Niektóre dane osobowe dotyczą w tak dużym stopniu sfery prywatności podmiotu danych, że nadaje im się szczególny status danych ze szczególnej kategorii (danych wrażliwych). Dopuszczalność przetwarzana tych danych osobowych została ograniczona w stosunku do danych zwykłych, ponieważ ich przetwarzanie w ocenie ustawodawcy niesie za sobą poważne ryzyko dla podstawowych praw i wolności. Sprawdź, w jakich przypadkach możesz przetwarzać dane ze szczególnej kategorii.
Z artykułu dowiesz się m.in.:
Przypomnijmy, że zgodnie z art. 4 pkt. 1 RODO dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Identyfikacja podmiotu danych może również nastąpić poprzez informacje ujawniające:
W stosunku do stanu prawnego obowiązującego przed wejściem w życie RODO (w którym dane te określano mianem wrażliwych), katalog został poszerzony o dane genetyczne i biometryczne.
Danymi genetycznymi są dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.
Danymi biometrycznymi są dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Warto zaznaczyć, że wizerunek człowieka nie w każdym przypadku może uznać za dane biometryczne. Wizerunek osoby fizycznej to nie tylko wizerunek twarzy człowieka, ale wszelkie inne elementy charakterystyczne dla danego człowieka, o ile pozwalają na jego rozpoznanie takie jak przykładowo charakterystyczna postawa, ubiór, sposób mówienia, poruszania się itp. (wyrok Sądu Najwyższego z 30 października 2003 r. IV CK 149/02).CO więcej przetwarzanie fotografii człowieka nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości (motyw 51 preambuły RODO).
Katalog szczególnych kategorii danych osobowych ma charakter zamknięty.
Reasumując, możliwe jest ustalenie tożsamości człowieka poprzez jeden z ww. czynników, należących do sfery prywatności tej konkretnej osoby. Innymi słowy dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności (motyw 51 preambuły RODO). Mając na względzie szczególny charakter tych danych, ustanowiono generalny zakaz ich przetwarzania. Nie oznacza to jednak, że od tego zakazu nie są przewidziane wyjątki.
Możliwość przetwarzania danych osobowych szczególnych kategorii wynika z art. 9 ust. 2 RODO. Nie jest więc wystarczające posłużenie się przesłankami przetwarzania zwykłych danych osobowych przewidzianymi w art. 6 RODO.
L.p. |
Podstawa przetwarzania danych szczególnych kategorii |
Objaśnienie |
1. |
wyraźna zgoda osoby, której dane dotyczą, na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania danych ze szczególnej kategorii |
Najprostszą formą udzielenia zgody wyraźnej (która gwarantuje też rozliczalność administratora) z całą pewnością jest jej forma pisemna. Nie można też wykluczyć zgody udzielonej w formie elektronicznej i telefonicznej. Co najistotniejsze, zgoda wyraźna nie powinna przybierać brzmienia „przyjmuję do wiadomości..”, ponieważ przyjęcie do wiadomości nie oznacza wyrażenia zgody wyraźnej. |
2. |
niezbędność przetwarzania celem wypełnienia obowiązków i wykonywania szczególnych uprawnień przez administratora danych osobowych lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą |
W tym zakresie należy odwołać się do źródeł prawa pracy, przede wszystkim Kodeksu pracy, ale także przepisów innych ustaw i aktów wykonawczych, określających prawa i obowiązki pracowników i pracodawców (np. ustawy o pracownikach samorządowych, Karty Nauczyciela, ustawy o działalności leczniczej), a także postanowień układów zbiorowych pracy i innych opartych na ustawie porozumień zbiorowych, regulaminów i statutów określających prawa i obowiązki stron stosunku pracy (a więc również regulaminów pracy i wynagradzania). Przesłanka ta legalizuje posługiwanie się danymi wrażliwymi kandydata do pracy jak również pracowników. Przykład. Przetwarzanie danych osobowych członków związku zawodowego (przynależność do związku) w związku z realizacją uprawnienia pracownika do szczególnej ochrony stosunku pracy z art. 32 ustawy o związkach zawodowych albo zwolnienia z obowiązku świadczenia pracy z art. 31 ustawy o związkach zawodowych). Przykład. Komisja konkursowa przetwarzania dane osobowe o stanie zdrowia kandydata na stanowisko dyrektora szkoły widniejące w orzeczeniu lekarskim. Odpowiedni stan zdrowia jest jednym z wymogów do objęcia funkcji dyrektora szkoły. |
3. |
niezbędność przetwarzania celem ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; |
Należy zwrócić uwagę na szczególną doniosłość tego warunku ze względu na okoliczności, które legalizuje. Chodzi tu przede wszystkim o przypadki ochrony życia i zdrowia osoby, której dane dotyczą lub innej osoby (motyw 46 preambuły RODO). Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie można oprzeć na innej podstawie prawnej. Przykład. W następstwie wypadku komunikacyjnego przetwarzanie danych osobowych dotyczących zdrowia osoby, która ucierpiała w wypadku jest konieczne, aby ochronić jej zdrowie, a może nawet życie. W tej sytuacji przetwarzanie musi nastąpić niezwłocznie, jako że najważniejszą rolę odgrywa wiedza i czas. W niektórych przypadkach przetwarzanie może służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, a zwłaszcza w przypadkach klęsk żywiołowych i katastrof spowodowanych przez człowieka (motyw 46 preambuły RODO). |
4. |
objęcie przetwarzaniem danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; |
Chodzi tu wyłącznie o ewidentny przypadek upublicznienia danych osobowych przez sam podmiot tych danych. Przykład. Polityk zamieszcza na portalu społecznościowym filmik z ceremonii zawarcia związku partnerskiego ze swoim partnerem. |
5. |
niezbędność przetwarzania danych osobowych celem ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy; |
Wskazana podstawa przetwarzania danych szczególnej kategorii dotyczy przypadków prowadzenia sporów sądowych. Przykład Pracodawca zwolnił pracownika, podając jako przyczynę częste absencje wywołane zwolnieniami lekarskimi powodujące dezorganizację pracy. Pracownik pozwał pracodawcę przed sądem pracy. Aby obronić swoje stanowisko pracodawca musi przedstawić przedkładane przez pracownika zwolnienia lekarskie. |
6. |
niezbędność przetwarzania danych osobowych do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia |
Dane osobowe mogą być przetwarzane na tej podstawie z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 9 ust. 3 RODO tj. jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe. Przykład. Pracodawca przetwarza dane osobowe o stanie zdrowia kandydata do pracy, odbierając orzeczenie lekarza medycyny pracy w sprawie przeciwwskazań do wykonywania pracy na danym stanowisku. Analogicznie pracodawca przetwarza takie dane pracownika w związku z badaniami okresowymi i kontrolnymi. |
7. |
niezbędność przetwarzania ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową |
|
8. |
niezbędność przetwarzania danych osobowych do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1 RODO, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą |
Masz wątpliwości, czy prawidłowo przetwarzasz dane osobowe szczególnych kategorii? Skorzystaj z audytu systemu ochrony danych w Twojej firmie.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl