Przeczytaj
Dane wrażliwe
Dane wrażliwe (sensytywne) to wyodrębniona kategoria danych osobowych, które należy szczególnie chronić.
Akty prawne regulujące kwestie ochrony danych osobowych to przede wszystkim:
Rozporządzenie o ochronie danych osobowych (RODO) – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych;
Ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Wymienione akty normatywne nie definiują wprost pojęcia danych wrażliwych, podają za to zamknięty katalog takich danych.
Zgodnie z nim, dane wrażliwe to informacje ujawniające między innymi:
pochodzenie rasowe,
pochodzenie etniczne,
poglądy polityczne,
przekonania religijne,
światopogląd,
przynależność do związków zawodowych,
dane genetyczne (np. kod DNA, RNA),
dane biometrycznedane biometryczne (np. linie papilarne, kształt małżowiny usznej, odręczny podpis),
dane dotyczące zdrowia,
seksualność lub orientację seksualną.
Dla porównania, do danych osobowych zwykłych zaliczamy np. imię i nazwisko, adres zamieszkania, numer PESEL czy numer telefonu.
Dane wrażliwe
Ze względu na szczególny charakter danych wrażliwych ich przetwarzanie jest zabronione. Zakaz ten dotyczy zarówno przetwarzania w formie zautomatyzowanej, jak i niezautomatyzowanej. Przepisy prawa przewidują jednak pewne wyjątki od tej zasady.
Kiedy dopuszcza się przetwarzanie danych wrażliwych?
Zezwalają na to przepisy prawa – np. ustawa o Straży Granicznej w sytuacjach zagrożenia bezpieczeństwa publicznego pozwala między innymi na pobranie osobom podejrzanym wymazów ze śluzówki policzków,
jest to niezbędne dla ochrony życia, lub zdrowia, lub interesów osoby, której dane dotyczą lub innej osoby – np. kontrola pandemii i jej rozprzestrzeniania się; obowiązek ratowania zdrowia lub życia ludzi; poza zakresem tej kategorii są interesy ekonomiczne oraz majątkowe,
dane takie zostały upublicznione przez osobę, której dotyczą – np. w prasie, w internecie; przy czym dane te muszą zostać podane do publicznej wiadomości w taki sposób, aby mogła się z nimi zapoznać bliżej nieokreślona liczba osób,
osoba, której dane dotyczą, wyraziła pisemną zgodę na ich przetwarzanie – np. kandydat podczas procesu rekrutacji wyraził zgodę na przetwarzanie danych dotyczących jego stanu zdrowia,
wykorzystanie tych danych jest niezbędne w celu dochodzenia praw przed sądem – np. zbadanie, czy doszło do prześladowania pracownika ze względu na jego pochodzenie etniczne.
Podmiot przetwarzający dane osobowe wrażliwe ma obowiązek prowadzenia rejestrów czynności przetwarzania danych.
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowychArt. 107. [Nielegalne przetwarzanie danych osobowych]
1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
Ogólne zasady bezpieczeństwa obowiązujące przy przetwarzaniu danych osobowych
O jakich zasadach należy pamiętać?
Zasada czystego biurka – dokumenty z danymi wrażliwymi nie powinny znajdować się w ogólnodostępnym miejscu.
W miejscu przetwarzania danych osobowych nie powinny przebywać osoby nieuprawnione.
Pomieszczenie, w którym przetwarzane są dane osobowe powinno być zamykane na klucz.
Komputery służące do przetwarzania danych powinny podlegać przeglądom antywirusowym.
Należy pamiętać o szyfrowaniu danych.
Powinno się regularnie zmieniać hasła dostępu.
Doszło do naruszenia bezpieczeństwa danych osobowych. I co teraz?
W ciągu 72 godzin od momentu stwierdzenia takiego naruszenia należy zawiadomić o nim Urząd Ochrony Danych Osobowych.
Administrator danych osobowych ma obowiązek bez zbędnej zwłoki zawiadomić o tym również osobę, której dane dotyczą.
Administratorem danych wrażliwych może być np. przedsiębiorca lub pracodawca, który gromadzi takie dane w ramach prowadzonej przez siebie działalności, przychodnia lekarska, szpital, fundacja i tym podobne instytucje.
Słownik
podmiot publiczny lub prywatny, który decyduje o celach i sposobach przetwarzania danych osobowych; może być też wskazany w ustawie
dane osobowe dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiające lub potwierdzające jednoznaczną identyfikację tej osoby, w tym wizerunek twarzy lub dane daktyloskopijne
dane osobowe dotyczące stanu zdrowia fizycznego lub psychicznego osoby fizycznej, w tym dane o korzystaniu z usług opieki zdrowotnej, które ujawniłyby informacje o stanie jej zdrowia
dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu, uzyskane przeważnie na podstawie analizy jej próbki biologicznej
wykonywanie różnego rodzaju operacji na danych osobowych, takich jak: przeglądanie, zbieranie, przechowywanie, przesyłanie, udostępnianie, zmienianie czy usuwanie