Dane wrażliwe-jak je rozumieć i chronić

Nasze dane, w tym te wrażliwe są narażone na kradzież, ujawnienie lub cyberataki, których głównym rezultatem są wycieki danych. Dużo mówi się o ochronie danych osobowych, jednak niewielka ilość osób tak naprawdę wie, w jaki sposób je chronić. Choć cyberprzestępczość posiada swoje regulacje w Kodeksie Karnym, to liczba ataków hackerskich na polskie instytucje i firmy drastycznie wzrosła. Warto dowiedzieć się czym dokładnie są dane wrażliwe i w jaki sposób możemy uchronić się przed ich wyciekiem, kradzieżą lub atakiem hackerskim.

Czym są dane wrażliwe?

Dane wrażliwe inaczej nazywane danymi sensytywnymi często mylone są z danymi takimi jak pesel czy imię i nazwisko. Tych danych nie zaliczamy do grupy danych wrażliwych. Dane osobowe zwykłe umożliwiają identyfikację konkretnej osoby i tyczą się jej personaliów, numeru identyfikacyjnego PESEL, czy danych o lokalizacji. Wrażliwe dane dotyczą prywatnej i osobistej sfery każdego człowieka i wymagają szczególnej ochrony. Według art. 9 RODO do tego rodzaju danych osobowych zalicza się nasze poglądy polityczne, pochodzenie etniczne lub rasowe, nasz światopogląd oraz przekonania religijne, przynależność do związków zawodowych, a także dane dotyczące naszego zdrowia, orientacji seksualnej i seksualności oraz dane biometryczne i genetyczne. Dane wrażliwe, każdej osoby, której dotyczą należy chronić przed nieuprawnionym dostępem innych osób. W ten sposób ochrania się bezpieczeństwo i prywatność konkretnych osób. Jeśli instytucja nie zadba o szczególną ochronę poufnych informacji, może dojść do wycieku danych, lub nielegalnego handlu danymi. Co oczywiście także może skutkować nałożeniem kary finansowej przez UODO.

RODO, ochrona danych wrażliwych i sankcje karne

W Polsce ochrona danych osobowych obejmujących dane wrażliwe jest regulowana na mocy Ogólnego Rozporządzenia o Ochronie Danych Osobowych, czyli RODO. Regulacje zawarte w RODO dotyczą przetwarzania danych na terenie całej Unii Europejskiej. Oprócz tego regulacje krajowe są zawarte w ustawie o ochronie danych osobowych z 10 maja 2018 i dotyczą wszelkich instytucji, firm i przedsiębiorstw gromadzących i przetwarzających dane wrażliwe od osób fizycznych. Każda instytucja ma w obowiązku chronić poufne dane i zwracać szczególną uwagę, jakie informacje i komu udostepnia. Wszystkie firmy, które nie honorują wymogów uregulowanych w RODO, mogą spodziewać się poważnych konsekwencji. Osoby, które nie posiadają prawa do ujawniania pochodzenia rasowego lub etnicznego, poglądów politycznych i przekonań światopoglądowych, a także przynależności do związków zawodowych oraz przetwarzania danych biometrycznych, danych dotyczących zdrowia i seksualności konkretnej osoby, a mimo to ujawniają tego typu informacje, podlegają karom finansowym do 10 lub 20 milionów euro w zależności od obrotu firmy, karze grzywny, ograniczenia wolności lub pozbawienia wolności na okres maksymalnie 3 lat.

Przetwarzanie danych wrażliwych

Dane wrażliwe przetwarza się nie tylko poprzez wyrażenie zgody osoby, której dotyczą, ale także na podstawie przepisu prawa. Przedsiębiorcy mogą korzystać z informacji poufnych konkretnej osoby, jeśli ta wyraziła wyraźną zgodę na ich przetwarzanie. Także przykładowo, jeśli potencjalny pracownik podczas rozmowy kwalifikacyjnej z własnej woli i inicjatywy przekazał pracodawcy informacje dotyczące jego stanu zdrowia i podpisał stosowne oświadczenie ze zgodą na przetwarzanie danych wrażliwych, to pracodawca może zachować taką informację w bazie. Instytucje mogą również korzystać z informacji poufnych, jeśli są one niezbędne do wypełnienia obowiązków konkretnej instytucji, np. w kwestii zabezpieczeń społecznych lub ochrony socjalnej, gdzie dane wrażliwe umożliwiają określenie stopnia niepełnosprawności, a instytucja na tej podstawie przyznaje odpowiednią rentę. Wykorzystanie poufnych danych jest również niezbędne w sytuacji, w której osoba dochodzi swoich praw przed sądem. Przykładowo, jeśli doszło do szykanowania osoby z powodu jej wyznania, pochodzenia rasowego lub orientacji seksualnej. Ostatnią możliwą przesłanką jest sytuacja, w której konkretna osoba świadomie i otwarcie mówi o swoim wyznaniu lub seksualności np. w wywiadach.

Jak chronić swoje dane wrażliwe?

Sami decydujemy kto i w jakich warunkach może przetwarzać nasze dane wrażliwe. Decydując się np. na podpisanie odpowiedniego oświadczenia, każda firma ma w obowiązku dbanie i zabezpieczanie danych poufnych przed nieuprawnionym dostępem innych osób. Warto pamiętać, że dane osobowe w tym wrażliwe znajdujące się w bazie danych jakiejkolwiek jednostki, mogą stać się celem cyberataku. Nawet największe instytucje rządowe, państwowe, banki i pionierzy w dziedzinie technologii odnotowały w historii wycieki danych swoich klientów. Aby zminimalizować ryzyko kradzieży własnych danych i poufnych informacji, warto regularnie zmieniać swoje hasła. Należy zwracać szczególną uwagę na wszystkie maile i SMSy zachęcające do klikania w linki. Należy także dobrze przemyśleć podanie swoich danych konkretnej instytucji.

Kara od UODO za ujawnienie danych wrażliwych

Tak jak pisaliśmy powyżej, każda instytucja ma w obowiązku chronić poufne dane. Musi zwracać szczególną uwagę, jakie informacje i komu udostępnia. Nieprawidłowe ich przetwarzanie może doprowadzić do nieumyślnego ich udostępnienia bądź ujawnienia. Taka sytuacja może doprowadzić do nałożenia na organizację kary przez UODO. Karę taką w wysokości 10 tys. zł nałożył Urząd Ochrony Danych Osobowych na Uniwersyteckie Centrum Kliniczne Warszawskiego Uniwersytetu Medycznego za ujawnienie danych pacjenta. Z pełną decyzją UODO można zapoznać się pod linkiem https://uodo.gov.pl/pl/138/2472