Poradnik Przedsiębiorcy

Dane osobowe zwykłe i wrażliwe

Dane osobowe to w ostatnich czasach nośny temat. Rozszerza się zakres ich ochrony, powstało też rozróżnienie na dane osobowe zwykłe i wrażliwe (szczególnie chronione). Pojęcia te mogą się wydawać niejasne, jednak na podstawie przepisów o ochronie danych osobowych, a także dzięki praktyce stosowania takiej ochrony, łatwo można wskazać różnice między nimi.

Dane osobowe zwykłe  

Definicję danych osobowych można znaleźć w tzw.rozporządzeniu RODO. Artykuł 4 tego aktu prawnego najpełniej ujmuje to pojęcie:

Art. 4

"dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);

możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej) 

Identyfikacja osoby fizycznej może odbyć się za pomocą najbardziej podstawowych danych: imienia, nazwiska, adresu zamieszkania lub zameldowania, numeru PESEL, NIP  czy numeru telefonu, czy numeru IP. Ustawa nie wymienia ich wprost, jednak ze względu na fakt, że właśnie te informacje najdokładniej określają konkretną osobę i są podawane najczęściej, funkcjonują jako dane osobowe zwykłe. Za takim ich zaklasyfikowaniem przemawia też fakt, że ich zdobycie nie wymaga nadzwyczajnych nakładów czasu, środków ani kosztów (na przykład są zbyt ogólnikowe - zidentyfikowanie na ich podstawie konkretnego człowieka byłoby niezwykle trudne), nie stanowią informacji niejawnych, a sami właściciele podają je przy różnych okazjach stosunkowo często.  

Ochrona takich danych osobowych polega na określonych w przepisach ograniczeniach, dotyczących przetwarzania danych i uprawnieniach osoby, której one dotyczą.

Dane osobowe wrażliwe

Ustawa nie definiuje z kolei pojęcia wrażliwych (sensytywnych) danych osobowych, jednak w przepisach, dotyczących zasad przetwarzania danych, znaleźć można art. 9, w którym wymieniono informacje podlegające szczególnej ochronie i określono zasady tej ochrony.

Art. 9

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Informacje wymienione w przytoczonym przepisie odnoszą się do innej dziedziny życia niż zwykłe dane osobowe. Ich przetwarzanie mogłoby w znacznym stopniu naruszyć intymność ich właściciela, narazić go na dyskryminację lub ośmieszyć ze względu na sfery życia, których dotyczą. Sama idea wyodrębnienia takiej kategorii danych wywodzi się bezpośrednio z prawa każdego człowieka do prywatności.

W odniesieniu do sensytywnych danych osobowych zasadą jest ich nieprzetwarzanie. Ustawa przewiduje szereg sytuacji, w których można tego dokonać, lecz żeby przetworzenie nie naruszało interesów osoby, której dotyczą dane, należy spełnić pewne warunki. Wymienia je ust. 2 art. 9 ustawy o ochronie danych osobowych.

Art. 9 (...)

2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:

a)osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach;

b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;

e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;

h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;

i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osoób, których dane dotyczą, w szczególności tajemnicę zawodową;

j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą

Jak wynika z ust. 2 art. 9, ochrona danych wrażliwych polega na umożliwieniu przetwarzania ich tylko w uzasadnionych przypadkach, wymienionych enumeratywnie w ustawie.