LexDigital

Dane osobowe wrażliwe, a dane osobowe zwykłe

Pojęcie danych osobowych jest jednym z filarów, na którym opiera się obecne prawo dotyczące ochrony danych osobowych. Na jego gruncie możemy wyróżnić dane zwykłe oraz dane szczególnie chronione. Czym różnią się od siebie? Kiedy możemy przetwarzać dane zwykłe oraz dane wrażliwe? Jakie zmiany wprowadza w tym zakresie RODO?

Dane osobowe wrażliwe, a dane osobowe zwykłe

Dane osobowe - definicja

Co to są dane personalne / osobowe? Dane osobowe to termin prawny, który został zdefiniowany w ustawie z dnia 29 sierpnia 1997 o ochronie danych osobowych. W brzmieniu wspomnianej ustawy, za dane osobowe uważa się wszelkie informacje możliwe do powiązania z osobą fizyczną, zidentyfikowaną albo możliwą do zidentyfikowania. Osoba zidentyfikowana to taka, której tożsamość jest możliwa do jednoznacznego określenia już na podstawie posiadanych danych (a dane te przeważnie nazywa się identyfikującymi choć nie jest to, w rozumieniu prawa, jakakolwiek osobna kategoria danych).

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W praktyce oznacza to, że osobą możliwą do zidentyfikowania jest każdy, o kim dane identyfikujące mogą zostać pozyskane i jest to uzasadnione ekonomicznie i w rozumieniu potrzebnych nakładów czasu jak również każdy, którego można zidentyfikować przez akumulację danych o cechach statystycznych.

Dane osobowe przykłady

Przykładem danych osobowych może, w niektórych przypadkach, być adres email. Posiadanie adresu email w postaci jan.kowalski@wp.pl nie stanowi danej osobowej, ponieważ niemożliwe jest określenie wyłącznie na jego podstawie tożsamości użytkownika, który się nim posługuje.

Jednak, gdy adres email stworzony został w postaci imie.nazwisko@nazwa_firmy.pl, istnieje duże prawdopodobieństwo jednoznacznego wskazania właściciela i wówczas mówimy, iż adres jest daną osobową.

Kolejnym przykładem danej osobowej jest PESEL, który jest unikalny dla każdego z nas oraz definicyjnie służy do jednoznacznej identyfikacji osoby fizycznej.

Co to są dane osobowe wrażliwe?

Ustawodawca wskazuje, że przetwarzanie niektórych typów informacji pociąga za sobą znacznie dalej idące konsekwencje niż np. praca z danymi teleadresowymi czy dotyczącymi rozliczeń. Te typy danych są przeważnie nazywane „danymi wrażliwymi”, „danymi sensytywnymi” albo „danymi szczególnie wrażliwymi” (co jest wynikiem dość karkołomnego tłumaczenia z języka angielskiego). Na gruncie RODO mówi się o szczególnych kategoriach danych. Istnieją pewne różnice pomiędzy typami informacji stanowiącymi „dane wrażliwe” oraz „szczególnymi kategoriami danych”.

Ustawa o ochronie danych osobowych w art. 27 ust. 1 wprowadza zamknięty katalog danych wrażliwych:

  • dane ujawniające pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub filozoficzne,
  • przynależność wyznaniową, partyjną lub związkową,
  • dane o stanie zdrowia, dane genetyczne, nałogach lub życiu seksualnym,
  • dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Ogólne rozporządzenie o ochronie danych (RODO), dzieli katalog danych wymagających szczególnej ochrony na dwie subkategorie – szczególne kategorie danych, o których mowa w art. 9 oraz dane dotyczące wyroków skazujących i naruszeń prawa, których dotyczy art. 10.

Należy zwrócić uwagę na fakt, że RODO wskazuje wprost, że „daną wrażliwą” czy też „szczególną kategorią danych” jest orientacja seksualna, podczas gdy ustawa podchodziła do tego zagadnienia szerzej mówiąc o „życiu seksualnym”. W praktyce trudno jest wskazać różnicę z perspektywy przeciętnego administratora. Można się jednak spodziewać, że intencją europejskiego ustawodawcy było objęcie szczególną ochroną już samej deklaracji dotyczącej orientacji seksualnej, a nie dopiero informacji o faktycznych praktykach seksualnych osoby fizycznej.

Drugą różnicą jest dodanie do katalogu danych wymagających szczególnej ochrony danych biometrycznych. Jest to zła wiadomość dla wszystkich przedsiębiorców stosujących biometrię do uwierzytelniania, kontroli dostępu albo ewidencji czasu pracy.

Trzecia różnica polega na usunięciu z listy danych dotyczących „innych orzeczeń wydawanych w postępowaniu sądowym lub administracyjnym”. To znaczące ułatwienie dla instytucji uczestniczących w wydawaniu decyzji administracyjnych w charakterze organów opiniujących. Zawężenie katalogu danych o szczególnym znaczeniu do wyroków skazujących oraz naruszeń prawa ułatwia też zadanie pracodawcom na przykład w związku z przetwarzaniem danych w  sprawach alimentacyjnych.

Wrażliwe dane osobowe - przetwarzanie

Z uwagi na szczególny charakter danych sensytywnych ustawodawca krajowy (ustawa o ochronie danych osobowych) dodatkowo ograniczył ich przetwarzanie. Jakkolwiek w przypadku przetwarzania zwykłych danych osobowych wystarczy złożenie wniosku rejestrującego zbiór danych, to w przypadku danych wrażliwych przetwarzanie ich jest legalne wyłącznie po otrzymaniu od GIODO zaświadczenia o zarejestrowaniu zbioru. Niestety z uwagi na ilość wniosków taka rejestracja może powodować konieczność wstrzymania się z przetwarzaniem przez okres kilku miesięcy.

Ponadto dla danych wrażliwych stworzono osobny katalog - tak zwanych podstaw prawnych przetwarzania, a więc okoliczności, w których po dane te w ogóle wolno było sięgnąć.

RODO znosi obowiązek zgłaszania i rejestracji zbiorów danych osobowych. Szczęśliwie nowe przepisy ułatwiają także nieco przetwarzanie szczególnych kategorii danych na podstawie zgody osoby, której one dotyczą. W porządku ustawowym taka zgoda musiała być wyrażona na piśmie, co oznaczało wyraźną zwłokę w jej dostarczaniu wynikającą z różnicy przesyłania informacji pocztą tradycyjną i kanałami cyfrowymi. W RODO zgoda może być elektroniczna. To bardzo dobra wiadomość dla stowarzyszeń oraz przedsiębiorców starających się wyjść naprzeciw osobom niepełnosprawnym ale potrzebującym informacji aby dostosować swoją usługę.

Należy jednak zaznaczyć, że zgoda na przetwarzanie szczególnych kategorii danych musi być „wyraźna”, a więc administrator powinien zastosować dalej idące środki w celu potwierdzenia intencji osoby, której dane dotyczą.

Przetwarzanie wrażliwych danych osobowych implikuje także konieczność lepszego ich zabezpieczenia. W porządku ustawowym oznaczało to przynajmniej użycie zabezpieczeń na poziomie podwyższonym. W RODO środki ochrony wywodzi się ze stwierdzonego ryzyka. Zbagatelizowanie czynnika typu przetwarzanych danych podczas prowadzenia analizy ryzyka byłoby jednak uproszczeniem bardzo trudnym do uzasadnienia regulatorowi.

Dane osobowe - kary

Ustawa o ochronie danych osobowych przewidywała maksymalny wymiar kary właśnie za  złe przetwarzanie danych wrażliwych. Za niedopuszczalne lub nieuprawnione przetwarzanie danych zwykłych grozi do 2 lat pozbawienia wolności, natomiast w odniesieniu do katalogu zamkniętego danych wrażliwych – do 3 lat. RODO nie zawiera przepisów karnych. Może je dodać ustawodawca krajowy w ustawie. W projekcie opublikowanym 13 września nie było mowy o dodatkowym penalizowaniu przetwarzania danych szczególnych kategorii. Nie oznacza to jednak, że typ procesowanych danych nie ma już znaczenia ze względu na ewentualną odpowiedzialność administratora. Bezdyskusyjnie charakter danych poddawanych przetwarzaniu wpłynie bowiem na wysokość kar finansowych w ramach przewidzianych treścią ogólnego rozporządzenia.


Sprawdź również:

Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.