LexDigital

Dane osobowe wrażliwe, a dane osobowe zwykłe

Pojęcie danych osobowych jest jednym z filarów, na którym opiera się obecne prawo dotyczące ochrony danych osobowych. Na jego gruncie możemy wyróżnić dane zwykłe oraz dane szczególnie chronione. Czym różnią się od siebie? Kiedy możemy przetwarzać dane zwykłe oraz dane wrażliwe? Jakie zmiany wprowadza w tym zakresie RODO?

Dane osobowe wrażliwe, a dane osobowe zwykłe

Dane osobowe - definicja

Co to są dane personalne / osobowe? Dane osobowe to termin prawny, który został zdefiniowany w ustawie z dnia 29 sierpnia 1997 o ochronie danych osobowych. W brzmieniu wspomnianej ustawy, za dane osobowe uważa się wszelkie informacje możliwe do powiązania z osobą fizyczną, zidentyfikowaną albo możliwą do zidentyfikowania. Osoba zidentyfikowana to taka, której tożsamość jest możliwa do jednoznacznego określenia już na podstawie posiadanych danych (a dane te przeważnie nazywa się identyfikującymi choć nie jest to, w rozumieniu prawa, jakakolwiek osobna kategoria danych).

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W praktyce oznacza to, że osobą możliwą do zidentyfikowania jest każdy, o kim dane identyfikujące mogą zostać pozyskane i jest to uzasadnione ekonomicznie i w rozumieniu potrzebnych nakładów czasu jak również każdy, którego można zidentyfikować przez akumulację danych o cechach statystycznych.

Dane osobowe przykłady

Przykładem danych osobowych może, w niektórych przypadkach, być adres email. Posiadanie adresu email w postaci jan.kowalski@wp.pl nie stanowi danej osobowej, ponieważ niemożliwe jest określenie wyłącznie na jego podstawie tożsamości użytkownika, który się nim posługuje.

Jednak, gdy adres email stworzony został w postaci imie.nazwisko@nazwa_firmy.pl, istnieje duże prawdopodobieństwo jednoznacznego wskazania właściciela i wówczas mówimy, iż adres jest daną osobową.

Kolejnym przykładem danej osobowej jest PESEL, który jest unikalny dla każdego z nas oraz definicyjnie służy do jednoznacznej identyfikacji osoby fizycznej.

Co to są dane osobowe wrażliwe?

Ustawodawca wskazuje, że przetwarzanie niektórych typów informacji pociąga za sobą znacznie dalej idące konsekwencje niż np. praca z danymi teleadresowymi czy dotyczącymi rozliczeń. Te typy danych są przeważnie nazywane „danymi wrażliwymi”, „danymi sensytywnymi” albo „danymi szczególnie wrażliwymi” (co jest wynikiem dość karkołomnego tłumaczenia z języka angielskiego). Na gruncie RODO mówi się o szczególnych kategoriach danych. Istnieją pewne różnice pomiędzy typami informacji stanowiącymi „dane wrażliwe” oraz „szczególnymi kategoriami danych”.

Ustawa o ochronie danych osobowych w art. 27 ust. 1 wprowadza zamknięty katalog danych wrażliwych:

  • dane ujawniające pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub filozoficzne,
  • przynależność wyznaniową, partyjną lub związkową,
  • dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym,
  • dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Ogólne rozporządzenie o ochronie danych (RODO), dzieli katalog danych wymagających szczególnej ochrony na dwie subkategorie – szczególne kategorie danych, o których mowa w art. 9 oraz dane dotyczące wyroków skazujących i naruszeń prawa, których dotyczy art. 10.

Należy zwrócić uwagę na fakt, że RODO wskazuje wprost, że „daną wrażliwą” czy też „szczególną kategorią danych” jest orientacja seksualna, podczas gdy ustawa podchodziła do tego zagadnienia szerzej mówiąc o „życiu seksualnym”. W praktyce trudno jest wskazać różnicę z perspektywy przeciętnego administratora. Można się jednak spodziewać, że intencją europejskiego ustawodawcy było objęcie szczególną ochroną już samej deklaracji dotyczącej orientacji seksualnej, a nie dopiero informacji o faktycznych praktykach seksualnych osoby fizycznej.

Drugą różnicą jest dodanie do katalogu danych wymagających szczególnej ochrony danych biometrycznych. Jest to zła wiadomość dla wszystkich przedsiębiorców stosujących biometrię do uwierzytelniania, kontroli dostępu albo ewidencji czasu pracy.

Trzecia różnica polega na usunięciu z listy danych dotyczących „innych orzeczeń wydawanych w postępowaniu sądowym lub administracyjnym”. To znaczące ułatwienie dla instytucji uczestniczących w wydawaniu decyzji administracyjnych w charakterze organów opiniujących. Zawężenie katalogu danych o szczególnym znaczeniu do wyroków skazujących oraz naruszeń prawa ułatwia też zadanie pracodawcom na przykład w związku z przetwarzaniem danych w  sprawach alimentacyjnych.

Wrażliwe dane osobowe - przetwarzanie

Z uwagi na szczególny charakter danych sensytywnych ustawodawca krajowy (ustawa o ochronie danych osobowych) dodatkowo ograniczył ich przetwarzanie. Jakkolwiek w przypadku przetwarzania zwykłych danych osobowych wystarczy złożenie wniosku rejestrującego zbiór danych, to w przypadku danych wrażliwych przetwarzanie ich jest legalne wyłącznie po otrzymaniu od GIODO zaświadczenia o zarejestrowaniu zbioru. Niestety z uwagi na ilość wniosków taka rejestracja może powodować konieczność wstrzymania się z przetwarzaniem przez okres kilku miesięcy.

Ponadto dla danych wrażliwych stworzono osobny katalog - tak zwanych podstaw prawnych przetwarzania, a więc okoliczności, w których po dane te w ogóle wolno było sięgnąć.

RODO znosi obowiązek zgłaszania i rejestracji zbiorów danych osobowych. Szczęśliwie nowe przepisy ułatwiają także nieco przetwarzanie szczególnych kategorii danych na podstawie zgody osoby, której one dotyczą. W porządku ustawowym taka zgoda musiała być wyrażona na piśmie, co oznaczało wyraźną zwłokę w jej dostarczaniu wynikającą z różnicy przesyłania informacji pocztą tradycyjną i kanałami cyfrowymi. W RODO zgoda może być elektroniczna. To bardzo dobra wiadomość dla stowarzyszeń oraz przedsiębiorców starających się wyjść naprzeciw osobom niepełnosprawnym ale potrzebującym informacji aby dostosować swoją usługę.

Należy jednak zaznaczyć, że zgoda na przetwarzanie szczególnych kategorii danych musi być „wyraźna”, a więc administrator powinien zastosować dalej idące środki w celu potwierdzenia intencji osoby, której dane dotyczą.

Przetwarzanie wrażliwych danych osobowych implikuje także konieczność lepszego ich zabezpieczenia. W porządku ustawowym oznaczało to przynajmniej użycie zabezpieczeń na poziomie podwyższonym. W RODO środki ochrony wywodzi się ze stwierdzonego ryzyka. Zbagatelizowanie czynnika typu przetwarzanych danych podczas prowadzenia analizy ryzyka byłoby jednak uproszczeniem bardzo trudnym do uzasadnienia regulatorowi.

Dane osobowe - kary

Ustawa o ochronie danych osobowych przewidywała maksymalny wymiar kary właśnie za  złe przetwarzanie danych wrażliwych. Za niedopuszczalne lub nieuprawnione przetwarzanie danych zwykłych grozi do 2 lat pozbawienia wolności, natomiast w odniesieniu do katalogu zamkniętego danych wrażliwych – do 3 lat. RODO nie zawiera przepisów karnych. Może je dodać ustawodawca krajowy w ustawie. W projekcie opublikowanym 13 września nie było mowy o dodatkowym penalizowaniu przetwarzania danych szczególnych kategorii. Nie oznacza to jednak, że typ procesowanych danych nie ma już znaczenia ze względu na ewentualną odpowiedzialność administratora. Bezdyskusyjnie charakter danych poddawanych przetwarzaniu wpłynie bowiem na wysokość kar finansowych w ramach przewidzianych treścią ogólnego rozporządzenia.


Sprawdź również:

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.