Autor: Łukasz Kolatorski

Reklama

Ogólne rozporządzenie o ochronie danych osobowych osób fizycznych RODO wprowadziło drobną korektę w dotychczasowym podziale znanych nam od przeszło 20 lat rodzajów danych osobowych. Do momentu rozpoczęcia zastosowania RODO wyróżnialiśmy dwa rodzaje danych osobowych, funkcjonujące na gruncie wspólnotowej dyrektywy 95/46/WE z dnia 24 października 1995 roku oraz nieco rozszerzone w naszej krajowej ustawie o ochronie danych osobowych z 29 sierpnia 1997 roku.

Rys historyczny

Na gruncie poprzednich przepisów dane osobowe mogliśmy podzielić na dwa rodzaje, mianowicie: szczególne kategorie danych – dane wrażliwe/sensytywne oraz pozostałe dane, potocznie nazywane „zwykłymi”. W dyrektywie wspólnotowej z 1995 roku kategorie danych wrażliwych wyszczególnione były w art. 8 oraz odpowiednio w naszej ustawie krajowej z 1997 roku w artykule 27. Były to dane ujawniające:

  • pochodzenie rasowe lub etniczne;
  • poglądy polityczne;
  • przekonania religijne lub filozoficzne;
  • przynależność wyznaniową, partyjną lub związkową;
  • informacje o stanie zdrowia;
  • informacje o kodzie genetycznym;
  • informacje o nałogach;
  • informacje o życiu seksualnym;
  • informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (definicja UODO 97).

Zmiana podejścia do rodzajów danych

Wraz z nadejściem RODO, nastąpiła drobna korekta sklasyfikowania rodzajów danych osobowych. W ogólnym rozporządzeniu oddzielono lub wydzielono, jak kto woli, dane dotyczące wyroków skazujących i naruszeń prawa, umiejscowione poprzednio w zakresie danych szczególnych kategorii. Tym samym, od ponad dwóch lat dane osobowe klasyfikujemy wg 3 rodzajów:

  1. dane szczególnych kategorii – artykuł 9 RODO,
  2. dane dotyczące wyroków skazujących i naruszeń prawa – artykuł 10 RODO,
  3. dane pozostałe, potocznie nazywane „zwykłymi”.

Dane wrażliwe

Odpowiadając na pytanie postawione w tytule, dane wrażliwe to rodzaj danych szczególnych kategorii wymienione w artykule 9 RODO. Należą do nich dane ujawniające:

  • pochodzenie rasowe lub etniczne;
  • poglądy polityczne;
  • przekonania religijne lub światopoglądowe;
  • przynależność do związków zawodowych;
  • dane genetyczne;
  • dane biometryczne, wykorzystywane w celu jednoznacznego zidentyfikowania osoby fizycznej;
  • dane dotyczące zdrowia;
  • dane dotyczące seksualności lub orientacji seksualnej.

Przesłanki dla przetwarzania dla danych wrażliwych

Dane wrażliwe możemy przetwarzać, gdy zaistnieje jedna z przesłanek wymienionych w art. 9 w ustępie 2 i 4 RODO. Dopuszczalnymi przesłankami są (wersja skrócona na potrzeby niniejszego artykułu; do analizy pełnej treści zapraszam do rozporządzenia):

  • zgoda osoby;
  • wypełnianie obowiązków i wykonywanie szczególnych praw, w określonych dziedzinach;
  • ochrona żywotnych interesów osoby;
  • przetwarzanie w ramach uprawnionej działalności;
  • sytuacje, kiedy dane zostały upublicznione przez osobę;
  • ustalenie, dochodzenie lub obrona roszczeń, albo w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  • ważny interes publiczny;
  • profilaktyka zdrowotna lub medycyna pracy, zapewnienie opieki zdrowotnej lub zabezpieczenia społecznego, leczenie / zarządzanie systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;
  • interes publiczny w dziedzinie zdrowia publicznego, zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych;
  • cele archiwalne w interesie publicznym, cele badań naukowych, historycznych lub cele statystyczne.

„Wisienka na torcie” w zakresie owianej mistycyzmem i kreowanej nadrzędności RODO nad innymi przepisami prawa, zawarta w artykule 9 ustępie 4, którą pozwolę sobie zacytować w całości:

  • Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

W ramach dobrej praktyki zalecić mogę, aby dla wybranej przesłanki przetwarzania danych szczególnych kategorii z tzw. „9”, ze względu na zastosowane przez regulatora zapisy w tym artykule (m.in.:  o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego; na podstawie prawa Unii lub prawa państwa członkowskiego) połączyć z jedną z przesłanek wynikających z artykułu 6 RODO.

Dygresja na zakończenie

Pokłosiem artykułu o danych wrażliwych jest rozróżnienie rodzajów danych osobowych sklasyfikowanych w RODO. Dlatego też pozwolę sobie na małą dygresję dotycząca treści umów powierzenia i wymagań dla ich zawartości określonej w art. 28 ustęp 3 RODO. W umowach powierzenia mamy obowiązek wpisać m.in.: rodzaj danych oraz kategorie osób, których dane dotyczą, a nie kategorie danych osobowych, które z uporem maniaka nadal są wpisywane w umowach. Gdy ograniczamy się do zapisów dla kategorii danych wynikających z artykułu 9 lub 10 RODO, to nie widzę przeszkód, ale już w przypadku możliwych kategorii danych zwykłych, pojawia się problem. Jeśli dojdzie do przetwarzania danych przez podmiot przetwarzający, to pominięcie jakiejś kategorii danych przez IOD lub prawnika administratora stanowi realne zagrożenie dla wykonania umowy, gdy ta pominięta kategoria pojawi się w procesie przetwarzania.