Potoczne rozumienie pojęcia wrażliwych danych osobowych nie zawsze jest tożsame ze znaczeniem, jakie temu pojęciu nadają przepisy RODO. Osoby, których dane dotyczą, jako wrażliwe dane często traktują m.in. dane finansowe (np. informacje dotyczące zarobków, wydatków itp.), niektóre dane identyfikacyjne, które kojarzą się z zaciąganiem zobowiązań finansowych (w tym np. numer PESEL, numery dokumentów tożsamości), czy prywatne zdjęcia.
Wrażliwe dane osobowe a RODO
W świetle motywu 51 preambuły RODO jako dane szczególnej kategorii (wrażliwe dane) należy traktować dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, przez co wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności osoby fizycznej.
Jakie to są dane osobowe wrażliwe?
W art. 9 ust. 1 RODO określony został przy tym zamknięty katalog danych osobowych szczególnej kategorii (danych wrażliwych), który obejmuje:
- dane osobowe ujawniające pochodzenie rasowe lub etniczne,
- dane osobowe ujawniające poglądy polityczne,
- dane osobowe ujawniające przekonania religijne lub światopoglądowe,
- dane osobowe ujawniające przynależność do związków zawodowych,
- dane genetyczne,
- dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej,
- dane dotyczące zdrowia osoby fizycznej,
- dane dotyczące seksualności lub orientacji seksualnej osoby fizycznej.
Przepisy RODO nie wprowadzają przy tym osobnej definicji „danych szczególnej kategorii”, czy też „danych wrażliwych”. W kilku miejscach RODO odwołuje się natomiast do pojęcia „szczególnych kategorii danych osobowych” (np. w art. 35 ust. 3 lit. b RODO, który dotyczy obowiązku przeprowadzania oceny skutków dla ochrony danych w przypadku przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO).
Pojęcie „dane wrażliwe” (ang. „sensitive data”) pojawia się natomiast w preambule RODO. Z treści motywu 10 preambuły RODO wynika, że na gruncie RODO pojęcie „danych szczególnej kategorii” jest tożsame z pojęciem „danych wrażliwych”.
Wrażliwe dane w RODO — Kategorie
W RODO zdefiniowano natomiast wprost niektóre kategorie danych wrażliwych:
- dane genetyczne, które oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
- dane dotyczące zdrowia, które oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.
Dane biometryczne RODO
W RODO zdefiniowano także dane biometryczne (dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne), które należy traktować jako dane szczególnej kategorii wówczas, gdy przetwarzane są one w celu jednoznacznego zidentyfikowania osoby fizycznej.
Jakie rodzaje danych osobowych wyróżniają przepisy RODO?
Analiza przepisów RODO wskazuje zasadniczo na dychotomiczny podział danych osobowych, który obejmuje następujące rodzaje danych:
- dane osobowe zwykłe,
- dane osobowe szczególnej kategorii (wrażliwe dane osobowe).
Dane osobowe zwykłe
Dane osobowe zwykłe nie są w żaden sposób zdefiniowane w przepisach RODO. Jako dane osobowe zwykłe należy w związku z tym traktować wszystkie te dane osobowe, które nie zostały wprost wymienione w art. 9 ust. 1 RODO jako dane osobowe szczególnej kategorii.
Dane osobowe dotyczące wyroków skazujących i czynów zabronionych
Niekiedy wyróżnia się jeszcze jako osobny rodzaj danych osobowych, dane dotyczące wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO. Tego rodzaju dane osobowe należy jednak traktować jako specjalną kategorię danych osobowych zwykłych, na co wprost wskazuje treść art. 10 RODO, który w kontekście określania podstaw prawnych przetwarzania takich danych odwołuje się wprost do art. 6 ust. 1 RODO. Dane dotyczące wyroków skazujących i czynów zabronionych nie stanowią zatem „danych wrażliwych”, ponieważ nie zostały one wprost wymienione w art. 9 ust. 1 RODO.
W przypadku tego rodzaju danych należy jednak pamiętać o szczególnym reżimie, jakiemu podlega przetwarzanie tych danych (przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 RODO wolno dokonywać wyłącznie pod nadzorem władz publicznych, lub jeżeli przetwarzanie jest dozwolone prawem UE, lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą).
Wrażliwe dane osobowe. Kiedy mogą być przetwarzane?
W przypadku zwykłych danych osobowych, wystarczające jest legitymowanie się przez administratora danych przynajmniej jedną z przesłanek określonych w art. 6 ust. 1 RODO. W przypadku danych wrażliwych ograniczenie się wyłącznie do jednej z postaw prawnych przetwarzania danych osobowych określonych w art. 6 ust. 1 RODO nie będzie natomiast wystarczające. Zgodnie z art. 9 ust. 1 RODO przetwarzanie wrażliwych danych osobowych jest co do zasady, zabronione. Wyłączenie ogólnego zakazu przetwarzania tego rodzaju danych jest możliwe wyłącznie w przypadku spełnienia jednego z warunków określonych w art. 9 ust. 2 RODO.
Przetwarzanie szczególnych kategorii danych osobowych będzie zatem dopuszczalne, jeżeli:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo UE lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w art. 9 ust. 1 RODO;
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem UE lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa UE lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej, lub zabezpieczenia społecznego na podstawie prawa UE, lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 9 ust. 3 RODO (w ramach tego wyjątku dopuszczalność przetwarzania uzależniona jest od tego, czy dane są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa UE lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe, lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa UE, lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe);
- przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa UE lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
- przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa UE lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Wrażliwe dane osobowe — Podsumowanie
W art. 9 ust. 1 RODO przewidziany został zamknięty katalog szczególnych kategorii danych (danych wrażliwych). Należy w związku z tym pamiętać, że wszelkie inne dane, które nie są wymienione wprost w tym przepisie, nie powinny być traktowane jako wrażliwe dane nawet wówczas, gdy określone kategorie danych (np. dane finansowe) w subiektywnym odczuciu osoby fizycznej są dla niej wrażliwe. Dla zakwalifikowania określonych danych osobowych jako danych wrażliwych w rozumieniu przepisów RODO kluczowe będzie zatem kryterium obiektywne (albo określone dane mieszczą się w katalogu wymienionym w art. 9 ust. 1 RODO, albo nie).
Dopuszczalność przetwarzania szczególnych kategorii danych osobowych powinna być oceniana nie tylko przez pryzmat podstaw prawnych przetwarzania danych osobowych (art. 6 ust. 1 RODO), ale dodatkowo także przez pryzmat warunków określonych w art. 9 ust. 2 RODO, które wyłączają ogólny zakaz przetwarzania tego rodzaju danych. Niewątpliwe wszystkie procesy związane z przetwarzaniem szczególnych kategorii danych osobowych powinny być przy tym skrupulatnie przeanalizowane, mając na uwadze restrykcyjne przepisy oraz poważne ryzyko dla podstawowych praw i wolności osoby fizycznej związane z kontekstem przetwarzania tego rodzaju danych.
Jeśli jesteś zainteresowany wsparciem prawnym przy ocenie dopuszczalności przetwarzania danych osobowych (w tym wrażliwych danych osobowych) lub przy projektowaniu procesów przetwarzania danych związanych z przetwarzaniem wrażliwych danych osobowych (w tym przy przeprowadzeniu oceny skutków dla ochrony danych), zapraszamy do kontaktu. Zachęcamy także do zapoznania się z naszą ofertą bieżącego wsparcia w obszarze ochrony danych osobowych.