• Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2019 Michał Nosowski, Toruń. 

Kiedy można przetwarzać dane szczególnej kategorii?

10.08.2018

 

Bycie „prawnikiem od RODO” polega m.in. na wskazywaniu co jakiś czas różnicy pomiędzy danymi „zwykłymi”, a tymi danymi, które są objęte szczególną ochroną, czyli „danymi szczególnej kategorii”. Dotyczy to np. klasycznej, występującej regularnie sytuacji gdy osoba, której dane dotyczą musi podać swój PESEL w celu zawarcia umowy (np. najmu, zlecenia czy jakiejkolwiek innej) i uznaje, że z uwagi na to, że weszło RODO, nie musi tego robić, bo przecież jej PESEL to dane szczególnej kategorii. To nic, że jeśli osoba ta jest np. członkiem zarządu lub wspólnikiem wpisanym do KRS, to jej nr PESEL jest publicznie dostępny. W powszechnej świadomości PESEL często jest uznawany za dane wrażliwe – co nie ma wiele wspólnego z przepisami RODO. Dlatego stwierdziłem, że napiszę o tym, co jest danymi szczególnej kategorii – czyli właśnie tymi, które chronimy bardziej niż inne.

 

Jakie dane są danymi szczególnej kategorii?

 

Zgodnie z przepisem art. 9 ust. 1 RODO, do danych szczególnej kategorii zaliczamy:

  • Dane ujawniające pochodzenie rasowe lub etniczne

  • Dane ujawniające poglądy polityczne

  • Dane ujawniające przekonania religijne lub światopoglądowe,

  • Dane dotyczące przynależności do związków zawodowych,

  • Dane genetyczne i biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby,

  • Dane dotyczące zdrowia,

  • Dane dotyczące orientacji seksualnej i seksualności.

Jak więc widać PESEL się do tych danych nie zalicza. Dlatego, jeśli jesteśmy administratorem musimy pamiętać o tym, że, tak jak „zwykłe dane” generalnie możemy przetwarzać – o ile mamy jakiś cel, który znajduje oparcie w przepisach (dość ogólnych), tak danych „szczególnej kategorii” (nazywanych również danymi wrażliwymi) tak po prostu przetwarzać nie wolno – są one chronione bardziej niż te zwykłe. A jeżeli już możemy je zbierać, to powinniśmy oprzeć się na przepisie prawa, który wyraźnie nam na to pozwala – regulacje te są już bardziej szczegółowe niż ogólne zasady dotyczące przetwarzania danych.

 

Ewentualne przetwarzanie ich niezgodnie z zasadami (np. doprowadzenie do wycieku, przekazanie osobie nieuprawnionej itp.) może powodować bowiem poważne ryzyko naruszenia podstawowych praw i wolności osoby, której dane dotyczą.

 

Podsumujmy: co do zasady wolno przetwarzać dane zwykłe – z reguły, jeżeli potrzebujemy jakichś danych dot. osoby, jesteśmy w stanie znaleźć jakąś z ogólnych przesłanek, które wskazano w RODO – np. przetwarzać dane w celu wykonania umowy, realizacji obowiązku prawnego albo realizacji swojego prawnie uzasadnionego interesu. Pamiętajmy tylko o tym, aby (zgodnie z zasadą minimalizmu) przetwarzać tylko te dane, które rzeczywiście są nam potrzebne.

 

Ale na tej samej podstawie nie możemy przetwarzać danych szczególnej kategorii. Nawet jeżeli uznamy więc, że są one nam potrzebne (np. do realizacji jakiejś umowy) to nie będzie to wystarczające. Będziemy mogli je przetwarzać tylko w sytuacji gdy pozwoli nam na to dodatkowa wyrażona w prawie podstawa. Takie podstawy zostały wskazane w art. 9 ust. 2 RODO.

 

Jakie są  podstawy przetwarzania danych szczególnej kategorii?

  1. Zgoda – przy czym zgoda ta musi być wyraźna, co oznacza że najlepiej abyśmy odebrali ją na piśmie, nagrali lub zapisali na dysku/serwerze (np. w treści maila) – powinna ponadto wskazywać wyraźnie to, czego dotyczy.

  2. Sytuacja gdy przetwarzanie jest niezbędne aby spełnić obowiązki, które nałożone są przez przepisy dot. prawa pracy, praw socjalnych, zabezpieczenia społecznego czy ochrony socjalnej (np. w sytuacji gdy do przetwarzania danych szczególnej kategorii zmuszają pracodawcę przepisy Kodeksu pracy).

  3. Gdy jest to niezbędne do ochrony tzw. żywotnych interesów osoby, np. życia lub zdrowia i osoba ta sama nie jest zdolna do wyrażenia zgody.

  4. Gdy przetwarzania dokonuje fundacja, stowarzyszenie lub inny podmiot w celach politycznych, religijnych, światopoglądowych itp. – w zakresie w jakim przetwarza dane swoich członków (dotyczy to np. partii politycznych).

  5. Gdy dane zostały upublicznione w sposób oczywisty przez osobę, której dotyczą.

  6. Gdy przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń albo w ramach sprawowania wymiaru sprawiedliwości przez sądy (co oznacza, że możemy przetwarzać dane osobowe szczególnej kategorii – np. dane dotyczące czyjegoś stanu zdrowia - gdy jest to niezbędne po to aby np. przedstawić przed sądem dowody, które świadczą o zasadności naszych roszczeń)

  7. Gdy przetwarzanie jest niezbędne z uwagi na świadczenie usług medycznych – możemy przetwarzać dane o stanie zdrowia w przypadku gdy świadczymy usługi leczenia ludzi,

  8. Gdy przetwarzanie jest niezbędne z uwagi na określone interesy publiczne – Rozporządzenie wskazuje tutaj na 3 kategorie takich  interesów – ogólne, związane ze zdrowiem publicznym oraz np. w zakresie celów archiwalnych, historycznych lub badań naukowych.

Dlatego też, jeżeli chcemy przetwarzać dane szczególnej kategorii, musimy znaleźć jedną z przesłanek wskazanych powyżej, która nam to umożliwi. Jeżeli żadna z przesłanek nie uzasadnia możliwości przetwarzania przez nas danych szczególnej kategorii, nie możemy niestety tego robić.

 

Share on Facebook
Share on Twitter
Please reload

Please reload

Michał Nosowski
Radca prawny

 

Jestem prawnikiem i zajmuję się tym jak regulacje prawne przenikają się z nowymi technologiami. Dlatego często współpracuję z programistami, osobami zajmującymi się marketingiem i ludźmi, którzy tworzą innowacyjne biznesy. Moim celem jest tłumaczenie jak w przystępny sposób dostosować swój nowatorski biznes do przepisów prawa, a przy okazji nie zatrzymać jego rozwoju.

Istotne jest dla mnie to, aby to co tu publikuję było jasne i czytelne nie tylko dla innych prawników. Dlatego nie zamieszczam tu nudnych analiz poszczególnych przepisów, setek orzeczeń albo fragmentów opasłych komentarzy. Chcę być zrozumiałym dla Ciebie i wierzę, że o prawie można mówić z uśmiechem na twarzy.

O czym piszę najczęściej? O ochronie danych osobowych, umowach w IT, prawnych regulacjach prowadzenia działalności gospodarczej i tych przepisach, które dotyczą działalności w sieci. Czasem wspomnę coś o kryptowalutach albo praniu pieniędzy. Poza tym zajmuję się prawną obsługą biznesu, wdrażam RODO, prowadzę audyty z ochrony danych osobowych, a czasem także szkolę.

Jeśli chcesz się ze mną skontaktować, napisz na: kontakt@mnosowski.pl