Co to są dane osobowe wrażliwe?
Zastanawiasz się, kiedy masz do czynienia z kategorią danych osobowych wrażliwych? Nie wiesz, w jaki sposób powinieneś z takimi danymi osobowymi postępować? A może chciałbyś wiedzieć, kiedy przetwarzanie tego typu danych osobowych jest legalne? W artykule znajdziesz informacje na temat:
- Czym są dane osobowe wrażliwe,
- Kiedy możliwe jest przetwarzanie danych osobowych wrażliwych,
- Jakie odmienności RODO przewiduje dla przetwarzania danych wrażliwych.
Dane osobowe wrażliwe
Co ciekawe RODO (ogólne rozporządzenie o ochronie danych) nie posługuje się wprost pojęciem danych wrażliwych. Mówi ono jednakże o „szczególnych kategoriach danych osobowych”. Z uwagi jednakże na wyróżnienie kategorii danych wrażliwych w uprzednio obowiązujących przepisach, przyjęło się utożsamiać oba pojęcia.
I tak, za szczególne (wrażliwe) dane osobowe należy uznać informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej konkretnej
Warto zapamiętać, że katalog ww. kategorii danych osobowych jest katalogiem zamkniętym. Inne kategorie danych osobowych określane są, jako dane osobowe zwykłe (niewrażliwe).
Przetwarzanie danych szczególnych kategorii (danych wrażliwych) – zakazane czy dozwolone?
Inaczej, aniżeli ma to miejsce w odniesieniu do danych osobowych niewrażliwych, generalną zasadą jest że szczególne kategorie danych osobowych nie mogą być przetwarzane. Nie musisz się jednakże martwić, od zasady tej bowiem istnieją liczne wyjątki. Przykładowo, dane wrażliwe można przetwarzać, jeżeli spełniony jest chociażby jeden z poniższych warunków:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach,
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej – przykładowo przetwarzanie danych osobowych pracowników przez pracodawcę o ich stanie zdrowia, czy też przynależności do związków zawodowych,
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody – przykładowo, dane o stanie zdrowia osoby, która na skutek wypadku straciła przytomność,
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą – np. dane osobowe dobrowolnie zamieszczone na profilu w portalu społecznościowym,
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy – np. dochodzenie roszczeń od ubezpieczyciela w związku z wypadkiem komunikacyjnym,
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.
Inne ograniczenia względem danych wrażliwych
Omawiane rozporządzenie wprowadza szereg dalszych ograniczeń w przetwarzaniu danych osobowych szczególnych kategorii, należą do nich następujące:
- zakaz wykorzystywanie danych wrażliwych do profilowania,
- przetwarzanie szczególnych kategorii danych osobowych na dużą skalę (np. danych o stanie zdrowia przez szpital) wiąże się z koniecznością powołania inspektora ochrony danych osobowych,
- RODO dopuszcza, aby poszczególne państwa członkowskie wprowadziły dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia. Przykładowo, polski kodeks pracy zawiera postanowienia odnoszące się do sposobów przetwarzania danych biometrycznych pracowników przez pracodawcę.