Które dane są wrażliwe według RODO?

Autor: Aneta Grala pod red. Marcina Soczko — w kategorii Blog — 26 października 2020

26

Paź
2020
Dane wrażliwe to potoczne określenie zakresu danych, które w RODO występują pod pojęciem szczególnych kategorii danych osobowych i w odróżnieniu od danych zwykłych są to dane osobowe, które wymagają specjalnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności osoby fizycznej. Wcześniej również w przepisach prawa istniała definicja danych wrażliwych, stąd i my będziemy jej używać w niniejszym artykule.
Które dane osobowe to dane wrażliwe?
Na potrzeby artykułu podzielono dane wrażliwe na 3 grupy, aby ułatwić ich zdefiniowanie i rozróżnienie danych wrażliwych od danych zwykłych.
1. Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność́ do związków zawodowych osoby fizycznej.
Zaklasyfikowanie danych ujawniających pochodzenie rasowe lub etniczne do danych szczególnych kategorii ma przede wszystkim na celu zapewnienie równego traktowania w zatrudnieniu, edukacji, opiece społecznej i prawach obywatelskich bez względu na cechy biologiczne (jak kolor skóry), kulturowe (jak zwyczaje), język czy pochodzenie.
Zaś światopogląd jest pojęciem bardzo szerokim i powinien być rozumiany jako zbiór ogólnych przekonań dotyczących natury świata, człowieka i społeczeństwa, miejsca człowieka w świecie, sensu jego życia oraz wynikających z tego wartościowań i ideałów wyznaczających postawy życiowe ludzi i sposób ich postępowań. Zatem światopogląd to także religia i poglądy polityczne.
Istotną kategorią danych w tym zestawieniu jest także przynależność do związków zawodowych osoby fizycznej, mająca duże znaczenie w zakresie ochrony praw pracownicznych.
2. Dane genetyczne i dane biometryczne zastosowane w celu jednoznacznego zidentyfikowania osoby fizycznej.
Dane genetyczne, jak wskazuje RODO, to dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.
Co istotne źródłem danych genetycznych jest próbka genetyczna, a dane genetyczne są to informacje uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji.
Szerzej na ten temat pisaliśmy w artykule: Biometria – perspektywa RODO oraz bezpieczeństwa danych.
3. Dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.
O danych osobowych dotyczących zdrowia możemy mówić, kiedy dane te ujawniają informacje o stanie zdrowia osoby fizycznej. Zalicza się do nich także informacje o przeszłym, obecnym i przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Przykładami tych danych mogą być:
  • dane zbierane podczas rejestracji do usług opieki zdrowotnej,
  • dane pozyskane podczas świadczenia usługi opieki zdrowotnej,
  • numer, symbol lub oznaczenie przypisane danej osobie fizycznej
    w celu jednoznacznego zidentyfikowania tej osoby do celów zdrowotnych,
  • informacje pochodzące z badań laboratoryjnych lub lekarskich,
    w tym próbek biologicznych, informacje o chorobie,
    niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu
    klinicznym lub stanie fizjologicznym lub biomedycznym (w tym np. 
    o stanie i stopniu nietrzeźwości) osoby, której dane dotyczą.
Informacje o zdrowiu osoby fizycznej klasyfikujemy jako dane genetyczne niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub inne (np. alkomat).
Do tej kategorii zaliczamy także dane o przebywaniu na zwolnieniu lekarskim (doznane urazy, stwierdzone choroby) i dane o nałogach (w zakresie informacji o przebytym leczeniu oraz wpływu na stan zdrowia lub proces leczenia). Co więcej, informacja, że ktoś jest zdrowym i trzeźwym człowiekiem również stanowi informację o stanie zdrowia.
Z drugiej strony, w momencie śmierci osoby, informacja z jakiego powodu zmarła, w tym np. dane pochodzące z sekcji zwłok, nie stanowią danych osobowych. Ochrona danych osobowych dotyczy osób fizycznych, a więc żyjących. Jednakże należy pamiętać, że bliskim zmarłego przysługuje prawo do ochrony ich dobra osobistego, jakim jest kult pamięci osoby zmarłej.
Z uwagi na sytuację związaną z epidemią wirusa COVID-19 zgodność z prawem przetwarzanie danych dotyczących zdrowia budzi w ostatnim czasie wiele zainteresowania. Zatem warto przypomnieć, iż dane te mogą być przetwarzane, jeżeli odbywa się to w następujących celach związanych z ochroną zdrowia:
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego (art. 9 ust. 2 lit. h RODO),
  • przetwarzanie jest niezbędne z uwagi na interes publiczny w dziedzinie zdrowia publicznego, taki jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych (art. 9 ust. 2 lit. i RODO). Należy podkreślić, iż w przypadku transgranicznych zagrożeń dla zdrowia chodzi o wszelkie zagrożenia, o których mowa w art. 168 TFUE, w szczególności o charakterze epidemiologicznym. Ważne jest, że ta przesłanka legalności przetwarzania danych dotyczących zdrowia dotyczy tylko zdrowia publicznego, a nie partykularnych interesów (mających na względzie tylko własną korzyść osoby, a nie ogółu) osób, których dane dotyczą. Oznacza to, iż nie możemy stosować tego przepisu  do przetwarzania danych dotyczących zdrowia niezbędnych do wykonywania zdalnych zabiegów medycznych, gdy zespół innego kraju łączy się z urządzeniem zlokalizowanym w Polsce.
W tym miejscu warto wspomnieć także, że motyw 46 RODO wskazuje, że przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, które ma istotne znaczenie dla życia osoby, której dane dotyczą lub innej osoby fizycznej. Niektóre czynności przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą lub innej osoby fizycznej, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych w tym monitorowania epidemii i ich rozprzestrzeniania się.
Natomiast w pojęciach seksualności i orientacji seksualnej mieszczą się zachowania (w tym zaburzenia), preferencje seksualne, ale i identyfikacja płciowa czy deklarowana orientacja seksualna, deklarowana płeć oraz płeć biologiczna.
Ogólnie rzecz ujmując dane wrażliwe dotykają bezpośrednio sfer prywatności czy nawet intymności osoby fizycznej oraz mogących wiązać się z wysokim niebezpieczeństwem wywołania decyzji dyskryminujących na różnych polach (zatrudnienie, ubezpieczenie, kredytowanie, stosunki międzyludzkie).
Chociaż RODO wskazuje, iż – co do zasady – zabrania się przetwarzania danych wrażliwych, to w rzeczywistości jest to możliwe, ale wyłącznie po spełnieniu jednego z warunków wymienionych w art. 9 ust. 2 RODO.
Warunki, jakie muszą być spełnione, aby przetwarzanie szczególnych kategorii danych osobowych było zgodne z prawem omawialiśmy już w artykule: Biometria – perspektywa RODO oraz bezpieczeństwa danych.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.