Przetwarzanie sensytywnych danych osobowych
Autor: Ewa Gosiewska
Data: 31.01.2018
Źródło: EG/Kancelaria KONDRAT i Partnerzy
Działy:
Polecamy
Aktualności
Ostatni artykuł na temat RODO wzbudził duże zainteresowanie wśród naszych czytelników. Wspólnie z kancelarią Kondrat i Partnerzy kontynuujemy temat danych osobowych w kontekście ich przetwarzania.
PYTANIE: Co to znaczy: zakaz przetwarzania danych sensytywnych?
ODPOWIEDŹ: Oznacza to, że dane osobowe należące do kategorii danych zwanych „wrażliwymi” lub właśnie „sensytywnymi” co do zasady w ogóle nie mogą być przetwarzane. Wynika to z faktu, że ich przetwarzanie może powodować poważne ryzyko dla podstawowych praw i wolności człowieka.
Danymi sensytywnymi są informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Za dane sensytywne uważa się również informacje dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.
Oczywiście istnieje dużo wyjątków od zakazu przetwarzania danych sensytywnych – w każdym jednak przypadku przetwarzanie danych sensytywnych będzie wiązać się koniecznością spełnienia dodatkowych wymogów w stosunku do przetwarzania zwykłych danych osobowych.
Zwracam też uwagę, że zakaz ten obejmuje wszystkie operacje wykonywane na danych sensytywnych, niezależnie czy są wykonywane w sposób zautomatyzowany czy nie, w tym w szczególności obejmuje czynności takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Poniżej wskazuję wyjątki od zasady zakazu przetwarzania danych sensytywnych:
Przetwarzanie danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia prawa i wolności osób, których dane dotyczą.
Zakaz przetwarzania pozostałych danych sensytywnych nie ma zastosowania, jeżeli spełniony jest co najmniej jeden z poniższych warunków:
1. osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;
2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;
3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, przy spełnieniu dodatkowych warunków;
8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem pewnych warunków i zabezpieczeń;
9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zachowaniem dodatkowych warunków.
PODSTAWA PRAWNA: art. 4 ust. 2, art. 9, art. 10 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
ODPOWIEDŹ: Oznacza to, że dane osobowe należące do kategorii danych zwanych „wrażliwymi” lub właśnie „sensytywnymi” co do zasady w ogóle nie mogą być przetwarzane. Wynika to z faktu, że ich przetwarzanie może powodować poważne ryzyko dla podstawowych praw i wolności człowieka.
Danymi sensytywnymi są informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Za dane sensytywne uważa się również informacje dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.
Oczywiście istnieje dużo wyjątków od zakazu przetwarzania danych sensytywnych – w każdym jednak przypadku przetwarzanie danych sensytywnych będzie wiązać się koniecznością spełnienia dodatkowych wymogów w stosunku do przetwarzania zwykłych danych osobowych.
Zwracam też uwagę, że zakaz ten obejmuje wszystkie operacje wykonywane na danych sensytywnych, niezależnie czy są wykonywane w sposób zautomatyzowany czy nie, w tym w szczególności obejmuje czynności takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Poniżej wskazuję wyjątki od zasady zakazu przetwarzania danych sensytywnych:
Przetwarzanie danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia prawa i wolności osób, których dane dotyczą.
Zakaz przetwarzania pozostałych danych sensytywnych nie ma zastosowania, jeżeli spełniony jest co najmniej jeden z poniższych warunków:
1. osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;
2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;
3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, przy spełnieniu dodatkowych warunków;
8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem pewnych warunków i zabezpieczeń;
9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zachowaniem dodatkowych warunków.
PODSTAWA PRAWNA: art. 4 ust. 2, art. 9, art. 10 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE