Dane wrażliwe

Dane wrażliwe (sensytywne) to wyodrębniona kategoria danych osobowych, które należy szczególnie chronić.

Akty prawne regulujące kwestie ochrony danych osobowych to przede wszystkim:

• Rozporządzenie o ochronie danych osobowych (RODO) – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych;

• Ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości

Wymienione akty normatywne nie definiują wprost pojęcia danych wrażliwych, podają za to zamknięty katalog takich danych.

Zgodnie z nim, dane wrażliwe to informacje ujawniające m.in.:

• pochodzenie rasowe;

• pochodzenie etniczne;

• poglądy polityczne;

• przekonania religijne;

• światopogląd;

• przynależność do związków zawodowych;

• dane genetyczne (np. kod DNA, RNA);

• dane biometryczne (np. linie papilarne, kształt małżowiny usznej, odręczny podpis);

• dane dotyczące zdrowia;

• seksualność lub orientację seksualną.

Dla porównania, do danych osobowych zwykłych zaliczamy m.in. imię i nazwisko, adres zamieszkania, numer PESEL czy numer telefonu.

Dane wrażliwe

Ze względu na szczególny charakter danych wrażliwych ich przetwarzanie jest zabronione. Zakaz ten dotyczy zarówno przetwarzania w formie zautomatyzowanej, jak i niezautomatyzowanej. Przepisy prawa przewidują jednak pewne wyjątki od tej zasady.

Kiedy dopuszcza się przetwarzanie danych wrażliwych?

• Zezwalają na to przepisy prawa – np. ustawa o Straży Granicznej w sytuacjach zagrożenia bezpieczeństwa publicznego pozwala m.in. na pobranie osobom podejrzanym wymazów ze śluzówki policzków;

• jest to niezbędne dla ochrony życia, lub zdrowia, lub interesów osoby, której dane dotyczą, lub innej osoby – np. kontrola pandemii i jej rozprzestrzeniania się; obowiązek ratowania zdrowia lub życia ludzi; poza zakresem tej kategorii będą interesy ekonomiczne oraz majątkowe;

• dane takie zostały upublicznione przez osobę, której dotyczą – np. w prasie, w internecie; przy czym dane te muszą zostać podane do publicznej wiadomości w taki sposób, aby mogła się z nimi zapoznać bliżej nieokreślona liczba osób;

• osoba, której dane dotyczą, wyraziła pisemną zgodę na ich przetwarzanie – np. kandydat podczas procesu rekrutacji wyraził zgodę na przetwarzanie danych dotyczących jego stanu zdrowia;

• wykorzystanie tych danych jest niezbędne w celu dochodzenia praw przed sądem – np. zbadanie, czy doszło do prześladowania pracownika ze względu na jego pochodzenie etniczne.

Podmiot przetwarzający dane osobowe wrażliwe ma obowiązek prowadzenia rejestrów czynności przetwarzania danych.

Ogólne zasady bezpieczeństwa obowiązujące przy przetwarzaniu danych osobowych

O jakich zasadach należy pamiętać?

• Zasada czystego biurka – dokumenty z danymi wrażliwymi nie powinny znajdować się w ogólnodostępnym miejscu.

• W miejscu przetwarzania danych osobowych nie powinny przebywać osoby nieuprawnione.

• Pomieszczenie, w którym przetwarzane są dane osobowe powinno być zamykane na klucz.

• Komputery służące do przetwarzania danych powinny podlegać przeglądom antywirusowym.

• Należy pamiętać o szyfrowaniu danych.

• Powinno się regularnie zmieniać hasła dostępu.

Doszło do naruszenia bezpieczeństwa danych osobowych. I co teraz?

1. W ciągu 72 godzin od momentu stwierdzenia takiego naruszenia należy zawiadomić o nim Urząd Ochrony Danych Osobowych.

2. Administrator danych osobowych ma obowiązek bez zbędnej zwłoki zawiadomić o tym również osobę, której dane dotyczą.

Administratorem danych wrażliwych może być np.: przedsiębiorca lub pracodawca, który gromadzi takie dane w ramach prowadzonej przez siebie działalności, przychodnia lekarska, szpital, fundacja itp.

Słownik