Poradnik Przedsiębiorcy

Szczególne kategorie danych osobowych i ich przetwarzanie według RODO

Przepisy RODO wyróżniają dwa rodzaje danych osobowych – dane zwykłe oraz szczególne kategorie danych osobowych. RODO zakłada, że przetwarzanie i przechowywanie danych osobowych podlega ścisłym ograniczeniom, które wyrażają się w szeregu zasad, jakich musi przestrzegać każdy przedsiębiorca. Dane szczególne podlegają dodatkowej ochronie.

Dane zwykłe i szczególne kategorie danych osobowych

W kontekście zasad ochrony danych osobowych niezwykle istotne jest rozróżnienie danych zwykłych i danych szczególnych (nazywanych również danymi wrażliwymi), od tej klasyfikacji bowiem zależy dopuszczalność przetwarzania oraz katalog metod, jakie winien zastosować przedsiębiorca w celu ich ochrony.

RODO zawiera precyzyjną definicję danych osobowych (przepis art. 4 pkt 1 rozporządzenia), zgodnie z którą są to wszystkie informacje umożliwiające zidentyfikowanie osoby fizycznej. W szczególności danymi osobowymi są imię i nazwisko, numer identyfikacyjny (np. numer PESEL, numer dowodu osobistego, numer prawa jazdy itd.), dane o lokalizacji (np. adres zamieszkania, miejsce pracy itd.), identyfikator internetowy (np. numer IP), czynniki określające tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną.

Ważne!
Dane osobowe w rozumieniu przepisów RODO to wszystkie informacje, które umożliwiają bezpośrednie lub nawet pośrednie zidentyfikowanie osoby fizycznej (np. imię i nazwisko, numer dowodu osobistego, identyfikatory plików cookies, adres e-mail).

RODO wyróżnia również kategorię danych szczególnych, którymi są informacje zaliczone do tej kategorii ze względu na swój wrażliwy charakter – są to m.in. dane dotyczące pochodzenia etnicznego czy przynależności do związków zawodowych. 

Jednocześnie, RODO wyróżnia szczególne kategorie danych osobowych, do których zalicza się dane wrażliwe, o niezwykle istotnym znaczeniu:

  • dane o pochodzeniu rasowym lub etnicznym,

  • informacje o poglądach politycznych,

  • informacje o przekonaniach religijnych lub światopoglądowych,

  • dane dotyczące przynależności do związków zawodowych,

  • dane genetyczne,

  • dane biometryczne,

  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej. 

Dane wrażliwe, czyli jakie?

Nie wszystkie dane będą stanowiły dane osobowe podlegające ochronie w rozumieniu przepisów RODO – chodzi wyłącznie o takie informacje, które rzeczywiście (bezpośrednio lub pośrednio) umożliwiają zidentyfikowanie osoby fizycznej i ujawnienie wspomnianych powyżej cech charakterystycznych dla konkretnej osoby fizycznej. 

Informacje o pochodzeniu rasowym, poglądach politycznych czy przekonaniach religijnych to szeroka kategoria danych, do których będą zaliczały się wszystkie informacje odnoszące się do tych cech charakterystycznych osoby fizycznej. Dodatkowo, RODO precyzuje pojęcie danych genetycznych (przepis art. 4 pkt 13 rozporządzenia), danych biometrycznych (przepis art. 4 pkt 14 rozporządzenia) oraz danych dotyczących zdrowia (przepis art. 4 pkt 15 rozporządzenia).

W rozumieniu przepisów RODO:

Dane genetyczne to dane dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.

Przykład: wyniki badań genetycznych kobiety w ciąży.

Dane biometryczne to dane, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Przykład: wizerunek twarzy, głos, kształt małżowiny usznej, układ tęczówki lub siatkówki oka, własnoręczny podpis, sposób poruszania się, linie papilarne.

Dane dotyczące zdrowia to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

Przykład: wyniki badań laboratoryjnych, dane o niepełnosprawności, informacje o uzależnieniu od alkoholu lub narkotyków, informacje o zażywanych lekach.

Oprócz wyżej wymienionych kategorii danych wrażliwych przepisy RODO zawierają jeszcze jeden rodzaj informacji podlegających szczególnej ochronie – dane dotyczące przeszłości kryminalnej osoby fizycznej, przez które należy rozumieć informacje o wyrokach skazujących, naruszeniach prawa oraz powiązanych z nimi środków bezpieczeństwa. Zgodnie z zasadami RODO, przetwarzanie tych informacji jest możliwe wyłącznie pod nadzorem władz publicznych oraz z zastosowaniem odpowiednich zabezpieczeń dotyczących ochrony praw i wolności osób, których dane dotyczą. Warto pamiętać, że w przypadku niektórych zawodów wymagane jest podanie przez zatrudnianego pracownika informacji o przeszłości kryminalnej. W takich przypadkach – w zależności od pobieranych przez pracodawcę informacji – uzyskane dane mogą podlegać szczególnym zasadom ochrony.

Czy szczególne kategorie danych osobowych mogą być przetwarzane?

Co do zasady przetwarzanie danych wrażliwych jest zabronione. RODO zakłada, że do kategorii danych szczególnych zaliczają się informacje o niezwykle istotnym znaczeniu z punktu widzenia intymności i prywatności osoby fizycznej i stąd informacje te nie powinny być w ogóle przetwarzane. 

Ważne!
Przepisy RODO zabraniają przetwarzania danych osobowych zaliczonych do kategorii danych szczególnych. Jest ono możliwe tylko w przypadkach wskazanych w rozporządzeniu.

Jednocześnie przepisy rozporządzenia przewidują szereg wypadków, w których przetwarzanie danych szczególnych jest możliwe, o ile administrator danych spełni warunki przewidziane w przepisach.

Przetwarzanie danych wrażliwych jest dopuszczalne w następujących wypadkach:

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na ich przetwarzanie;

  2. przetwarzanie jest konieczne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (jeśli jest to dozwolone prawem UE lub prawem państwa członkowskiego);

  3. przetwarzanie jest konieczne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

  4. przetwarzanie danych przez fundację, stowarzyszenie lub inny podmiot działający w celach niezarobkowych, jeśli chodzi o cele polityczne, światopoglądowe, religijne i związkowe dotyczące członków tej organizacji;

  5. dane biometryczne są w oczywisty sposób upublicznione;

  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

  7. przetwarzanie jest związane z realizacją ważnego interesu publicznego, w tym również w dziedzinie zdrowia publicznego;

  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego;

  9. przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

Z punktu widzenia przedsiębiorcy najistotniejsze znaczenie ma zgoda osoby fizycznej. Powinna być ona udzielona w sposób wyraźny, nigdy dorozumiany. Obowiązkiem przedsiębiorcy będzie wyczerpujące poinformowanie osoby fizycznej o zasadach, skutkach i celach podejmowanych przez niego działań oraz stosowanych zasadach ochrony. 

Przykładem sytuacji, w której przedsiębiorca będzie przetwarzał dane wrażliwe, może być np. organizacja imprezy firmowej i uzyskanie od pracowników informacji o alergiach pokarmowych (informacje o alergiach będą zaliczały się do danych dotyczących zdrowia) czy przetwarzanie danych osobowych wynikających z dostarczonych przez pracownika badań lekarskich. W takim wypadku pracodawca powinien uzyskać od pracowników zgodę na przetwarzanie danych wrażliwych.