Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe są przekazywane dobrowolnie i będą przetwarzane wyłącznie w celu przesyłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Zwykłe dane osobowe, a dane wrażliwe

Ustawa o ochronie danych osobowych wyróżnia dwa rodzaje danych osobowych. Są to dane zwykłe oraz dane szczególnie chronione (zwane częściej danymi wrażliwymi lub sensytywnymi). Czym różnią się od siebie te dwa rodzaje informacji? Po spełnieniu jakich przesłanek możemy przetwarzać dane zwykłe oraz dane wrażliwe? Jak zabezpieczyć obie grupy danych osobowych? Odpowiedzi na te pytania znajdą Państwo w niniejszym artykule.

Dane umożliwiające identyfikację

Dane osobowe zwykłe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobę uznaje się za możliwą do zidentyfikowania, jeśli istnieje szansa określenia jej tożsamości – w sposób bezpośredni lub pośredni. Służy temu w szczególności powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ustawy o ochronie danych osobowych). Danymi osobowymi zatem nie będą informacja zbyt ogólnikowe, np. Jan Kowalski, numer buta 42.

Dane wrażliwe, szczególnie chronione

Istnieje szereg informacji, które są szczególnie ważne dla ochrony prywatności każdego człowieka. Stąd też nazywa się je danymi wrażliwymi.

Zgodnie z przepisem art. 27 ust. 1 ustawy o ochronie danych osobowych, danymi szczególnie chronionymi są informacje: o pochodzeniu rasowym lub etnicznym; o poglądach politycznych, przekonaniach religijnych lub filozoficznych; o przynależności wyznaniowej, partyjnej lub związkowej; o stanie zdrowia; o kodzie genetycznym; o nałogach; o życiu seksualnym oraz informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Wymienione przez ustawodawcę rodzaje informacji stanowiących dane wrażliwe należą do zamkniętego katalogu. Oznacza to, iż danymi wrażliwymi będą tylko takie informacje o osobie, które zostały wymienione w art. 27 ustawy o ochronie danych osobowych.

Do katalogu danych wrażliwych nie należy zaliczać informacji „drażliwych” kulturowo: informacji o wieku, stanie cywilnym, majątku, numerze konta bankowego, czy danych biometrycznych.

Podobieństwa i różnice

Ustawa o ochronie danych osobowych przewiduje pewne różnice odnośnie danych zwykłych i danych wrażliwych. Przyjrzyjmy się najpierw tzw. przesłankom legalności, spośród których należy spełnić przynajmniej jedną, aby legalnie przetwarzać dane.

Od razu przychodzi nam na myśl najpopularniejsza z przesłanek, czyli zgoda. Tutaj należy zaznaczyć, że o ile na przetwarzanie danych zwykłych zgoda może być wyrażona w dowolnej formie, przetwarzanie danych wrażliwych wymaga formy pisemnej. Więcej informacji na temat zgody na przetwarzanie danych osobowych znajduje się TUTAJ.

Inne przesłanki dla przetwarzania danych osobowych zwykłych to realizacja uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, a także realizacja umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Dane osobowe zwykłe mogą być też przetwarzane, jeśli jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, albo dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych lub odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Dużo większy jest katalog przesłanek legalności przetwarzania danych wrażliwych. Katalog ten znajduje się w przepisie art. 27 ust. 2 ustawy o ochronie danych osobowych. Z ważniejszych celów przetwarzania danych wrażliwych można wymienić np. ochronę stanu zdrowia, zatrudnienie pracowników, czy wykonywanie statutowych zadań kościołów, związków wyznaniowych, stowarzyszeń, fundacji i innych niezarobkowych organizacji, a także badania naukowe w tym przygotowanie rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego.

Przetwarzać dane, czy poczekać?

O tym, że sensytywne dane osobowe są szczególnie chronione w polskim prawie, świadczą zaostrzone procedury już na etapie rejestrowania zbiorów takich danych w GIODO.

W przypadku zwykłych danych osobowych, przetwarzanie danych w zbiorze jest legalne od chwili złożenia wniosku rejestrującego zbiór. Najczęściej, potwierdzenie legalności stanowi wtedy po prostu poświadczona w urzędzie kopia złożonego wniosku.

Zgłaszający zbiór danych wrażliwych musi natomiast wstrzymać się z ich przetwarzaniem do momentu wydania przez GIODO zaświadczenia o zarejestrowaniu zbioru. W praktyce, taka rejestracja może trwać od kilku miesięcy nawet do roku.

Co za tym idzie, w przypadku, gdy rejestrujemy zbiór zwykłych danych osobowych, po zakończeniu procedury nie otrzymujemy specjalnego zawiadomienia od GIODO. Za potwierdzenie rejestracji można uznać np. pojawienie się tego zbioru w internetowej wyszukiwarce e-GIODO. Zaświadczenie o rejestracji zbioru zostaje wydane przez Inspektora tylko i wyłącznie na wniosek Administratora Danych.

W odpowiedzi na wniosek rejestrujący zbiór danych szczególnie chronionych, zawiadomienie o pomyślnym zakończeniu rejestracji wysyłane jest przez GIODO z urzędu, każdorazowo. Inspektor ma w tym momencie obowiązek informacyjny, ponieważ jak już wcześniej zostało wspomniane otrzymanie zaświadczenia warunkuje legalne przetwarzanie danych wrażliwych przez zgłaszającego zbiór.

Wysoki poziom bezpieczeństwa

Kolejnym szczególnym wymaganiem dotyczącym danych wrażliwych jest zapewnienie środków bezpieczeństwa przetwarzania danych na poziomie podwyższonym lub wysokim. W przypadku przetwarzania danych osobowych zwykłych wystarczają środki na poziomie podstawowym (o ile komputery na których dane są przetwarzane nie są połączone z Internetem – § 6 ust. 1-4 rozporządzenie Ministra Administracji i Cyfryzacji z dn. 29 kwietnia 2004 o w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych …). Jeśli administrator danych zamierza przetwarzać dane osobowe wrażliwe, musi stosować zabezpieczenia na poziomie co najmniej podwyższonym.

 Powyższe informacje powinny być dobrze znane Administratorom Danych, ponieważ za niedopuszczalne lub nieuprawnione przetwarzanie grozi odpowiedzialność karna. Ustawodawca jako środki karne przewiduje grzywnę i karę ograniczenia lub pozbawienia wolności. Za niedopuszczalne lub nieuprawnione przetwarzanie danych zwykłych grozi do 2 lat pozbawienia wolności, natomiast w odniesieniu do katalogu zamkniętego danych wrażliwych – do 3 lat.

 Artykuł sporządzony na podstawie opracowania Katarzyny Oksiędzkiej.

Powiązane artykuły

Program 500+ a ochrona danych osobowych
Bałagan na szpitalnych półkach – co wykazują kontrole GIODO w szpitalach?
Numer telefonu w zamian za odcisk palca, czyli przetwarzanie danych osobowych w Katmandu

3 Odpowiedzi

  1. zuzia

    Artykuł bardzo pożyteczny, choć nie do końca rozwiewa moje wątpliwości – czy wysłanie wiadomości służbowej o jednobrzmiącej treści do wielu osób na ich służbowe maile bez zastosowania opcji „ukryta kopia”, czyli z tymi adresami widocznymi dla wszystkich odbiorców, jest przestępstwem przeciwko ustawie o ochronie danych? Czy można to uznać za „wyciek danych wrażliwych”?

    1. Kancelaria Lex Artist

      Po pierwsze, z pewnością nie będziemy mieć tu do czynienia z danymi wrażliwymi. Adres mailowy, jeśli już go zaliczymy do danych osobowych, to do danych zwykłych. Danymi wrażliwymi są informacje szczególnie ważne dla ochrony człowieka (art. 27 ust. 1 U.o.d.o.).

      Obiektywnie rzecz biorąc w przytoczonym przykładzie, praktycznie można wykluczyć przestępstwo przeciwko ustawie o ochronie danych osobowych. Ewentualną podstawą mogłaby być treść wysłanej wiadomości, zawierająca takie informacje, które skojarzone z daną osobą mogłyby naruszać jej dobre osobiste. Teoretycznie jednak, jeśli byłaby to notatka służbowa o jednobrzmiącej treści, jednorazowo, przez pomyłkę wysłana bez zastosowania „kopii ukrytej” do pracowników, dyskusyjne jest, czy w ogóle doszłoby do naruszenia ochrony danych osobowych. Szczególnie jeśli nadużycie dotyczyłoby obszaru jednej firmy, gdzie pracownicy znają swoje adresy mailowe, nadawane według określonego wzoru. Inaczej wyglądałoby to oczywiście, gdyby były to maile wysłane do osób trzecich, np. klientów.

Zostaw odpowiedź