Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

  • Michał Nosowski

Kiedy można przetwarzać dane szczególnej kategorii?


Bycie „prawnikiem od RODO” polega m.in. na wskazywaniu co jakiś czas różnicy pomiędzy danymi „zwykłymi”, a tymi danymi, które są objęte szczególną ochroną, czyli „danymi szczególnej kategorii”. Dotyczy to np. klasycznej, występującej regularnie sytuacji gdy osoba, której dane dotyczą musi podać swój PESEL w celu zawarcia umowy (np. najmu, zlecenia czy jakiejkolwiek innej) i uznaje, że z uwagi na to, że weszło RODO, nie musi tego robić, bo przecież jej PESEL to dane szczególnej kategorii. To nic, że jeśli osoba ta jest np. członkiem zarządu lub wspólnikiem wpisanym do KRS, to jej nr PESEL jest publicznie dostępny. W powszechnej świadomości PESEL często jest uznawany za dane wrażliwe – co nie ma wiele wspólnego z przepisami RODO. Dlatego stwierdziłem, że napiszę o tym, co jest danymi szczególnej kategorii – czyli właśnie tymi, które chronimy bardziej niż inne.

Jakie dane są danymi szczególnej kategorii?

Zgodnie z przepisem art. 9 ust. 1 RODO, do danych szczególnej kategorii zaliczamy:

  • Dane ujawniające pochodzenie rasowe lub etniczne

  • Dane ujawniające poglądy polityczne

  • Dane ujawniające przekonania religijne lub światopoglądowe,

  • Dane dotyczące przynależności do związków zawodowych,

  • Dane genetyczne i biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby,

  • Dane dotyczące zdrowia,

  • Dane dotyczące orientacji seksualnej i seksualności.

Jak więc widać PESEL się do tych danych nie zalicza. Dlatego, jeśli jesteśmy administratorem musimy pamiętać o tym, że, tak jak „zwykłe dane” generalnie możemy przetwarzać – o ile mamy jakiś cel, który znajduje oparcie w przepisach (dość ogólnych), tak danych „szczególnej kategorii” (nazywanych również danymi wrażliwymi) tak po prostu przetwarzać nie wolno – są one chronione bardziej niż te zwykłe. A jeżeli już możemy je zbierać, to powinniśmy oprzeć się na przepisie prawa, który wyraźnie nam na to pozwala – regulacje te są już bardziej szczegółowe niż ogólne zasady dotyczące przetwarzania danych.

Ewentualne przetwarzanie ich niezgodnie z zasadami (np. doprowadzenie do wycieku, przekazanie osobie nieuprawnionej itp.) może powodować bowiem poważne ryzyko naruszenia podstawowych praw i wolności osoby, której dane dotyczą.

Podsumujmy: co do zasady wolno przetwarzać dane zwykłe – z reguły, jeżeli potrzebujemy jakichś danych dot. osoby, jesteśmy w stanie znaleźć jakąś z ogólnych przesłanek, które wskazano w RODO – np. przetwarzać dane w celu wykonania umowy, realizacji obowiązku prawnego albo realizacji swojego prawnie uzasadnionego interesu. Pamiętajmy tylko o tym, aby (zgodnie z zasadą minimalizmu) przetwarzać tylko te dane, które rzeczywiście są nam potrzebne.

Ale na tej samej podstawie nie możemy przetwarzać danych szczególnej kategorii. Nawet jeżeli uznamy więc, że są one nam potrzebne (np. do realizacji jakiejś umowy) to nie będzie to wystarczające. Będziemy mogli je przetwarzać tylko w sytuacji gdy pozwoli nam na to dodatkowa wyrażona w prawie podstawa. Takie podstawy zostały wskazane w art. 9 ust. 2 RODO.

Jakie są podstawy przetwarzania danych szczególnej kategorii?

  1. Zgoda – przy czym zgoda ta musi być wyraźna, co oznacza że najlepiej abyśmy odebrali ją na piśmie, nagrali lub zapisali na dysku/serwerze (np. w treści maila) – powinna ponadto wskazywać wyraźnie to, czego dotyczy.

  2. Sytuacja gdy przetwarzanie jest niezbędne aby spełnić obowiązki, które nałożone są przez przepisy dot. prawa pracy, praw socjalnych, zabezpieczenia społecznego czy ochrony socjalnej (np. w sytuacji gdy do przetwarzania danych szczególnej kategorii zmuszają pracodawcę przepisy Kodeksu pracy).

  3. Gdy jest to niezbędne do ochrony tzw. żywotnych interesów osoby, np. życia lub zdrowia i osoba ta sama nie jest zdolna do wyrażenia zgody.

  4. Gdy przetwarzania dokonuje fundacja, stowarzyszenie lub inny podmiot w celach politycznych, religijnych, światopoglądowych itp. – w zakresie w jakim przetwarza dane swoich członków (dotyczy to np. partii politycznych).

  5. Gdy dane zostały upublicznione w sposób oczywisty przez osobę, której dotyczą.

  6. Gdy przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń albo w ramach sprawowania wymiaru sprawiedliwości przez sądy (co oznacza, że możemy przetwarzać dane osobowe szczególnej kategorii – np. dane dotyczące czyjegoś stanu zdrowia - gdy jest to niezbędne po to aby np. przedstawić przed sądem dowody, które świadczą o zasadności naszych roszczeń)

  7. Gdy przetwarzanie jest niezbędne z uwagi na świadczenie usług medycznych – możemy przetwarzać dane o stanie zdrowia w przypadku gdy świadczymy usługi leczenia ludzi,

  8. Gdy przetwarzanie jest niezbędne z uwagi na określone interesy publiczne – Rozporządzenie wskazuje tutaj na 3 kategorie takich interesów – ogólne, związane ze zdrowiem publicznym oraz np. w zakresie celów archiwalnych, historycznych lub badań naukowych.

Dlatego też, jeżeli chcemy przetwarzać dane szczególnej kategorii, musimy znaleźć jedną z przesłanek wskazanych powyżej, która nam to umożliwi. Jeżeli żadna z przesłanek nie uzasadnia możliwości przetwarzania przez nas danych szczególnej kategorii, nie możemy niestety tego robić.

#daneszczególnejkategorii #danewrażliwe #przetwarzanie #przesłanki #danebiometryczne #daneostaniezdrowia #poglądypolityczne #zgodanaprzetwarzaniedanych

Michał Nosowski

Jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT i prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

Projekt: 2020 Michał Nosowski, Toruń.