Dane „wrażliwe” w świetle RODO: Zasady przetwarzania i ochrona prywatności

Dane „wrażliwe” w świetle RODO: Zasady przetwarzania i ochrona prywatności

autor

Kiedy mówimy o danych wrażliwych, tzw. Sensytywnych czyli szczególnej kategorii danych? Na to jest bardzo prosty test. Wystarczy, że ktoś zada Ci pytanie, po którym odruchowo napinasz się jak struna i czujesz, że ktoś poszedł za daleko – to pewnie pytanie o dane wrażliwe. Słuchaj swojego ciała – ono zna RODO lepiej niż niejedna broszura!

Kiedy dane stają się „wrażliwe”? Przykłady z życia po których jesteś wygięty:

  • Ojciec Twojej dziewczyny pyta Cię: „Na kogo głosowałeś w wyborach?”, widząc na płocie plakat „tego drugiego kandydata”.
  • Teściowa rzuca pytanie przy obiedzie rodzinnym: „Dawno nie widziałam Cię dzisiaj na mszy”.
  • Pracodawca prowadzi luźną rozmowę z kandydatem do pracy i pyta: „A do jakich związków zawodowych planuje się Pan zapisać?”, widząc za jego plecami zdjęcie z przewodniczącym konkretnych związków zawodowych.
  • Przełożony podczas rekrutacji pyta: „Czy jest Pani w ciąży? Czy planuje Pani dziecko?”, albo: „Na co ostatnio Pani chorowała?”
  • Przełożony pyta się: „Jakie masz preferencje seksualne?”

Z perspektywy ochrony danych – za każdym razem mamy do czynienia z danymi “wrażliwymi” czyli szczególną kategorią danych. Czasem pytania są pozornie niegroźne, ale ich kontekst ujawnia informacje o Twoich przekonaniach, stanie zdrowia czy orientacji.

Refleksja: Pytając o takie sprawy, czasem sami nie zdajemy sobie sprawy, jak łatwo naruszamy czyjąś prywatność – i nie chodzi tu tylko o RODO, ale też o szacunek i empatię.

Czym dokładnie są dane wrażliwe?

Art. 9 RODO szczegółowo określa, co zalicza się do danych szczególnej kategorii (danych wrażliwych). Oto pełen katalog danych:

  • Pochodzenie rasowe lub etniczne
  • Poglądy polityczne
  • Przekonania religijne lub światopoglądowe
  • Przynależność do związków zawodowych
  • Dane genetyczne i biometryczne (w celu identyfikacji osoby)
  • Dane dotyczące zdrowia
  • Dane dotyczące seksualności lub orientacji seksualnej

Są to dane, które wzbudzają najwięcej emocji, szczególnie w kontekście rozmów przy grillu czy komentarzy na Facebooku. Warto pamiętać, że zbieranie takich danych w pracy, bez odpowiednich podstaw, jest absolutnie niedopuszczalne.

Dane wrażliwe a prawo

Zakaz przetwarzania

Zasada jest prosta: danych wrażliwych nie wolno przetwarzać, chyba że masz do tego jasną podstawę prawną.

Zakaz wynika z art. 9 ust. 1 RODO oraz z art. 51 ust. 2 Konstytucji:

„Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym”.

Nie wystarczy tu zwykła „zgoda”. Organy nadzorcze, takie jak UODO, dobrze wiedzą, że w relacji pracodawca–pracownik zgoda bywa pozorna i wymuszona.

Wyjątki od zakazu (art. 9 ust. 2 RODO)

Można przetwarzać dane wrażliwe tylko w ściśle określonych sytuacjach, np.:

  • osoba, której dane dotyczą, wyraziła wyraźną zgodę (lit. a),
  • przetwarzanie jest niezbędne do wypełnienia obowiązków w dziedzinie prawa pracy (lit. b),
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą (lit. c),
  • przetwarzanie jest dokonywane przez organizację o charakterze non-profit (lit. d),
  • dane zostały ujawnione przez osobę, której dotyczą (lit. e),
  • przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń (lit. f),
  • oraz inne – szczegółowe podstawy.


Podsumowanie:

Zatem bez podstawy prawnej wskazanej w art. 9 ust. 2 RODO, nie wolno przetwarzać danych wrażliwych.

Podstawą zakazu jest art. 9 ust. 1 RODO.

To nie jest daną wrażliwą

Tu wiele osób się myli.

  • Wynagrodzenie to dane osobowe, ale nie wrażliwe.
  • Numer PESEL również nie jest daną wrażliwą (choć jego wyciek to poważny incydent bezpieczeństwa i może wymagać zgłoszenia do UODO – art. 33 RODO) .

To częste zaskoczenie podczas naszych szkoleń – i właśnie dlatego warto takie tematy przećwiczyć w praktyce.

 

Test na dane wrażliwe

  • Poglądy polityczne – TAK
  • Religia – TAK
  • Stan zdrowia – TAK
  • Zarobki, majątek – NIE
  • Przynależność związkowa – TAK
  • Orientacja seksualna – TAK
  • Dane biometryczne/genetyczne – TAK
  • PESEL – NIE
Odpowiedzialność za naruszenie ochrony danych

Konsekwencje wycieku danych mogą być dotkliwe.

  • za dane zwykłe – kara do 2 lat więzienia,
  • za dane wrażliwe – nawet do 3 lat (art. 107 ustawy o ochronie danych osobowych).

Różnica jest spora – i pokazuje, dlaczego ochrona danych wrażliwych to nie tylko formalność, ale realna odpowiedzialność.

Podsumowanie – kluczowe wnioski
  • Dane wrażliwe są objęte specjalną ochroną.
  • Bez podstawy prawnej z art. 9 ust. 2 RODO – nie wolno ich przetwarzać.
  • Jeżeli przetwarzasz dane wrażliwe na podstawie wyrażonej zgody na przetwarzanie, musi ona być wyraźna, świadoma i możliwa do udowodnienia.
  • Nawet jeśli masz zgodę, musisz spełniać inne zasady RODO, takie jak celowość, minimalizacja i bezpieczeństwo.
Potrzebujesz szkoleń z ochrony danych osobowych?

Chcesz, żeby Twoi pracownicy naprawdę rozumieli różnicę między danymi zwykłymi a wrażliwymi?

Żeby wiedzieli, jakie pytania w pracy można zadać, a jakich lepiej unikać?

Sprawdź nasze szkolenia na: www.comp-net.pl

Dlaczego my?

  • Szkolenia prowadzą Inspektorzy Ochrony Danych, którzy są jednocześnie certyfikowanymi trenerami.
  • Zamiast suchej teorii – konkretne przykłady z życia, które się pamięta.
  • Potwierdzona skuteczność – liczne referencje od naszych klientów.
  • Oprócz RODO ruszamy Cyberbezpieczeństwo i Bezpieczeństwo Informacji.

Wiedza to jedno, ale umiejętność jej przekazania to coś, co wyróżnia najlepszych. I tym właśnie są szkolenia CompNet.

Zgłoś się do nas! Wiemy jak skutecznie i optymalnie Wam pomóc: https://www.comp-net.pl/kontakt/ 

 Autor: Sebastian Strzech | Prezes Zarządu w CompNet Sp. z o.o.