Zwykłe dane osobowe, a dane wrażliwe

Ustawa o ochronie danych osobowych wyróżnia dwa rodzaje danych osobowych. Są to dane zwykłe oraz dane szczególnie chronione (zwane częściej danymi wrażliwymi lub sensytywnymi). Czym różnią się od siebie te dwa rodzaje informacji? Po spełnieniu jakich przesłanek możemy przetwarzać dane zwykłe oraz dane wrażliwe? Jak zabezpieczyć obie grupy danych osobowych? Odpowiedzi na te pytania znajdą Państwo w niniejszym artykule.

Dane umożliwiające identyfikację

Dane osobowe zwykłe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobę uznaje się za możliwą do zidentyfikowania, jeśli istnieje szansa określenia jej tożsamości – w sposób bezpośredni lub pośredni. Służy temu w szczególności powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ustawy o ochronie danych osobowych). Danymi osobowymi zatem nie będą informacja zbyt ogólnikowe, np. Jan Kowalski, numer buta 42.

Dane wrażliwe, szczególnie chronione

Istnieje szereg informacji, które są szczególnie ważne dla ochrony prywatności każdego człowieka. Stąd też nazywa się je danymi wrażliwymi.

Zgodnie z przepisem art. 27 ust. 1 ustawy o ochronie danych osobowych, danymi szczególnie chronionymi są informacje: o pochodzeniu rasowym lub etnicznym; o poglądach politycznych, przekonaniach religijnych lub filozoficznych; o przynależności wyznaniowej, partyjnej lub związkowej; o stanie zdrowia; o kodzie genetycznym; o nałogach; o życiu seksualnym oraz informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Wymienione przez ustawodawcę rodzaje informacji stanowiących dane wrażliwe należą do zamkniętego katalogu. Oznacza to, iż danymi wrażliwymi będą tylko takie informacje o osobie, które zostały wymienione w art. 27 ustawy o ochronie danych osobowych.

Do katalogu danych wrażliwych nie należy zaliczać informacji „drażliwych” kulturowo: informacji o wieku, stanie cywilnym, majątku, numerze konta bankowego, czy danych biometrycznych.

Przygotuj swoich pracowników do RODO

Skorzystaj z naszych innowacyjnych, interaktywnych e-szkoleń. Przekonaj się, że e-learningi nie muszą być nudnymi, brzydkimi blokami tekstu, których pracownik nie zapamięta. Brzmi interesująco? Zapraszamy do naszego e-sklepu 😉 Kup e-szkolenia

 

Podobieństwa i różnice

Ustawa o ochronie danych osobowych przewiduje pewne różnice odnośnie danych zwykłych i danych wrażliwych. Przyjrzyjmy się najpierw tzw. przesłankom legalności, spośród których należy spełnić przynajmniej jedną, aby legalnie przetwarzać dane.

Od razu przychodzi nam na myśl najpopularniejsza z przesłanek, czyli zgoda. Tutaj należy zaznaczyć, że o ile na przetwarzanie danych zwykłych zgoda może być wyrażona w dowolnej formie, przetwarzanie danych wrażliwych wymaga formy pisemnej. Więcej informacji na temat zgody na przetwarzanie danych osobowych znajduje się TUTAJ.

Inne przesłanki dla przetwarzania danych osobowych zwykłych to realizacja uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, a także realizacja umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Dane osobowe zwykłe mogą być też przetwarzane, jeśli jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, albo dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych lub odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Dużo większy jest katalog przesłanek legalności przetwarzania danych wrażliwych. Katalog ten znajduje się w przepisie art. 27 ust. 2 ustawy o ochronie danych osobowych. Z ważniejszych celów przetwarzania danych wrażliwych można wymienić np. ochronę stanu zdrowia, zatrudnienie pracowników, czy wykonywanie statutowych zadań kościołów, związków wyznaniowych, stowarzyszeń, fundacji i innych niezarobkowych organizacji, a także badania naukowe w tym przygotowanie rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego.

Przetwarzać dane, czy poczekać?

O tym, że sensytywne dane osobowe są szczególnie chronione w polskim prawie, świadczą zaostrzone procedury już na etapie rejestrowania zbiorów takich danych w GIODO.

W przypadku zwykłych danych osobowych, przetwarzanie danych w zbiorze jest legalne od chwili złożenia wniosku rejestrującego zbiór. Najczęściej, potwierdzenie legalności stanowi wtedy po prostu poświadczona w urzędzie kopia złożonego wniosku.

Zgłaszający zbiór danych wrażliwych musi natomiast wstrzymać się z ich przetwarzaniem do momentu wydania przez GIODO zaświadczenia o zarejestrowaniu zbioru. W praktyce, taka rejestracja może trwać od kilku miesięcy nawet do roku.

Co za tym idzie, w przypadku, gdy rejestrujemy zbiór zwykłych danych osobowych, po zakończeniu procedury nie otrzymujemy specjalnego zawiadomienia od GIODO. Za potwierdzenie rejestracji można uznać np. pojawienie się tego zbioru w internetowej wyszukiwarce e-GIODO. Zaświadczenie o rejestracji zbioru zostaje wydane przez Inspektora tylko i wyłącznie na wniosek Administratora Danych.

W odpowiedzi na wniosek rejestrujący zbiór danych szczególnie chronionych, zawiadomienie o pomyślnym zakończeniu rejestracji wysyłane jest przez GIODO z urzędu, każdorazowo. Inspektor ma w tym momencie obowiązek informacyjny, ponieważ jak już wcześniej zostało wspomniane otrzymanie zaświadczenia warunkuje legalne przetwarzanie danych wrażliwych przez zgłaszającego zbiór.

Wysoki poziom bezpieczeństwa

Kolejnym szczególnym wymaganiem dotyczącym danych wrażliwych jest zapewnienie środków bezpieczeństwa przetwarzania danych na poziomie podwyższonym lub wysokim. W przypadku przetwarzania danych osobowych zwykłych wystarczają środki na poziomie podstawowym (o ile komputery na których dane są przetwarzane nie są połączone z Internetem – § 6 ust. 1-4 rozporządzenie Ministra Administracji i Cyfryzacji z dn. 29 kwietnia 2004 o w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych …). Jeśli administrator danych zamierza przetwarzać dane osobowe wrażliwe, musi stosować zabezpieczenia na poziomie co najmniej podwyższonym.

Powyższe informacje powinny być dobrze znane Administratorom Danych, ponieważ za niedopuszczalne lub nieuprawnione przetwarzanie grozi odpowiedzialność karna. Ustawodawca jako środki karne przewiduje grzywnę i karę ograniczenia lub pozbawienia wolności. Za niedopuszczalne lub nieuprawnione przetwarzanie danych zwykłych grozi do 2 lat pozbawienia wolności, natomiast w odniesieniu do katalogu zamkniętego danych wrażliwych – do 3 lat.

 

 Artykuł sporządzony na podstawie opracowania Katarzyny Oksiędzkiej.

Powiązane artykuły

Czy testowanie pracowników pod kątem COVID-19 i weryfikacja szczepień są zgodne z RODO?
rodo faq
Czy PESEL to dane wrażliwe? #RODOFAQ
RODO w kadrach
Zmiany w kodeksie pracy i ZFŚS po 4 maja 2019 r.

40 Odpowiedzi

  1. zuzia

    Artykuł bardzo pożyteczny, choć nie do końca rozwiewa moje wątpliwości – czy wysłanie wiadomości służbowej o jednobrzmiącej treści do wielu osób na ich służbowe maile bez zastosowania opcji „ukryta kopia”, czyli z tymi adresami widocznymi dla wszystkich odbiorców, jest przestępstwem przeciwko ustawie o ochronie danych? Czy można to uznać za „wyciek danych wrażliwych”?

    1. Kancelaria Lex Artist

      Po pierwsze, z pewnością nie będziemy mieć tu do czynienia z danymi wrażliwymi. Adres mailowy, jeśli już go zaliczymy do danych osobowych, to do danych zwykłych. Danymi wrażliwymi są informacje szczególnie ważne dla ochrony człowieka (art. 27 ust. 1 U.o.d.o.).

      Obiektywnie rzecz biorąc w przytoczonym przykładzie, praktycznie można wykluczyć przestępstwo przeciwko ustawie o ochronie danych osobowych. Ewentualną podstawą mogłaby być treść wysłanej wiadomości, zawierająca takie informacje, które skojarzone z daną osobą mogłyby naruszać jej dobre osobiste. Teoretycznie jednak, jeśli byłaby to notatka służbowa o jednobrzmiącej treści, jednorazowo, przez pomyłkę wysłana bez zastosowania „kopii ukrytej” do pracowników, dyskusyjne jest, czy w ogóle doszłoby do naruszenia ochrony danych osobowych. Szczególnie jeśli nadużycie dotyczyłoby obszaru jednej firmy, gdzie pracownicy znają swoje adresy mailowe, nadawane według określonego wzoru. Inaczej wyglądałoby to oczywiście, gdyby były to maile wysłane do osób trzecich, np. klientów.

  2. Angelika

    Często uczęszczam na siłownie. Jednak przy ostatniej wizycie zostałam poinformowana, iż ze względu na nowy system weryfikacyjny jestem proszona o oddanie odcisku palca. Czy siłownia ma do tego prawo ? Czy takie działania są legalne ?

  3. Tomasz

    Witam wszystkich,
    Mam pytanie dla osób specjalizujących się w temacie danych osobowych. Z art. 3 ust. 2 pkt 2 u.o.d.o. wynika, iż ustawę stosuje się do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Tymczasem z art. 3a wynika wyłączenie stosowanie ustawy m.in do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych.
    W mojej ocenie pomiędzy tymi pojęciami zastosowania ustawy, a wyłączeniami istnieje pewna nieuregulowana grupa, tj. np. osoby fizyczne, które przetwarzają dane osobowe niezarobkowo ale również nie w celach domowych. Przykładowo osoba fizyczna organizując wydarzenie np. w postaci prelekcji, która zbiera uczestników, zapisuje ich na listę dostępną w internecie i pobiera składki, ale przeznacza je w całości na koszty najmu sali i wynagrodzenie prelegenta. Ewentualnie zostaje jej kilka złotych, których nie wydała.
    W takiej sytuacji nie podlega ona wprost wyłączeniu, ale również jako, iż nie przetwarza danych osobowych zarobkowo, teoretycznie nie mieści się w grupie do której ustawa znajduje zastosowanie. Nie mogę nigdzie znaleźć jednoznacznego stanowiska w tej kwestii.
    Co sądzicie?
    Dziękuję za odpowiedź.

    1. Kancelaria Lex Artist

      Witamy:-) naszym zdaniem biorąc pod uwagę brzmienie powołanego przez Pana art 3a ust 1 pkt.1 ustawy o ochronie danych osobowych, należy skupić się nad tym czy wykonywana czynność jest czynnością okazjonalną. Jeśli tak to możemy uznać, że ma charakter osobisty lub domowy. Podsumowując-jeśli czynność nie jest wykonywana w sposób ciągły tylko jednokrotnie, można skorzystać z wyłączenia.
      pozdrawiamy serdecznie

      1. Agnieszka

        Ja mam jeszcze inny przykład. Jestem skarbnikiem w klasie mojej córki i w związku z pełnioną rolą często przetwarzam dane osobowe uczniów i ich rodziców (imiona, nazwiska i adresy mailowe). Tutaj też cele niezarobkowe, ale za to regularnie. Co w takiej sytuacji?

        1. Kancelaria Lex Artist

          Dzień dobry. Ciężko odpowiedzieć na to pytanie jednoznacznie i pewnie, ponieważ dużo zależy od tego, jakie zapisy funkcjonują w szkolnym Regulaminie oraz Statucie szkoły. Pozdrawiamy!

  4. Katrina

    Dzień dobry,
    Rozumiem, że dane wrażliwe, to m.in. dane o stanie zdrowia. Jak potraktować sytuację, gdy pracodawca, który posiada informacje, iż pracownik leczy się psychiatrycznie (wiedza posiadana w związku z pełnieniem obowiązków służbowych) przekazuje te wiadomości swojemu znajomemu ( niezatrudnionemu w tym zakładzie) ?
    Czy może np. informować o fakcie przebywania pracownika na L4 i o długości chorobowego?
    Chodzi o plotkowanie…
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry! Najprawdziwsza prawda. 🙂 Uczulamy jednak, że znaczna część administratorów danych obowiązana będzie do stworzenia RCP – rejestru czynności przetwarzania. Pozdrawiamy!

  5. Artur

    Pracownicy firmy korzystają z samochodów służbowych. W przypadku wykroczeń drogowych odpowiednie organy przesyłają informacje i pracodawca musi wskazać osobę, której dane wykroczenie dotyczy. Takie dane są następnie przechowywane na wypadek sytuacji, gdy pracownik nie opłaci mandatu, a dany organ/urząd obciąży rachunek pracodawcy. Mamy więc z jednej strony zakaz przetwarzania danych dotyczących naruszeń prawa (art. 10 RODO), a z drugiej dobro firmy. W jaki sposób można ustrzec się zarzutów ze strony organu nadzorczego (PUODO)?

    1. Kancelaria Lex Artist

      Dzień dobry. Niestety RODO jest tutaj mocno restrykcyjny i dobro firmy (inaczej mówiąc: prawnie uzasadniony interes administratora danych) nie będzie wystarczającą podstawą do przetwarzania danych dotyczących skazań i naruszeń prawa – jedynie spełnienie przesłanek określonych w art. 10 RODO upoważnia do przetwarzania tego typu danych. Pozdrawiamy!

  6. Artur

    Klienci często dostarczają nam informacje o stanie zdrowia, które mają tłumaczyć dlaczego nie zapłacili kolejnych rat kredytów. Bywa, że informują nas też w tym samym celu o wyrokach, które spowodowały ich pobyt w więzieniu. podobne informacje trafiają czasami od komorników lub wspomagających nas kancelarii prawnych. Co robić z takimi informacjami? Standardowo nie są one brane pod uwagę w procesach kredytowych/windykacyjnych, ale trudno je usunąć, gdy znajdują się w piśmie, czy mailu od klienta. Zwykle nie można otrzymać zgody, a nawet gdyby ją uzyskano, to później klient mógłby podnosić, że nie była ona dobrowolna („zakładał, że musiał dać zgodę, aby uzyskać odroczenie płatności”). Czy ratunkiem jest art. 9 ust.2 punkt f) („przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń”)?

  7. Tomasz

    Zajmuję się rejestracją audiowizualną różnego rodzaju imprez, w tym wesel. Na tę okoliczność sporządzam dokument „zamówienie” w którym to wpisuję dane personalne osób zamawiających, miejsce zamieszkania, serię i nr dowodu osobistego i telefon kontaktowy. Czy ja tego typu dane muszę gdzieś rejestrować?

    1. Kancelaria Lex Artist

      Dzień dobry. Nie ma takiego obowiązku, tym bardziej ze względów praktycznych (obowiązek rejestracji zbiorów danych zniknie od 25 maja 2018 r.). Wskazujemy natomiast, iż pobieranie serii i nr dowodu osobistego w umowach stwarzać może ryzyko prawne naruszenia przepisów RODO w zakresie zasady minimalizacji danych. Pozdrawiamy!

  8. Katarzyna

    Witam mam pytanie , czy komornik sądowy ma prawo przyjść do rodziny (babci) pod nieobecność zainteresowanego, podać szczegóły długu, pokazać nakaz płatniczy.,wyrok sądu i przekonać, że powinna zapłacić wskazaną kwotę strasząc poważnymi konsekwencjami brak zapłaty ? W konsekwencji otrzymuje wymaganą kwotę.
    Jeśli nie to jakie kroki może podjąć osoba co do której wystawiono nakaz.
    Dziękuję z góry za pomoc.

    1. Kancelaria Lex Artist

      Dzień dobry. Nie jest to za bardzo kwestia związana z ochroną danych osobowych. Na czynności komornika, zgodnie z art. 767 Kodeksu postępowania cywilnego, przysługuje skarga. Pozdrawiamy!

  9. Milena

    Dzień dobry. Taka sytuacja: pielęgniarka szkolna ( nie jest zatrudniona przez szkołę tylko przez ośrodek) zauważa ślady smookaleczania na rękach ucznia( dane wrażliwe) czy może przekazać informację o zaistniałej sytuacji do pedagoga szkolnego lub/i wychowawcy w celu podjęcia dalszych działań aby pomóc dziecku czy tylko rodzice/ opiekunowie prawni uprawnieni są aby taką informację uzyskać od pielęgniarki i ewentualnie przekazać ją do pedagoga czy wychowawcy. Ogólnie czy pielęgniarka szkolna jest uprawniona do przekazywania informacji na temat zdrowia dziecka ( fizycznego /psychicznego) pracownikom szkoły (np. pedagog).
    Z góry dziękuję za pomoc. Pozdrawiam!

    1. Kancelaria Lex Artist

      Ze względu na ochronę żywotnych interesów osoby, której dane dotyczą (czyli tego ucznia, który dokonuje samookaleczenia), można przekazać informację o tym do pedagoga lub wychowawcy. Oczywiście w pierwszej kolejności należy również poinformować rodziców. Pozdrawiamy!

  10. Jakub

    Witam. Bardzo ciekawa strona, skupiająca się na konkretnym temacie prawnym.
    Mam pewne pytanie:

    Minister Sprawiedliwości posiada prawo wyrażenia sprzeciwu co do wpisu na listę adwokatów, radców i aplikantów w tych zawodach. Czy Minister Sprawiedliwości może rozpatrując zasadność wpisu na te listy przetwarzać wrażliwe dane osobowe?

    1. Lex Artist

      Witamy. Minister Sprawiedliwości realizuje zadania Ministerstwa Sprawiedliwości (realizacja zadań w interesie publicznym). Ma zatem podstawę prawną do przetwarzania danych osobowych zwykłych jak i wrażliwych na podst art. 6 jak i art. 9 RODO. Zasadność przetwarzania danych wrażliwych przy okazji rozpatrywania wpisu do szerszej analizy. Interesujący wyrok WSA z dnia 20.04.2017 VI SA/Wa 2223/16 wskazuje zakres danych jakie może pozyskiwać Minister Sprawiedliwości. Pozdrawiamy!

  11. Jakub

    Dziękuje za zangażowanie w temat 🙂
    Interesujące orzeczenie. Wynika z niego, iż Minister Sprawiedliwości w celu weryfikacji zasadności wpisu na listę radców/adwokatów może wykorzystywać również inne źródła informacji o kandydacie niż same akta osobowe nadesłane z samorządu zawodowego.
    Czy zgodnie z prawem Minister mógłby więc np zwrócić się o udostępnienie mojej dokumentacji medycznej?
    Zgodnie z ustawą o prawach pacjenta i rzeczniku praw pacjenta organy władzy publicznej mają prawo do udostępniania im dokumentacji medycznej.

    Pozdrawiam, serdecznie 🙂

    1. Lex Artist

      Dziękujemy za miłe słowa 🙂
      w naszej opinii mając na uwadze treść art. 26 ust. 3 u.p.p. Minister może zwrócić się m.in. o udostępnienie Pańskiej dokumentacji medycznej. Pozdrawiamy 🙂

  12. Jakub

    Dziękuje :). Prosiłbym bardzo o odpowiedź na jeszcze jedno pytanie rodzące się w związku z Waszą odpowiedzią i już nie będę zawracał głowy :).

    Czy Minister Sprawiedliwości mógłby zasięgnąć informacji z NFZ dotyczące tego gdzie leczyliśmy się?
    Sam przepis ustawy o prawach pacjenta uprawnia go do udostępnienia mu dokumentacji medycznej z konkretnego ośrodka zdrowia, szpitala a zatem chyba brak w tym przepisie możliwości ustalenia „gdzie” ktoś sie leczył.. czy może znajdzie się do tego jakaś inna podstawa prawna?

    Pozdrawiam

    1. Lex Artist

      w naszej opinii istnieje duże prawdopodobieństwo, że tak. Czy znalazłby się inna podstawa prawna? Sprawa do szerszej analizy. Pozdrawiamy!

      1. Jakub

        Tak ? W sensie że Minister mógłby uzyskać informacje z NFZ dotyczące tego gdzie ktoś się leczył na podstawie przepisu który uprawnia do udostępnienia dokumentacji medycznej z konkretnej placówki a zatem nie ma w nim mowy wprost o udostępnianiu przez NFZ informacji dotyczącej tego w jakiej plcówce ktoś sie leczył?

          1. Jakub

            A zatem na zakończenie dyskusji.. Czy można przypuszczać istnienie możliwości weryfikowania przez Ministra Sprawiedliwości każdej kandydatury do wpisu na liste adw/radców w kierunku tego czy ktoś leczy się na poważne schorzenia (np. psychiatryczne) zasięgając danych z NFZ na ten temat?

          2. Lex Artist

            w naszej ocenie aby jednoznacznie wypowiedzi się w tym temacie należałoby dokonać szczegółowej analizy. Pozdrawiamy!

  13. Wanda

    Dzień dobry. Szukam gdzieś pomocy bo w firmie jesteśmy bezradni wobec informatyków, od których odkupiliśmy program do prowadzenia serwisu. Nie chcemy żeby na wydrukach zlecenia do serwisu drukowały się dane naszych klientów poza imieniem i nazwiskiem. Ci informatycy twierdzą, ze nie mamy do tego podstawy prawnej. Czy rzeczywiście nie możemy tego wymagać?

    1. Lex Artist

      Dzień dobry, w naszej ocenie należałoby zajrzeć do warunków umowy. Jeśli technicznie nie jest możliwe zrealizowanie określonych funkcji w oprogramowaniu być może jest powód do rozwiązania umowy. Sugerujemy kontakt z prawnikiem specjalizującym się w prawie handlowym. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO