Czy pesel, imię,nazwisko i adres zamieszkania to dane wrażliwe?
Dane wrażliwe - ustawa
Dane osobowe w rozumieniu RODO to takie dane, które zawierają informację o zidentyfikowanej albo możliwej do zidentyfikowania osobie fizycznej. Jest to jeden czynnik lub zespół czynników określających tożsamość:
- •fizyczną,
- •fizjologiczną,
- •psychiczną,
- •ekonomiczną,
- •genetyczną,
- •społeczną,
- •kulturową.
Przy czym, ze względu na złożoność definicji i problemu, RODO wyróżnia dane osobowe zwykłe i dane osobowe wrażliwe. Zgodnie z art. 9 RODO dane wrażliwe to takie, które dotyczą życia prywatnego człowieka.
Dane osobowe wrażliwe - przykłady
Które dane osobowe można uznać za wrażliwe. Zgodnie z RODO do tej kategorii należą:
- •odciski palców,
- •odręczny podpis,
- •budowa siatkówki oka,
- •dane genetyczne,
- •informacje o stanie zdrowia,
- •preferencje dotyczące spożywania alkoholu,
- •informacje dotyczące orientacji seksualnej,
- •informacje o przynależności do związków zawodowych,
- •informacje o poglądach politycznych,
- •przekonania religijne,
- •informacje na temat pochodzenia rasowego.
Klasycznym przykładem instytucji, które zbierają dane wrażliwe, są ośrodki zdrowia. Gromadzą one szereg informacji o stanie zdrowia pacjenta, ale również dane genetyczne, podpisy czy preferencje dotyczące używek.
Czy pesel to dane wrażliwe?
Numer pesel pozwala zidentyfikować osobę fizyczną, ponieważ ma charakter indywidualny. Imię i nazwisko również umożliwiają identyfikację, tyle że mogą się powielać. Czy pesel to dane osobowe? Z całą pewnością tak. Ale czy pesel to dane wrażliwe? Zgodnie z RODO, nie. Podobnie jak imię i nazwisko, numer pesel należy do kategorii danych zwykłych. Rozróżnienie danych wrażliwych i zwykłych jest niezmiernie istotne w kontekście przedsiębiorców, którzy je gromadzą.
Czy dane wrażliwe można przetwarzać?
W kontekście ochrony danych osobowych najczęściej mówi się o imieniu i nazwisku, jednak bardzo istotną kategorią są dane wrażliwe. Ustawa o ochronie danych osobowych obowiązująca przed wejściem w życie RODO określała pewne obostrzenia z nimi związane. Nie jest to zatem nowa kategoria. RODO doprecyzowuje jednak pewne pojęcia i kary wynikające z nieprawidłowego przetwarzania danych wrażliwych. Co do zasady większość podmiotów nie ma prawa ich przetwarzać. Istnieje jednak kilka wyjątków, na mocy których przetwarzać dane wrażliwe mogą na przykład pracownicy socjalni, ochrony zdrowia czy fundacji.
Doprecyzujmy jednak, co oznacza przetwarzanie danych osobowych. Zgodnie z RODO jest to m.in. ich:
- •zbieranie,
- •utrwalanie,
- •przechowywanie,
- •udostępnianie,
- •niszczenie i usuwanie,
- •zmienianie.
Można więc powiedzieć, że jest to każda czynność wymagająca użycia danych osobowych. Zatem już samo gromadzenie danych wrażliwych, bez względu na to cel, jest niedopuszczalne, poza pewnymi wyjątkami.
Dane osobowe zwykłe - kto i na jakich zasadach może je przetwarzać?
Wiesz już, czy numer pesel jest daną osobową. Wiedząc również, czym są wrażliwe dane osobowe a czym zwykłe, można przejść do pytania, na jakich zasadach można przetwarzać te drugie? W przypadku danych zwykłych obowiązują inne restrykcje. Zgodnie z RODO, dane osobowe mogą być gromadzone tylko w wyraźnie określonych i uzasadnionych celach. Numer pesel, imię i nazwisko podajesz na przykład podczas nawiązywania stosunku pracy. Pracodawca nie może jednak udostępniać tych danych w żaden sposób, podobnie jak żaden inny podmiot, który je pozyska.
Bazując na przykładzie ośrodków zdrowia jako instytucji, które gromadzą zarówno dane zwykłe, jak i wrażliwe, łatwo zrozumieć między nimi różnicę. Zapisując się do lekarza, wyrażasz zgodę na przetwarzanie danych osobowych, takich jak imię, nazwisko czy pesel. Na tej podstawie lekarz ma prawo na przykład wypisać skierowanie do specjalisty czy receptę. Natomiast dane wrażliwe co do zasady nie są przekazywane nigdzie “dalej”. Cały proces powinien więc zakończyć się na ich gromadzeniu i niszczeniu. Ewentualnie, gdy zajdzie taka potrzeba, mogą być przekazane innej osobie, na przykład drugiemu lekarzowi.
Jak chronić dane osobowe zwykłe?
Mając na uwadze aspekty takie jak dane zwykłe (pesel), dane wrażliwe i sposoby ich przetwarzania, można odnieść wrażenie, że to właśnie dane wrażliwe są lepiej chronione prawnie. Z drugiej strony, trzeba pamiętać, że są one przypisane do konkretnej osoby, zatem niejako łączą się z danymi podstawowymi. Nie oznacza to jednak, że dane zwykłe nie podlegają ochronie. Czy podawanie pesel jest bezpieczne? Z całą pewnością nie. Będąc w jego posiadaniu, łatwo zaciągnąć zobowiązanie finansowe lub innego rodzaju. Czy podanie imienia i nazwiska jest naruszeniem danych osobowych RODO? Zdecydowanie tak, ponieważ odpowiedź na pytanie, czy imię i nazwisko to dane osobowe, jest twierdząca. Szczególną uwagę warto jednak zwrócić na numer pesel, ponieważ samo imię i nazwisko może okazać się niewystarczające do identyfikacji, a znajomość numeru pesel - jak najbardziej.
Jakie masz obowiązki jako administrator danych osobowych zwykłych i wrażliwych?
Jako przedsiębiorca często wchodzisz w posiadanie danych osobowych zwykłych. Dlatego odpowiedzi na pytania, czy imię i nazwisko to dane osobowe, czy data urodzenia to dane wrażliwe bądź czy adres zamieszkania to dane wrażliwe, powinny być ci dobrze znane. Jednym z Twoich głównych obowiązków jest identyfikacja danych osobowych i ich podział na zwykłe oraz wrażliwe. Przedsiębiorcy rzadko gromadzą dane wrażliwe (pamiętaj, że co do zasady nie możesz tego robić), chyba że wymaga tego od nich specyfika prowadzonej działalności (przetwarzanie danych wrażliwych jest na porządku dziennym na przykład w indywidualnych praktykach lekarskich czy w prywatnych gabinetach psychologicznych).
Administrator danych osobowych ma obowiązek dbać o ich bezpieczeństwo na każdym etapie przetwarzania. Co do zasady powinny być usunięte niezwłocznie, gdy przestaną być przydatne. Z drugiej strony, mając na uwadze na przykład akta osobowe czy dokumentację pacjenta, obowiązują pewne odgórnie narzucone przez ustawodawcę terminy przechowywania. Twoim obowiązkiem jest również zadbać o prawidłowe niszczenie dokumentów zawierających dane osobowe, w tym nośników elektronicznych tych danych.
Kary za ujawnienie danych wrażliwych i zwykłych
Wiesz już prawie wszystko, jeśli chodzi o dane wrażliwe - jakie to, czy można j gromadzić oraz jakie masz obowiązki jako ich administrator. Natomiast jeśli chodzi o możliwe karę za ujawnienie danych wrażliwych, to jest to kara pozbawienia wolności do lat trzech, kara ograniczenia wolności lub grzywny.
Czy pesel to dane wrażliwe? Nie. Czy numer dowodu osobistego to dane wrażliwe? Również nie. Ale za ich bezprawne ujawnienie ustawodawca również przewiduje karę pieniężnę w kwocie od 2% do 4% całkowitego rocznego obrotu firmy lub karę do 10-20 mln euro. Konsekwencje nieprawidłowego przetwarzania danych osobowych, czy to wrażliwych, czy zwykłych, są więc dotkliwe. Ich wymiar zależy od stopnia przewinienia i doznanej szkody.
Rola przedsiębiorcy w zarządzaniu danymi osobowymi
Co możesz zrobić, aby lepiej zabezpieczyć dane osobowe pracowników czy klientów? Przede wszystkim poznaj odpowiedzi na pytania, czy pesel jest daną wrażliwą bądź czy adres zamieszkania to dane osobowe. Usystematyzujesz wiedzę, która przyda się do dalszych działań. Następnie przeprowadź audyt danych, usuwając te, których nie możesz bądź nie musisz gromadzić. Z punktu widzenia RODO najważniejszy jest minimalizm, a więc wchodzenie w posiadanie tylko niezbędnych informacji. Bardzo istotne jest także odpowiednie zabezpieczenie tych danych, które są niezbędne w toku prowadzonej działalności, a także ustalenie okresu ich przechowywania zgodnie z odrębnymi przepisami.
Jeśli potrzebujesz pomocy w prawidłowym rozpoznawaniu danych i zarządzaniu nimi, zgłoś się do specjalistów. Pamiętaj, że przetwarzanie danych osobowych obwarowane jest szczególnymi przepisami, których złamanie naraża Cię na poważne konsekwencje.