Co to są dane osobowe wrażliwe i jakie warunki trzeba spełnić, by je legalnie przetwarzać

RODO nie posługuje się pojęciem „danych wrażliwych”, które było obecne w dotychczasowej ustawie o ochronie danych osobowych. Temu pojęciu odpowiada jednak uregulowana w art. 9 i 10 RODO grupa tzw. szczególnych kategorii danych osobowych.

Do tej szczególnej grupy należą:

  • dane osobowe ujawniające:
    –    pochodzenie rasowe lub etniczne,
    –    poglądy polityczne,
    –    przekonania religijne lub światopoglądowe,
    –    przynależność do związków zawodowych;
  • dane dotyczące:
    –    zdrowia,
    –    seksualności lub orientacji seksualnej;
  • dane genetyczne i dane biometryczne służące jednoznacznemu zidentyfikowaniu osoby fizycznej.

Katalog ten ma charakter zamknięty, tzn. żadne innego rodzaju dane nie będą uznawane w świetle RODO za dane wrażliwe.

Warto zwrócić uwagę na to, że w RODO użyto pojęcia danych „dotyczących zdrowia”, co jest pojęciem nieco odmiennym od pojęcia „danych o stanie zdrowia”, które zostało użyte w art. 27 ust. 1 obecnej ustawy o ochronie danych osobowych (ustawa z dnia 29 sierpnia 1997 r.). Artykuł 4 pkt 15 RODO wskazuje, że dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym, w tym dane o korzystaniu z usług opieki zdrowotnej, jeśli ujawniają informacje o stanie zdrowia konkretnej osoby. Z powyższego można wnioskować, że informacja o korzystaniu z pewnych usług opieki zdrowotnej może być daną szczególnie chronioną, jeśli z samego rodzaju usługi można wywnioskować o stanie zdrowia konkretnej osoby. Przykładowo, posiadanie wiedzy o skorzystaniu z usług prześwietlenia RTG kolana nasuwa wnioski o problemach ortopedycznych. Będzie to zatem szczególna kategoria danych na gruncie RODO.

W poprzedniej ustawie o ochronie danych osobowych w katalogu „danych wrażliwych” wymieniane były również dane o nałogach. W art. 9 RODO nie znajduje się ta kategoria. Należy jednak dane o nałogach zakwalifikować do pojęcia „dane o stanie zdrowia”.

Jeśli chodzi o dane genetyczne, to art. 4 pkt 13 RODO stanowi, iż są to dane osobowe dotyczące cech genetycznych, które ujawniają niepowtarzalne informacje o fizjo­logii lub zdrowiu konkretnej osoby. Dane te mogą w szczególności wynikać z analizy próbki biologicznej. Chodzi tu więc przede wszystkim o informacje o kodzie DNA i RNA.

Dane biometryczne w rozumieniu art. 4 pkt 14 RODO – to dane, które spełniają jednocześnie trzy warunki:

  • wynikają ze specjalnego przetwarzania technicznego,
  • dotyczą cech fizycznych, fizjologicznych lub behawioralnych oraz
  • umożliwiają jednoznaczną identyfikację osoby.

Przykładem danych biometrycznych jest wizerunek oraz dane daktyloskopijne (odciski palców). Inne przykłady danych biometrycznych to: cechy siatkówki oka, geometria twarzy, geometria dłoni.

Należy zwrócić uwagę na to, że art. 9 RODO (patrz opis poniżej), czyli zasady przetwarzania danych wrażliwych, będzie miał zastosowanie do danych biometrycznych tylko w przypadku spełnienia wszystkich trzech wyżej wymienionych warunków łącznie. Ma to znaczenie w szczególności dla użytku fotografii w różnych sytuacjach życiowych. Motyw 51 preambuły do RODO wyjaśnia, że choć fotografia może wydawać się daną biometryczną (zawiera wizerunek), to nie każde użycie fotografii będzie stanowiło przetwarzanie danych wrażliwych. Aby przetwarzanie fotografii było równoznaczne z przetwarzaniem danych biometrycznych, musi być dokonywane specjalnymi metodami technicznymi umożliwiającymi identyfikację lub potwierdzenie tożsamości osoby fizycznej. Tego warunku nie spełnia czynność patrzenia przez człowieka (np. pracownika ochrony) na fotografię w dowodzie osobistym w celu identyfikacji osoby wchodzącej na teren przedsiębiorstwa. Przetwarzanie danych biometrycznych będzie podlegało reżimowi art. 9 RODO, gdy urządzenia techniczne będą w stanie na podstawie fotografii zidentyfikować lub potwierdzić tożsamość osoby.

Innym przykładem może być czynność przechowywania przez pracodawcę akt osobowych pracowników zawierających zdjęcia. Fakt, że pracodawca przechowuje wizerunek pracownika, nie oznacza jeszcze, że przetwarza dane wrażliwe w postaci danych biometrycznych. Aby podpadać pod kategorię przetwarzania danych biometrycznych, pracodawca musiałby używać specjalnych technologii umożliwiających identyfikację osób na podstawie ich wizerunku.

Kolejną zmianą w stosunku do poprzedniej ustawy o ochronie danych osobowych jest wyłączenie z katalogu danych wrażliwych informacji o przynależności partyjnej oraz informacji o przynależności wyznaniowej. Na gruncie RODO takie informacje nie są szczególną kategorią danych, chociaż są nimi informacje o poglądach politycznych oraz o przekonaniach religijnych lub światopoglądowych. Daną wrażliwą pozostaje natomiast informacja o przynależności do związków zawodowych.

Powyższych danych osobowych zasadniczo nie wolno przetwarzać. Przetwarzanie ww. szczególnych kategorii danych będzie możliwe jedynie w drodze wyjątku, w razie spełnienia co najmniej jednego z poniższych warunków[1]:

1. Osoba, której dane dotyczą, wyraziła wyraźną zgodę. Nie musi to być zgoda pisemna, co stanowi zmianę w stosunku do poprzednich regulacji. Na gruncie RODO będzie więc możliwe pobieranie zgody elektronicznej (np. poprzez zaznaczenie checkboxa) na przetwarzanie danych wrażliwych. Może to mieć spore znaczenie dla sektora medycznego oraz branży tytoniowej.

RODO stawia wymóg, by zgoda na przetwarzanie danych wrażliwych była wyraźna, konkretna, jednoznaczna. Nie może być wątpliwości, kto i na co wyraził zgodę. Ciężar udowodnienia takiej zgody spoczywa na administratorze. Istotne jest również, że skoro zgoda ma być wyraźna, to nie może mieć ona postaci „przyjęcia do wiadomości”.

Nieskuteczne byłoby więc np. postanowienie w regulaminie użytkowania portalu społecznościowego o treści „użytkownik przyjmuje do wiadomości, że właściciel portalu może gromadzić i przetwarzać dane o poglądach politycznych i religijnych użytkowników w celu dobierania reklam do preferencji użytkownika”.

Ponadto do „zgody wyraźnej” stosuje się również wymogi wymienione w RODO co do „zgody zwykłej” (na przetwarzanie danych osobowych zwykłych). Jednym z takich wymogów jest dobrowolność. RODO wskazuje, że w stosunkach pracy nie zawsze po stronie pracownika istnieje dobrowolność co do faktu wyrażenia zgody. Jeśli brak zgody może powodować dla pracownika negatywne konsekwencje (np. zwolnienie z pracy), to takiej zgody nie można uważać za dobrowolną. Powyższe ma przełożenie na praktykę i rzeczywiste sytuacje.[2]
 

Przykład

Kilka lat temu przed Naczelnym Sądem Administracyjnym była rozpatrywana sprawa, w której pracodawca chciał wykorzystać kontrolę linii papilarnych (a więc dane biometryczne, tj. dane wrażliwe) w celu ewidencjonowania czasu pracy. Pracownicy mieli wybór, czy do celów ewidencji wejść i wyjść oraz do celów szczegółowej ewidencji czasu pracy chcą korzystać z czytników linii papilarnych, czy z kart elektronicznych. NSA uznał, że w tym przypadku zgoda pracowników nie była wyrażana w sposób w pełni dobrowolny. Pracownicy znajdowali się pod presją pracodawcy. Ponadto NSA wskazał, że środek techniczny w postaci analizy linii papilarnych jest środkiem zbyt daleko idącym w stosunku do celu, który chce się osiągnąć, tj. ewidencji czasu pracy.


2. W dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony społecznej – jeśli przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego lub wykonywania szczególnych praw administratora danych lub osoby, której dane dotyczą (jeśli jest to dozwolone prawem UE lub prawem krajowym).
 

Przykład

Prawo pracy w niektórych przypadkach nakazuje pracodawcy konsultować ze związkiem zawodowym zamiar zwolnienia danego pracownika. W tym przypadku przetwarzana będzie dana wrażliwa o przynależności pracownika do związku, jednak jest to niezbędne do wypełnienia obowiązku prawnego przez pracodawcę.


3. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby fizycznej – chodzi o osobę, której dotyczą dane, ale także o osobę trzecią, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.
 

Przykład

Osoba uległa wypadkowi samochodowemu i jest nieprzytomna. Inna osoba telefonuje na policję i posługuje się danymi osoby poszkodowanej, w tym informacjami o stanie jej zdrowia.

4.   Przetwarzanie przez fundacje, stowarzyszenia, organizacje religijne, polityczne i inne tego typu podmioty na ich cele statutowe, przy czym przetwarzanie to dotyczy tylko członków takiej organizacji lub osób na stałe z nią związanych (np. wolontariusze) i dane nie są ujawniane żadnemu podmiotowi zewnętrznemu (chyba że za zgodą danej osoby).

5.   Dane zostały w sposób oczywisty upublicznione przez osobę, której dane dotyczą.
 

Przykład

Post na portalu społecznościowym Facebook zawierający zdjęcie ze szpitala i ujawniający konkretną chorobę użytkownika będzie z pewnością upub­licznieniem własnych danych wrażliwych. Innego rodzaju upublicznienie to np. napisanie tzw. listu otwartego do redakcji jakiejś gazety, w którym upublicznia się informacje o swoich poglądach politycznych.


6. Przetwarzanie jest niezbędne do dochodzenia roszczeń przed sądem, przy czym sąd powinien być tu rozumiany szeroko – również sąd administracyjny czy arbitrażowy.

7. Przetwarzanie jest niezbędne w związku z ważnym interesem publicznym, a ma miejsce na podstawie przepisu prawa, przy czym zachowane są gwarancje podstawowych interesów osoby, której dane dotyczą. RODO zatem stanowi, że szczególny przepis prawa może być podstawą do przetwarzania danych wrażliwych, ale należałoby w każdym takim przypadku stwierdzić, czy zachowana została tzw. zasada proporcjonalności wynikająca z Konstytucji. Zasada ta stanowi o tym, że konkretny interes publiczny, który uzasadnia wprowadzenie danego przepisu do porządku prawnego, musi być porównany z interesami osoby, która ma podać swoje dane osobowe. Jeśli interesy prywatne okazują się w konkretnej sytuacji bardziej ważące, wówczas przepis prawa wprowadzający daną regulację w celu ochrony interesu publicznego będzie niekonstytucyjny.

8. Przetwarzanie na cele profilaktyki zdrowotnej lub medycyny pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego – przy czym może to być wykonywane tylko przez pracownika (lub inną osobę) podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa. Na gruncie polskiego prawa lekarze, lekarze dentyści, pielęgniarki, fizjoterapeuci są ustawowo zobowiązani do zachowania tajemnicy zawodowej.

9.   Przetwarzanie jest niezbędne w związku z interesem publicznym w dziedzinie zdrowia publicznego, np. w przypadku konieczności ochrony przed poważnymi transgranicznymi zagrożeniami chorobami zakaźnymi.

10. Przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub do celów statystycznych, a ma miejsce na podstawie przepisu prawa, przy czym zachowane są gwarancje podstawowych interesów osoby, której dane dotyczą.

Grupą danych, których przetwarzanie podlega szczególnym regułom, są także dane dotyczące wyroków skazujących i naruszeń prawa. Artykuł 10 RODO wskazuje, że przetwarzanie takich danych może być dokonywane wyłącznie pod nadzorem władz publicznych lub na podstawie konkretnego przepisu prawa. W Polsce przykładem takiego przetwarzania może być Krajowy Rejestr Karny, w którym można zaczerpnąć informacji o ewentualnym skazaniu danej osoby w przeszłości.

 

[1] Dla przejrzystości przekazu poszczególne sytuacje, w których można przetwarzać dane szczególne, opisane są w niniejszym opracowaniu w sposób nieco uproszczony w porównaniu do tekstu oryginalnego RODO. Jeśli czytelnik zamierza przetwarzać dane szczególne w którejś z ww. sytuacji, zaleca się sięgnięcie do oryginalnego tekstu RODO.

[2] Sprawa przed NSA zakończona wyrokiem z dnia 6 września 2011 roku, I OSK 1476/10.