Dane wrażliwe – jak je prawidłowo przetwarzać
RODO wyróżnia dwa rodzaje danych osobowych. Dane zwykłe oraz dane szczególnie chronione (zwane danymi wrażliwymi lub sensytywnymi)
Mówiąc o wrażliwych danych osobowych wypada dokładnie określić czym są zwykłe dane osobowe. Poszczególne pojęcia odnajdujemy zarówno w Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (regulacje dotyczące przetwarzania danych osobowych na terenie Unii Europejskiej), jak również w Ustawie o ochronie danych osobowych z dnia 10 maja 2018 roku (czyli regulacji krajowych).
Do danych osobowych zwykłych zaliczamy m.in. imię i nazwisko, adres zamieszkania, numer PESEL czy numer telefonu. Dane wrażliwe to informacje ujawniające m.in.:
- Poglądy polityczne;
- Przynależność do związków zawodowych;
- Pochodzenie rasowe;
- Dane genetyczne;
- Dane dotyczące zdrowia;
- Orientacja seksualna;
- Dane biometryczne;
- Światopogląd;
- Pochodzenie etniczne.
Patrząc na szczególny charakter danych wrażliwych, przetwarzanie ich jest w większości sytuacji zabronione. Dotyczy to zarówno przetwarzania w systemach, jak i w formie niezautomatyzowanej. Przepisy prawa przewidują jednak pewne wyjątki od tej zasady.
Dane wrażliwe przetwarzanie ich jest dopuszczalne wtedy, gdy:
- regulują to przepisy prawne – np. w sytuacjach zagrożenia bezpieczeństwa publicznego;
- jest to nieuniknione dla ochrony życia, zdrowia lub interesów osoby, której dane dotyczą, lub innej osoby;
- dane te zostały upublicznione przez osobę, której dotyczą – np. w prasie, w Internecie;
- osoba, której dane dotyczą, wyraziła pisemną zgodę na ich przetwarzanie – np. kandydat podczas procesu rekrutacji wyraził zgodę na przetwarzanie danych na temat jego zdrowia;
- wykorzystanie tych danych jest niezbędne w celu dochodzenia praw przed sądem – np. doszło do prześladowania osoby z innym światopoglądem.
Zalecenia RODO do przetwarzania danych wrażliwych
Organizacje przetwarzające dane wrażliwe są zobowiązane przez RODO do wprowadzenia wyższych standardów w zakresie przetwarzania tych danych. Wiąże się to m.in. z prowadzeniem rejestru czynności przetwarzania lub rejestru kategorii czynności, z koniecznością powołania IOD-a, który będzie wspierał Administratorów lub Podmiot Przetwarzające, aby zachowali wymagania określone przez RODO. Obowiązek dotyczy także wdrożenia odpowiednich do ryzyka przetwarzania organizacyjnych i technicznych środków bezpieczeństwa ochrony danych osobowych na podstawie dokonanej analizy np. oceny skutków dla ochrony danych (DPIA_Data Protection Impact Assessment).
W zakresie oceny skutków przetwarzania Administrator zostaje zobowiązany do:
- opracowania planu działań zabezpieczających dane, które będą przetwarzane;
- określenia, jaki będzie cel przetwarzania;
- wskazania, jakie prawnie uzasadnione interesy zrealizuje w związku z przetwarzaniem;
- wykazania czy operacje przetwarzania są niezbędne i proporcjonalne w stosunku do celów;
- opracowania protokołu planowanych do wprowadzenia mechanizmów bezpieczeństwa zwiększających ochronę danych osobowych;
- udzielenia informacji odnośnie do tego, jakie środki zapobiegawcze podejmie w sytuacji zaistnienia ewentualnego zagrożenia bezpieczeństwa przetwarzania;
- przedstawienia opinii podmiotów zewnętrznych dotyczących ryzyka naruszenia praw lub wolności osób, których dane dotyczą w związku przetwarzaniem.
Wyżej wymienione wiadomości mają obowiązek posiadać Administratorzy danych, gdyż za niestosowne lub nieuprawnione przetwarzanie danych osobowych grozi odpowiedzialność karna. Organ Nadzorczy jako środki karne przewiduje grzywnę i karę ograniczenia lub pozbawienia wolności.
Przetwarzanie danych szczególnie chronionych wymaga powołania Inspektora Ochrony Danych, który ma doświadczenie w procesach przetwarzania tego typu danych. Jeśli Twoja organizacja go nie posiada możemy jej pomóc. ( link do oferty)