RODO kojarzy się (pozytywnie lub negatywnie) z ochroną danych osobowych. Ta ochrona nie jest jednak równa. Są pewne dane, których przetwarzanie podlega bardziej wyśrubowanym wymogom.
Sprawdź czym są szczególne kategorie danych osobowych i kiedy możesz je przetwarzać.
Czym są dane osobowe szczególnej kategorii?
Jeśli miałeś już okazję czytać RODO i masz wrażenie, że wszystko napisane jest tam „dookoła”, to Cię zaskoczę. RODO precyzyjnie i jasno wskazuje, czym są dane osobowe szczególnej kategorii.
Mówi o tym, artykuł 9 ustęp 1 RODO. Ale nie musisz szukać tych informacji w Rozporządzeniu. Oto one.
Uwaga
Szczególne kategorie danych, są potocznie nazywane „danymi wrażliwymi” lub „danymi sensytywnymi”.
Pozwól, że również od czasu do czasu użyję tych stwierdzeń.
Szczególne kategorie danych do dane, które ujawniają:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych.
Zaliczają się do nich również dane:
- genetyczne,
- biometryczne,
- dotyczące zdrowia,
- dotyczące seksualności i orientacji seksualnej.
Przykład
W przychodni lekarza rodzinnego są kartoteki pacjentów. Zawierają dane osobowe, takie jak historia choroby, wyniki badań. To są dane dotyczące zdrowia, a więc należą do szczególnej kategorii danych.
Przykład
W dużej spółce działa związek zawodowy. Przekazuje on do działu kadr spółki informacje o tym, kto jest członkiem związku zawodowe. Na podstawie tych informacji pracodawca potrąca z wynagrodzenia pracowników (członków związku) składki członkowskie.
Jednocześnie dostaje informację o przynależności pracowników do związków zawodowych. Informacje te należą do szczególnej kategorii danych.
Przykład
Klient kupuje w księgarni internetowej „Mein Kampf” Adolfa Hitlera. Zarówno książki, jak i autora nie trzeba przedstawiać. Czy zatem księgarnia pozyskała w ten sposób dane o poglądach politycznych czytelnika?
Nie!
Oczywiście można podejrzewać, że kupujący ma skłonności nazistowskie. Równie dobrze jednak klient może być pasjonatem historii lub zrobić komuś taki prezent dla żartu.
Informacja o zakupie takiej książki nie jest informacją o poglądach politycznych i nie należy do szczególnej kategorią danych.
Kiedy można przetwarzać szczególne kategorie danych?
RODO mówi, że:
Zabrania się przetwarzania (szczególnych kategorii) danych osobowych…
…ale spokojnie. Chwilę potem jest lista wyjątków. W artykule 9 ustęp 2 RODO, wymienionych jest 10 „warunków”. Spełnienie któregoś z nich (prawie) pozwali Ci przetwarzać dane szczególnej kategorii.
Uwaga
Poniższe „warunki” należy rozumieć, tak jak przedstawia je RODO. Są to wyjątki od reguły.
Regułą jest zakaz przetwarzania szczególnych kategorii danych.
1. Wyraźna zgoda na przetwarzanie szczególnych kategorii danych
Osoba, której dane dotyczą musi Ci takiej zgody udzielić, być mógł przetwarzać jej dane szczególnej kategorii. Co znaczy, że zgoda jest wyraźna (takiego zastrzeżenia nie ma przy danych zwykłych)? Oznacza to, że nie może ona budzić żadnych wątpliwości, np.
– będzie wyraźnym oświadczeniem woli,
– będziesz mieć pewność, że udziela Ci jej osoba, której dane dotyczą.
Zgoda ta musi być również udzielona na konkretne cele przetwarzania.
Uwaga
RODO przewiduje, że mogą istnieć przepisy unijne lub krajowe, które nie pozwalają na przetwarzanie danych szczególnej kategorii, nawet jeśli osoba wyrazi na to zgodę!
2. Obowiązek wynikający z prawa pracy, zabezpieczenia społecznego i ochrony socjalnej
Jeśli jesteś pracodawcą, to istnieje szereg przepisów, które nakazują Ci przetwarzanie danych osobowych. Wśród nich są również dane należące do szczególnej kategorii. Jeśli przepisy nakazują Ci przetwarzanie takich danych, to spełniasz warunek do przetwarzania danych wrażliwych.
3. Ochrona żywotnych interesów osoby
Przetwarzanie danych wrażliwych jest możliwe, jeśli zagrożone są żywotne interesy osoby, której dane przetwarzasz lub innej osoby.
A czym są żywotne interesy? To kwestie o szczególnym znaczeniu dla osoby, np. zdrowie i życie. A więc przetwarzanie szczególnych kategorii danych będzie możliwe w sytuacjach klęsk żywiołowych, czy humanitarnych, epidemii, czy innych sytuacjach związanych z zagrożeniem życia lub zdrowia. Do kwestii o szczególnym znaczeniu, mogą być również zaliczone interesy majątkowe.
Podejmując decyzje o przetwarzaniu danych wrażliwych w takiej sytuacji musisz ocenić, co jest ważniejsze w konkretnym przypadku. Interes osoby, czy prawo do ochrony danych.
RODO stawia jeszcze jeden warunek. Osoba, której dane dotyczą fizycznie lub prawnie niezdolna do wyrażenia zgody na przetwarzanie jej danych. Na przykład dlatego, że nie ma możliwość skontaktowania się z nią.
4. Fundacje, stowarzyszenia i inne podmioty działające „niezarobkowo”
Jeśli Twoja działalność to:
- fundacja,
- stowarzyszenie,
- inna organizacja działająca „niezarobkowo” w zakresie politycznym, religijnym, światopoglądowym lub związkowym,
i chcesz przetwarzać dane wrażliwe w ramach Twojej uprawnionej działalności, to masz taką możliwość.
Mogą to być jednak tylko dane członków i byłych członków organizacji lub osób, które utrzymują z nią stałe kontakty (związane z celem działalności organizacji). Tych danych nie możesz ujawniać poza organizacją chyba, że masz na to zgodę osoby, której dotyczą.
Przykład
Partia polityczna przetwarza dane swoich członków. Siłą rzeczy są to również dane o przynależności partyjnej, a więc dane wrażliwe.
Tu wyjaśnienia wymaga jeszcze kwestia działalności „niezarobkowej”. Wiele fundacji i stowarzyszeń prowadzi działalność gospodarczą. Świadczą usługi, wystawiają faktury i dostają za to pieniądze. Można to uznać za działalność zarobkową. Jednak sformułowanie „niezarobkowa” miało tutaj inny cel. Chodziło o organizacje nienastawione na zysk.
5. Dane upublicznione przez osobę, której dotyczą
Jeśli osoba, której dane dotyczą upubliczni swoje dane wrażliwe, to masz szansę przetwarzać je zgodnie z prawem. Musisz jednak dobrze zrozumieć, czym jest upublicznienie. Chodzi o to, że dane stają się dostępne dla potencjalnie nieograniczonej liczby osób. Tak dzieje się na przykład, gdy informacja jest ogłoszona w radio, telewizji, prasie, czy w jakimś ogólnie dostępnym miejscu w internecie (np. profil na Facebooku).
I podkreślę jeszcze raz. Upublicznić je musi osoba, której dane dotyczą.
Przykład
Osoba w programie telewizyjnym ujawnia swoją orientację seksualną. Informacje jest dostępna, dla potencjalnie nieograniczonej liczby osób. To jest upublicznienie, przez osobę, której dane dotyczą.
Przykład
Prezes firmy informuje swoich pracowników, że rezygnuje z dalszego zarządzania firmą i przekazuje je swojemu następcy, bo jest ciężko chory. Informację podaje osoba, której dane dotyczą. Ale podaje ją w wąski gronie. To nie jest upublicznienie.
6. Roszczenia, wymiar sprawiedliwości
Chcesz dochodzić roszczeń lub bronić się przed nimi? Jest możliwość przetwarzania danych wrażliwych w takim przypadku.
Do przetwarzania szczególnych kategorii danych osobowych może dojść „w ramach sprawowania wymiaru sprawiedliwości przez sądy”.
7. Ważny interes publiczny
Na podstawie tej przesłanki dane wrażliwe można przetwarzać tylko realizując „ważny interes publiczny”. Na takie przetwarzanie musi pozwalać prawo Unii Europejskiej lub przepisy w danym kraju (który jest członkiem Unii).
Trzeba przy tym zagwarantować odpowiednią ochronę praw i wolności osoby, której dane przetwarzasz.
8. Cele związane ze zdrowiem
Jeśli przetwarzaniem danych osobowych jest związane ze kwestiami zdrowotnymi, to również znajdziesz możliwość by je przetwarzać.
RODO dopuszcza przetwarzanie danych osobowych w kwestiach zdrowotnych takich jak:
- profilaktyka zdrowotna (np. przetwarzanie w związku z prowadzeniem badań profilaktycznych,
- zatrudnienie (np. ocena zdolności do pracy, kwestie chorób zawodowych czy wypadków przy pracy),
- zapewnienie opieki zdrowotnej – np. diagnostyka i leczenie
- zapewnienie zabezpieczanie społecznego, czyli sprawy związane z rentami, emeryturami, itp.
- zarządzanie systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.
Trzeba jednak spełnić dodatkowe warunki. Przetwarzanie danych wrażliwych w powyższych sytuacjach musi opierać się o:
- krajowy lub unijny przepis prawa, lub
- umowę z pracownikiem służby zdrowia (osobą stanowiącą personel medyczny) i zobowiązaną do zachowania tajemnicy zawodowej.
9. Interes publiczny w dziedzinie zdrowia publicznego
Dane wrażliwe możesz przetwarzać, jeśli jest to niezbędne „ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego”.
O interesie publicznym i zdrowiu już wspominałem. Jednak połączenie tych dwóch kwestii, RODO wskazuje jako sytuację szczególną.
Ten zapis dotyczy takich sytuacji jak:
- poważne transgraniczne zagrożenia zdrowotne (takim jest np. epidemia koronawirusa),
- nadzór nad jakością świadczenia medycznych,
- nadzór nad jakością wyrobów medycznych.
Tu również pojawiają się dodatkowe warunki – oparcie o krajowy lub unijny przepis prawa i tajemnicę zawodową.
10. Cele archiwalne w interesie publicznym, badania naukowe, cel statystyczny
Ostatnia przesłanka, dzięki której można przetwarzać dane wrażliwe mówi o celach archiwalnych (w interesie publicznym), badaniach naukowych i celu statystycznym.
Podobnie jak we wcześniejszych przypadkach tu również musi istnieć przepis (krajowy lub unijny), który dopuszcza przetwarzanie takich danych. I znowu przetwarzając dane wrażliwe, musisz je odpowiednio zabezpieczyć i zapewnić ochronę praw osób, których dane przetwarzasz.
Czy spełniające jeden z tych warunków możesz już swobodnie przetwarzać szczególne kategorie danych?
Spełniasz warunki przetwarzania danych wrażliwych? To nie wystarczy.
Oprócz warunków wymienionych w artykule 9 ustęp 2 RODO, pojawiają się jeszcze dodatkowe wymagania. Przetwarzając dane wrażliwe musisz:
- Prowadzić rejestr czynności przetwarzania,
- Ograniczyć zautomatyzowane podejmowanie decyzji w oparciu o te dane,
- Wyznaczyć Inspektora ochrony danych (jeśli przetwarzasz dane wrażliwe na dużą skalę),
- Przeprowadzić ocenę skutków dla ochrony danych.
I na koniec smaczek.
Istnieje pogląd, który mówi, że warunki wymienione w artykule 9 ustęp 2 RODO (te 10, o których pisałem wcześniej) nie są wystarczające.
Za każdym z tych warunków musi stać jeszcze spełnienie przesłanki z artykułu 6 RODO. Czyli musisz wpierw mieć ogólną przesłankę do przetwarzania danych osobowych. Jeśli ją znajdziesz, to uzupełniasz ją przesłanką szczególną dla danych wrażliwych (czyli tą z artykułu 9 ustęp 2 RODO).
Takie podejście nie jest popularne w Polsce, ale w wielu krajach Europy właśnie tak się do tego podchodzi.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.