Nowa definicja danych wrażliwych

Brak komentarzy

kolorowe kredkiRODO zmienia dotychczasową definicję danych wrażliwych (sensytywnych). Jaka jest różnica? Czy PESEL, wzrost i waga to dane wrażliwe? Co się zmieni w legalności przetwarzania tych danych po 25 maja 2018 r.?

Dane wrażliwe przed i po zmianie

Przypomnę, że ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych rozróżniała dwie kategorie danych osobowych: zwykłe (tj. imię, nazwisko, adres zamieszkania, wzrost, dochód) i szczególnie chronione (wrażliwe). W kręgu danych wrażliwych znalazły się: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Na gruncie nowych regulacji mamy do czynienia z danymi zwykłymi oraz dwiema kategoriami: danymi osobowymi szczególnych kategorii oraz danymi dotyczących wyroków skazujących i naruszeń prawa, które wyróżnia odrębny charakter przetwarzania.

Co ważne w kontekście omawianego tematu, z definicji danych wrażliwych wyłączono dane dotyczące skazań, orzeczeń itd. Jednocześnie poszerzono jej zakres, i teraz do danych osobowych szczególnych kategorii zaliczamy następujące dane:

  • ujawniające pochodzenie rasowe lub etniczne,
  • ujawniające poglądy polityczne,
  • ujawniające przekonania religijne lub światopoglądowe,
  • ujawniające przynależność do związków zawodowych,
  • genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • dotyczące zdrowia lub seksualności i orientacji seksualnej tej osoby.

Dane biometryczne

Nowością w tym katalogu są dane biometryczne. Należy przez nie rozumieć dane osobowe, które wynikają ze specjalnego przetwarzania technicznego i dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Przykładem takich danych będzie wizerunek twarzy, układ linii papilarnych czy obraz siatkówki oka.

Dane genetyczne

Rozporządzenie na nowo zdefiniowało również dane genetyczne. W dotychczasowej ustawie krajowej była mowa jedynie o kodzie genetycznym. Tymczasem RODO wskazuje, iż są to dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby. Przykładem, choć kontrowersyjnym i spornym (z uwagi na brak szczegółowych regulacji), będą dane genetyczne płodu, które stanowią o cechach genetycznych nienarodzonego dziecka a nie jego matki.

Dane dotyczące zdrowia

Wprowadzono również pojęcie danych dotyczących zdrowia, które oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

Zakaz przetwarzania „danych wrażliwych” i wyjątki

Przetwarzanie zwykłych danych osobowych jest legalne wówczas, gdy dysponujemy odpowiednią do tego podstawą. Przetwarzanie danych szczególnych kategorii jest co do zasady zabronione. Prawodawca wskazał jednak pewne wyjątki, w których zakaz ten będzie wyłączony. I tak ma to miejsce w przypadku spełnienia jednej z poniższych przesłanek:

1. ZGODA

Osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych w jednym lub kilku konkretnych celach. Zgoda nie będzie miała znaczenia, gdy prawo UE lub krajowe uniemożliwia uchylenie się od generalnego zakazu.

2. WYPEŁNIENIE OBOWIĄZKÓW I SKORZYSTANIE Z PRAW

Przetwarzanie jest niezbędne do wypełnienia obowiązków i skorzystania ze szczególnych praw przez administratora lub osobę, której dane dotyczą w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej. Warunkiem jest, że przetwarzanie to jest dozwolone prawem (prawem UE lub prawem państwa członkowskiego) lub porozumieniem zbiorowym na mocy prawa, przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

3. OCHRONA ŻYWOTNYCH INTERESÓW

Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby. Przy czym osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do udzielenia zgody. Przez żywotne interesy należy rozumieć takie, które są bardzo ważne dla życia danej osoby i zasługują na przyznanie im pierwszeństwa przed obowiązkiem zachowania danych osobowych w poufności.

4. DZIAŁALNOŚĆ ORGANIZACJI POZARZĄDOWYCH

Przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych. Warunkiem jest, że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane nie są ujawniane na zewnątrz bez zgody osób, których dane dotyczą.

5. UPUBLICZNIENIE DANYCH

Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.

6. DOCHODZENIE ROSZCZEŃ

Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy.

7. WAŻNY INTERES PUBLICZNY

Przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym (na podstawie prawa UE lub prawa krajowego), które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

8. CELE ZDROWOTNE

Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego. Przetwarzanie odbywa się na podstawie prawa UE lub prawa państwa członkowskiego albo zgodnie z umową z pracownikiem służby zdrowia, przy jednoczesnym zastrzeżeniu warunków i gwarancji zachowania tajemnicy zawodowej na mocy odrębnych przepisów.

9. INTERES PUBLICZNY W DZIEDZINIE ZDROWIA PUBLICZNEGO

Przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego. Takich jak: ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych. Odbywa się na podstawie prawa UE lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.

10. INTERES PUBLICZNY- CELE ARCHIWALNE I BADANIA NAUKOWE, STATYSTYCZNE, HISTORYCZNE

Przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym lub do celów badań naukowych lub historycznych, lub statystycznych. Jednocześnie podlega warunkom oraz gwarancjom ustanowionym w prawie UE lub prawie państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

Dane dotyczące wyroków skazujących i naruszeń prawa

Przetwarzanie tych danych wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeśli przetwarzanie to jest dozwolone prawem UE lub krajowym przewidującym odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Jednocześnie wszystkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

Podsumowanie

Przetwarzanie danych osobowych dotyczy zarówno podmiotów publicznych, jak i prywatnych. Czyli organów państwowych i ich jednostek organizacyjnych, jak również podmiotów niepublicznych realizujących zadania publiczne (np. prywatne podmioty lecznicze, prywatne szkoły i przedszkola, fundacje, stowarzyszenia), osób fizycznych i prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi (np. wspólnoty mieszkaniowe). Przetwarzając dane osobowe po wejściu RODO upewnij się, czy dysponujesz odpowiednią przesłanką legalności (podstawą) w odniesieniu do każdego ze zbiorów danych. W przypadku danych wrażliwych, zwanych w rozporządzeniu danymi szczególnych kategorii, prawo wskazuje konkretne wyjątkowe sytuacje ich przetwarzania. Wyliczenie to nie odbiega znacząco od dotychczasowych regulacji. Dlatego też, jeśli dotychczas przetwarzałeś dane wrażliwe zgodnie z obowiązującym prawem nie musisz w tej kwestii obawiać się RODO.