Wrażliwe dane osobowe

Ogólne rozporządzenie o ochronie danych osobowych, czyli RODO wprowadza bardziej restrykcyjne wymagania jeżeli chodzi o tzw. wrażliwe dane osobowe, które RODO nazywa szczególną kategorią danych. Poniżej przedstawiamy komentarz Certyfikatów do przepisów normujących przetwarzanie wrażliwych danych osobowych.

Komentarz certyfikatów

Przepis art. 9 RODO oraz pkt 51, 52, 53 i 54 preambuły odnoszą się do kategorii tzw. danych wrażliwych lub danych szczególnej kategorii. Ponadto, odniesienia do wrażliwych danych osobowych znajdziemy również w art. 22 ust. 4, 27 ust. 2, 35 ust. 3, 37 ust. 1 RODO oraz pkt 71, 80, 91, 97preambuły RODO.

Wrażliwe dane osobowe to między innymi dane:

– ujawniające pochodzenie rasowe bądź etniczne,

– ujawniające poglądy polityczne,

– dotyczące przekonań religijnych lub światopoglądowych,

– odnoszące się do przynależności do związków zawodowych,

– genetyczne,

– biometryczne,

– o stanie zdrowia,

– o orientacji seksualnej.

Zakres wrażliwych danych osobowych jest więc szeroki i obejmuje zarówno informacje nierozerwalnie związane z daną osobą (np. dane genetyczne, pochodzenie rasowe), jak i nabyte lub związane z jej działalności (np. przynależność do związków zawodowych, światopogląd).

Przykładowe wrażliwe dane osobowe

W zakresie poszczególnych danych wrażliwych mogą wchodzić, przykładowo, następujące informacje:

  1. W zakresie stanu zdrowia – przebyte choroby, stwierdzone diagnozy, planowane zabiegi medyczne oraz przepisane lekarstwa,

  2. W zakresie danych biometrycznych – odciski palców, głos, obraz tęczówki oka, odcisk stopy lub dłoni, grupa krwi,

  3. W zakresie przynależności do związków zawodowych – historia przynależności, pełnione w związku zawodowym funkcje,

  4. W zakresie przekonań religijnych – wyznanie, uczestnictwo w nabożeństwach lub ceremoniach religijnych, obchodzenie świąt właściwych dla danego wyznania.

Regulacja RODO

RODO co do zasady zabrania przetwarzania wrażliwych danych osobowych. Jednocześnie, w celu zgodnego z prawem ich przetwarzania wymagane jest, aby przetwarzanie szczególnych kategorii danych osobowych miało szczególną podstawę prawną. Podstawy prawne zostały określone w art. 9 RODO. Krótko omówimy 3 z nich.

  1. Zgoda osoby, które dane dotyczą. RODO umożliwia przetwarzanie wrażliwych danych osobowych na podstawie zgody. O warunkach wyrażenia zgody pisaliśmy w tekście „Zgoda na przetwarzanie danych osobowych” – warunki te są aktualne również dla zgody na przetwarzanie danych wrażliwych. Zgoda na przetwarzanie wrażliwych danych osobowych musi być wyraźna, co oznacza że nie można jej domniemywać z innych oświadczeń.
  2. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody. Z taką sytuacją będziemy mieli w szczególności do czynienia w sytuacjach zagrożenia zdrowia i życia. Osoba samodzielnie nie będzie mogła wyrazić zgody na przetwarzanie danych wrażliwych z uwagi na jej stan zdrowia, ale lekarze czy inne osoby udzielające jej pomocy będą mogły pozyskać i wykorzystać takie dane.
  3. Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą. Przetwarzanie wrażliwych danych osobowych opartych na tej podstawie może mieć miejsce w wielu sytuacjach. Jako przykład wystarczy podać sytuacje, w której redakcja prasowa przetwarza dane osobowe premiera czy polityka. Z uwagi na upublicznienie przez nich samych danych o swoim światopoglądzie, przetwarzanie takich danych będzie dozwolone.

Nie mniej jednak, zgodnie z ust. 9 ust. 4 RODO, Państwa Członkowskie mogą ograniczyć przetwarzanie wrażliwych danych osobowych. Z naszych informacji wynika, że Polska nie planuje tego zrobić.

Artykuł 9

Przetwarzanie szczególnych kategorii danych osobowych

art. 9 ust. 1 

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

art. 9 ust. 2

Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

art. 9 ust. 3

Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.

art. 9 ust. 4

Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

One comment

  1. Pytanie: Jak sie maja wymogi RODO dotyczace tzw. danych wrazliwych oraz szczegolnych (tj. wyznaniem praktyki religijne i swiatopoglag) do niemieckiego systemu podatkowego, nakladajacego na pracodawce uzyskanie od pracownika informacji o jego wyznaniu oraz przekazanie jej do urzedu skarbowego (Finanzamt), celem nalozenia na niego podatku koscielnego. Nawiasem mowiac, podatek ten, w zaleznosci od landu dotyczy takze odsetek od zgromadzonych oszczednosci na koncie oraz ewent. od nieruchomosci!
    Czy ktos potrafi odpowiedziec na pytanie, czy mozna nie udzielic informacji o wyznaniu powolujac sie na RODO?

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *