Dane wrażliwe – jak je prawidłowo przetwarzać

BySylwia Ostrowska

dane wrażliweRODO wyróżnia dwa rodzaje danych osobowych. Dane zwykłe oraz dane szczególnie chronione (zwane danymi wrażliwymi lub sensytywnymi)

Mówiąc o wrażliwych danych osobowych wypada dokładnie określić czym są zwykłe dane osobowe. Poszczególne pojęcia odnajdujemy zarówno w Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (regulacje dotyczące przetwarzania danych osobowych na terenie Unii Europejskiej), jak również w Ustawie o ochronie danych osobowych z dnia 10 maja 2018 roku (czyli regulacji krajowych).

Do danych osobowych zwykłych zaliczamy m.in. imię i nazwisko, adres zamieszkania, numer PESEL czy numer telefonu. Dane wrażliwe to informacje ujawniające m.in.:

 

  • Poglądy polityczne;
  • Przynależność do związków zawodowych;
  • Pochodzenie rasowe;
  • Dane genetyczne;
  • Dane dotyczące zdrowia;
  • Orientacja seksualna;
  • Dane biometryczne;
  • Światopogląd;
  • Pochodzenie etniczne.

Patrząc na szczególny charakter danych wrażliwych, przetwarzanie ich jest w większości sytuacji zabronione. Dotyczy to zarówno przetwarzania w systemach, jak i w formie niezautomatyzowanej. Przepisy prawa przewidują jednak pewne wyjątki od tej zasady.

Dane wrażliwe przetwarzanie ich jest dopuszczalne wtedy, gdy:
  • regulują to przepisy prawne – np. w sytuacjach zagrożenia bezpieczeństwa publicznego;
  • jest to nieuniknione dla ochrony życia, zdrowia lub interesów osoby, której dane dotyczą, lub innej osoby;
  • dane te zostały upublicznione przez osobę, której dotyczą – np. w prasie, w Internecie;
  • osoba, której dane dotyczą, wyraziła pisemną zgodę na ich przetwarzanie – np. kandydat podczas procesu rekrutacji wyraził zgodę na przetwarzanie danych na temat jego zdrowia;
  • wykorzystanie tych danych jest niezbędne w celu dochodzenia praw przed sądem – np. doszło do prześladowania osoby z innym światopoglądem.
Zalecenia RODO do przetwarzania danych wrażliwych

Organizacje przetwarzające dane wrażliwe są zobowiązane przez RODO do wprowadzenia wyższych standardów w zakresie przetwarzania tych danych. Wiąże się to m.in. z prowadzeniem rejestru czynności przetwarzania lub rejestru kategorii czynności, z koniecznością powołania IOD-a, który będzie wspierał Administratorów lub Podmiot Przetwarzające, aby zachowali wymagania określone przez RODO. Obowiązek dotyczy także wdrożenia odpowiednich do ryzyka przetwarzania organizacyjnych i technicznych środków bezpieczeństwa ochrony danych osobowych na podstawie dokonanej analizy np. oceny skutków dla ochrony danych (DPIA_Data Protection Impact Assessment).

W zakresie oceny skutków przetwarzania Administrator zostaje zobowiązany do:
  • opracowania planu działań zabezpieczających dane, które będą przetwarzane;
  • określenia, jaki będzie cel przetwarzania;
  • wskazania, jakie prawnie uzasadnione interesy zrealizuje w związku z przetwarzaniem;
  • wykazania czy operacje przetwarzania są niezbędne i proporcjonalne w stosunku do celów;
  • opracowania protokołu planowanych do wprowadzenia mechanizmów bezpieczeństwa zwiększających ochronę danych osobowych;
  • udzielenia informacji odnośnie do tego, jakie środki zapobiegawcze podejmie w sytuacji zaistnienia ewentualnego zagrożenia bezpieczeństwa przetwarzania;
  • przedstawienia opinii podmiotów zewnętrznych dotyczących ryzyka naruszenia praw lub wolności osób, których dane dotyczą w związku przetwarzaniem.

Wyżej wymienione wiadomości mają obowiązek posiadać Administratorzy danych, gdyż za niestosowne lub nieuprawnione przetwarzanie danych osobowych grozi odpowiedzialność karna. Organ Nadzorczy jako środki karne przewiduje grzywnę i karę ograniczenia lub pozbawienia wolności.

Przetwarzanie danych szczególnie chronionych wymaga powołania Inspektora Ochrony Danych, który ma doświadczenie w procesach przetwarzania tego typu danych. Jeśli Twoja organizacja go nie posiada możemy jej pomóc. ( link do oferty)