić. Myślę jednak, ze są to na tyle precyzyjne pojęcia, że nie powinno być z tym większych problemów. Administrator powinien w miarę łatwo zorientować się, że nie ma do czynienia ze zwykłymi danymi osobowymi.

Przetwarzanie danych wrażliwych jest zabronione…

Podstawowa zasada wprowadzona przez art. 9 ust. 1 RODO mówi, że przetwarzanie wskazanych powyżej danych jest zabronione. Jeżeli więc zbierasz wrażliwe dane osobowe, to natychmiast przestań to robić. Chyba, że akurat następuje jeden z wyjątków wymienionych w art. 9 ust. 2 RODO.

…ale możliwe w niektórych wypadkach

Art. 9 ust. 2 RODO przewiduje aż dziesięć wyjątków, w których administrator może przetwarzać wrażliwe dane osobowe. Jeżeli jesteś zwykłym przedsiębiorcą, istotne dla ciebie są jednak tylko dwa pierwsze (pozostałe nie powinny mieć zastosowania):

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;
  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

W pierwszym przypadku sytuacja jest jasna. Jeżeli masz zgodę osoby, której dane wrażliwe dotyczą możesz je przetwarzać. Bardzo ważne jest jednak to, aby formularz zgody był prawidłowo skonstruowany. Treść zgody powinna wskazywać jakie konkretnie dane i w jakim konkretnie celu będą przetwarzane.

Co do drugiego wyjątku, to jeżeli w ogóle dochodzi do przetwarzania szczególnych kategorii danych osobowych przez administratora będącego przedsiębiorcą, w zdecydowanej większości przypadków będzie odbywało się to na podstawie przepisów prawa pracy. Można tu wskazać chociażby przetwarzanie przez pracodawcę danych o stanie zdrowia pracowników w związku ze zwolnieniami lekarskimi.

Informacje o wyrokach skazujących i naruszeniach prawa

Choć dane dotyczące wyroków skazujących oraz czynów zabronionych nie zostały przez RODO wprost zaliczone do szczególnych danych osobowych, zasady w ich przypadku są jeszcze bardziej rygorystyczne. Art. 10 RODO dopuszcza przetwarzanie takich danych jedynie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Należy więc unikać przetwarzania tych danych, nawet jeżeli uzyska się zgodę osoby, której dane dotyczą.

Danych wrażliwych najlepiej w ogóle unikać

Jeżeli w wyniku działalności twojej firmy, zaczniesz mieć kontakt z danymi mieszczącymi się w katalogu szczególnych kategorii danych osobowych, określonym w art. 9 ust. 1 RODO, w pierwszej kolejności powinieneś zastanowić się czy wogóle musisz je przetwarzać. Są sytuacje, że od danych wrażliwych nie da się uciec – jak w przytoczonym powyżej przykładzie z zakresu prawa pracy. Ale jeżeli nie zatrudniasz żadnych pracowników, ani nie prowadzisz działalności leczniczej, na 99% nie ma potrzeby, żebyś zbierał i przetwarzał taką kategorię danych osobowych.

Jeżeli jednak, z jakiegoś powodu nie możesz zrezygnować z przetwarzania szczególnych kategorii danych osobowych i nie jesteś pewien czy następuje jeden z wyjątków wskazanych w art. 9 ust. 2 RODO, zbierając dane koniecznie proś o zgodę na przetwarzanie, zaznaczając w prośbie że chodzi o przetwarzanie wrażliwych danych osobowych (oraz podając cel przetwarzania). Tylko tak będziesz pewny, że działasz zgodnie z RODO. Ogólne podstawy przetwarzania określone w art. 6 ust. 1 RODO, to zdecydowanie za mało.

Przypisy

Przypisy
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Tomasz Korolko

Partner

Back To Top