Zwykłe dane osobowe, a dane wrażliwe

Łukasz Zegarek
ekspert ds. ochrony danych osobowych, audytor, trener
lukasz.zegarek@lex-artist.pl
(22) 253 28 18 Zobacz inne posty autora

dane wrażliwe

Ustawa o ochronie danych osobowych wyróżnia dwa rodzaje danych osobowych. Są to dane zwykłe oraz dane szczególnie chronione (zwane częściej danymi wrażliwymi lub sensytywnymi). Czym różnią się od siebie te dwa rodzaje informacji? Po spełnieniu jakich przesłanek możemy przetwarzać dane zwykłe oraz dane wrażliwe? Jak zabezpieczyć obie grupy danych osobowych? Odpowiedzi na te pytania znajdą Państwo w niniejszym artykule.

Dane umożliwiające identyfikację

Dane osobowe zwykłe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobę uznaje się za możliwą do zidentyfikowania, jeśli istnieje szansa określenia jej tożsamości – w sposób bezpośredni lub pośredni. Służy temu w szczególności powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ustawy o ochronie danych osobowych). Danymi osobowymi zatem nie będą informacja zbyt ogólnikowe, np. Jan Kowalski, numer buta 42.

Dane wrażliwe, szczególnie chronione

Istnieje szereg informacji, które są szczególnie ważne dla ochrony prywatności każdego człowieka. Stąd też nazywa się je danymi wrażliwymi.

Zgodnie z przepisem art. 27 ust. 1 ustawy o ochronie danych osobowych, danymi szczególnie chronionymi są informacje: o pochodzeniu rasowym lub etnicznym; o poglądach politycznych, przekonaniach religijnych lub filozoficznych; o przynależności wyznaniowej, partyjnej lub związkowej; o stanie zdrowia; o kodzie genetycznym; o nałogach; o życiu seksualnym oraz informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Wymienione przez ustawodawcę rodzaje informacji stanowiących dane wrażliwe należą do zamkniętego katalogu. Oznacza to, iż danymi wrażliwymi będą tylko takie informacje o osobie, które zostały wymienione w art. 27 ustawy o ochronie danych osobowych.

Do katalogu danych wrażliwych nie należy zaliczać informacji „drażliwych” kulturowo: informacji o wieku, stanie cywilnym, majątku, numerze konta bankowego, czy danych biometrycznych.

Podobieństwa i różnice

Ustawa o ochronie danych osobowych przewiduje pewne różnice odnośnie danych zwykłych i danych wrażliwych. Przyjrzyjmy się najpierw tzw. przesłankom legalności, spośród których należy spełnić przynajmniej jedną, aby legalnie przetwarzać dane.

Od razu przychodzi nam na myśl najpopularniejsza z przesłanek, czyli zgoda. Tutaj należy zaznaczyć, że o ile na przetwarzanie danych zwykłych zgoda może być wyrażona w dowolnej formie, przetwarzanie danych wrażliwych wymaga formy pisemnej. Więcej informacji na temat zgody na przetwarzanie danych osobowych znajduje się TUTAJ.

Inne przesłanki dla przetwarzania danych osobowych zwykłych to realizacja uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, a także realizacja umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Dane osobowe zwykłe mogą być też przetwarzane, jeśli jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, albo dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych lub odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Dużo większy jest katalog przesłanek legalności przetwarzania danych wrażliwych. Katalog ten znajduje się w przepisie art. 27 ust. 2 ustawy o ochronie danych osobowych. Z ważniejszych celów przetwarzania danych wrażliwych można wymienić np. ochronę stanu zdrowia, zatrudnienie pracowników, czy wykonywanie statutowych zadań kościołów, związków wyznaniowych, stowarzyszeń, fundacji i innych niezarobkowych organizacji, a także badania naukowe w tym przygotowanie rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego.

Przetwarzać dane, czy poczekać?

O tym, że sensytywne dane osobowe są szczególnie chronione w polskim prawie, świadczą zaostrzone procedury już na etapie rejestrowania zbiorów takich danych w GIODO.

W przypadku zwykłych danych osobowych, przetwarzanie danych w zbiorze jest legalne od chwili złożenia wniosku rejestrującego zbiór. Najczęściej, potwierdzenie legalności stanowi wtedy po prostu poświadczona w urzędzie kopia złożonego wniosku.

Zgłaszający zbiór danych wrażliwych musi natomiast wstrzymać się z ich przetwarzaniem do momentu wydania przez GIODO zaświadczenia o zarejestrowaniu zbioru. W praktyce, taka rejestracja może trwać od kilku miesięcy nawet do roku.

Co za tym idzie, w przypadku, gdy rejestrujemy zbiór zwykłych danych osobowych, po zakończeniu procedury nie otrzymujemy specjalnego zawiadomienia od GIODO. Za potwierdzenie rejestracji można uznać np. pojawienie się tego zbioru w internetowej wyszukiwarce e-GIODO. Zaświadczenie o rejestracji zbioru zostaje wydane przez Inspektora tylko i wyłącznie na wniosek Administratora Danych.

W odpowiedzi na wniosek rejestrujący zbiór danych szczególnie chronionych, zawiadomienie o pomyślnym zakończeniu rejestracji wysyłane jest przez GIODO z urzędu, każdorazowo. Inspektor ma w tym momencie obowiązek informacyjny, ponieważ jak już wcześniej zostało wspomniane otrzymanie zaświadczenia warunkuje legalne przetwarzanie danych wrażliwych przez zgłaszającego zbiór.

Wysoki poziom bezpieczeństwa

Kolejnym szczególnym wymaganiem dotyczącym danych wrażliwych jest zapewnienie środków bezpieczeństwa przetwarzania danych na poziomie podwyższonym lub wysokim. W przypadku przetwarzania danych osobowych zwykłych wystarczają środki na poziomie podstawowym (o ile komputery na których dane są przetwarzane nie są połączone z Internetem - § 6 ust. 1-4 rozporządzenie Ministra Administracji i Cyfryzacji z dn. 29 kwietnia 2004 o w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych …). Jeśli administrator danych zamierza przetwarzać dane osobowe wrażliwe, musi stosować zabezpieczenia na poziomie co najmniej podwyższonym.

 Powyższe informacje powinny być dobrze znane Administratorom Danych, ponieważ za niedopuszczalne lub nieuprawnione przetwarzanie grozi odpowiedzialność karna. Ustawodawca jako środki karne przewiduje grzywnę i karę ograniczenia lub pozbawienia wolności. Za niedopuszczalne lub nieuprawnione przetwarzanie danych zwykłych grozi do 2 lat pozbawienia wolności, natomiast w odniesieniu do katalogu zamkniętego danych wrażliwych – do 3 lat.

 Artykuł sporządzony na podstawie opracowania Katarzyny Oksiędzkiej.

Komentarze

Zostaw komentarz