IINTE.edu.pl Innowacje Internetowe. Portal edukacyjny.

RODO wprowadza spójny, europejski system ochrony danych, oparty na precyzyjnym rozróżnieniu kategorii danych i jasno określonych zasadach ich przetwarzania.

Tutaj przeczytasz:

Niniejszy przewodnik porządkuje definicje, kategorie, podstawy prawne i praktyczne konsekwencje dla administratorów danych, z naciskiem na różnice między danymi zwykłymi, szczególnymi kategoriami danych oraz danymi dotyczącymi wyroków skazujących i czynów zabronionych.

Fundamentalna definicja danych osobowych w RODO

Aby zrozumieć klasyfikację, warto zacząć od podstawowej definicji z art. 4 pkt 1 RODO:

„wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą)”.

To ujęcie jest celowo szerokie – obejmuje informacje obiektywne i subiektywne, prawdziwe i nieprawdziwe, o ile dotyczą żyjących osób i pozwalają na ich identyfikację.

Najczęściej spotykane identyfikatory wskazane w RODO to m.in.:

  • imię i nazwisko,
  • numer identyfikacyjny (np. PESEL),
  • dane o lokalizacji,
  • identyfikator internetowy (np. adres IP, identyfikator cookie),
  • jeden lub kilka szczególnych czynników określających tożsamość osoby (fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną).

Przy ocenie, czy identyfikacja osoby jest „rozsądnie prawdopodobna”, bierze się pod uwagę następujące czynniki:

  • koszt i czas potrzebny do identyfikacji,
  • dostępną technologię i jej rozwój,
  • dostępność dodatkowych informacji umożliwiających połączenie danych.

Podział na dane zwykłe i szczególne kategorie danych

RODO rozróżnia dane zwykłe oraz szczególne kategorie danych, dla których obowiązuje zasadniczy zakaz przetwarzania i węższy katalog wyjątków.

Dane zwykłe (zwyczajne) to wszelkie dane osobowe, które nie należą do katalogu z art. 9 ust. 1 RODO. Najczęściej spotykane przykłady to:

  • imię i nazwisko,
  • adres zamieszkania lub korespondencyjny,
  • PESEL, NIP,
  • numer telefonu i inne dane kontaktowe,
  • data i miejsce urodzenia,
  • adres e-mail,
  • numer rachunku bankowego,
  • stanowisko służbowe,
  • wizerunek osoby (jeśli nie jest przetwarzany w celu jednoznacznej identyfikacji przy użyciu technik biometrycznych).

Przetwarzanie danych zwykłych wymaga jednej z podstaw prawnych z art. 6 RODO:

  • Zgoda – dobrowolna, konkretna, świadoma i jednoznaczna deklaracja lub działanie osoby;
  • Wykonanie umowy – niezbędność do wykonania umowy lub działań przedumownych na żądanie osoby;
  • Obowiązek prawny – niezbędność do wypełnienia obowiązku ciążącego na administratorze;
  • Żywotne interesy – ochrona życia lub zdrowia osoby lub innej osoby fizycznej;
  • Interes publiczny/władza publiczna – wykonanie zadania w interesie publicznym lub w ramach władzy publicznej;
  • Prawnie uzasadniony interes – interes administratora lub strony trzeciej po pozytywnym teście równowagi.

Szczególne kategorie danych osobowych – zasadniczy zakaz i jego uzasadnienie

Art. 9 ust. 1 RODO co do zasady zakazuje przetwarzania danych szczególnych kategorii, ze względu na wysokie ryzyko naruszenia praw i wolności oraz możliwość dyskryminacji.

Katalog jest zamknięty i obejmuje poniższe zbiory danych:

  • Pochodzenie rasowe lub etniczne – informacje o pochodzeniu, kulturze, języku czy historii rodziny;
  • Poglądy polityczne – m.in. członkostwo, aktywność, darowizny na cele polityczne;
  • Przekonania religijne lub światopoglądowe – wyznanie, praktyki, członkostwo w organizacjach religijnych;
  • Przynależność do związków zawodowych – członkostwo, aktywność związkowa;
  • Dane genetyczne – wyniki i analizy genetyczne pozwalające jednoznacznie zidentyfikować osobę;
  • Dane biometryczne – przetwarzane w celu jednoznacznej identyfikacji (np. odcisk palca, rozpoznawanie twarzy);
  • Dane dotyczące zdrowia – informacje o stanie zdrowia fizycznego i psychicznego, historii leczenia;
  • Seksualność i orientacja seksualna – informacje o życiu seksualnym i orientacji.

Wyjątki od zakazu przetwarzania danych szczególnych są ograniczone i muszą wynikać wprost z art. 9 ust. 2 RODO lub prawa krajowego.

Szczegółowy przegląd szczególnych kategorii danych

Pochodzenie rasowe lub etniczne

Przetwarzanie tych danych jest wyjątkowo wrażliwe i obarczone ryzykiem dyskryminacji; dopuszczalne wyłącznie w ramach wyjątków z art. 9 ust. 2 RODO.

W praktyce obejmuje m.in. informacje o pochodzeniu, tradycji, języku i uwarunkowaniach kulturowych. Zgoda musi być wyraźna i może nie wystarczyć, jeśli przepisy krajowe przewidują dalej idące ograniczenia.

Poglądy polityczne

Zakaz wynika z potrzeby ochrony wolności przekonań i uniknięcia presji lub represji politycznych.

Przetwarzanie bywa możliwe np. przez organizacje polityczne wobec członków lub osób utrzymujących stałe kontakty (art. 9 ust. 2 lit. d), z zastrzeżeniem odpowiednich zabezpieczeń.

Przekonania religijne lub światopoglądowe

Chronią fundamentalną wolność sumienia i wyznania – przetwarzanie tylko w ściśle określonych celach i ramach.

Organizacje wyznaniowe mogą przetwarzać dane swoich członków na podstawie art. 9 ust. 2 lit. d, w granicach swojej działalności i z ograniczeniem dostępu.

Przynależność do związków zawodowych

Dane te są chronione ze względu na prawa pracownicze i wolności zrzeszania się.

Przetwarzanie może być dopuszczalne w prawie pracy (art. 9 ust. 2 lit. b) lub na wyraźną inicjatywę osoby (np. ujawnienie przez pracownika).

Dane genetyczne

Z uwagi na niezmienność i zakres informacji o osobie, dane genetyczne wymagają szczególnych zabezpieczeń technicznych i prawnych.

Art. 9 ust. 4 RODO dopuszcza surowsze regulacje krajowe dotyczące ich przetwarzania (np. ograniczenia celu, dostępu czy retencji).

Dane biometryczne

Dane biometryczne są szczególną kategorią wyłącznie wtedy, gdy są przetwarzane w celu jednoznacznej identyfikacji osoby.

Przykładowo zwykłe zdjęcie nie jest daną biometryczną, chyba że podlega automatycznemu rozpoznawaniu twarzy. Wyjątki z art. 9 ust. 2 obejmują m.in. wyraźną zgodę, prawo pracy lub ochronę żywotnych interesów.

Dane dotyczące zdrowia

Obejmują wszystkie informacje o przeszłym, obecnym lub przyszłym stanie zdrowia i korzystaniu z opieki zdrowotnej.

Przetwarzanie jest dopuszczalne m.in. dla celów profilaktyki, medycyny pracy, diagnozy i opieki zdrowotnej (art. 9 ust. 2 lit. h), przy zachowaniu tajemnicy zawodowej i adekwatnych zabezpieczeń.

Dane dotyczące seksualności i orientacji seksualnej

Chronią sferę intymności – przetwarzanie wymaga wyraźnej podstawy i ścisłej konieczności celu.

Możliwe np. przy wyraźnej zgodzie lub w ramach działalności organizacji wspierających określone grupy (art. 9 ust. 2 lit. d), w granicach niezbędności.

Dane dotyczące wyroków skazujących i czynów zabronionych

Art. 10 RODO przewiduje odrębny reżim: przetwarzanie jest dopuszczalne wyłącznie pod nadzorem władz publicznych albo na podstawie prawa Unii lub państwa członkowskiego z odpowiednimi zabezpieczeniami.

Obejmuje m.in. dane o skazaniu, karze, środkach karnych oraz oświadczenia o niekaralności. Zakres i warunki przetwarzania często precyzuje prawo pracy lub ustawy sektorowe.

Ogólne zasady przetwarzania danych osobowych

Wszystkie dane – zwykłe i szczególne – podlegają siedmiu zasadom z art. 5 RODO:

  • Legalność, rzetelność i przejrzystość – przetwarzaj zgodnie z prawem, uczciwie i w sposób zrozumiały dla osoby;
  • Ograniczenie celu – zbieraj dane w konkretnych, wyraźnych i prawnie uzasadnionych celach;
  • Minimalizacja danych – przetwarzaj tylko to, co niezbędne do realizacji celu;
  • Prawidłowość – zapewnij aktualność i poprawność danych;
  • Ograniczenie przechowywania – trzymaj dane nie dłużej, niż to konieczne;
  • Integralność i poufność – stosuj adekwatne środki techniczne i organizacyjne;
  • Rozliczalność – bądź w stanie wykazać zgodność przetwarzania z zasadami RODO.

Podstawy prawne przetwarzania danych

Dane zwykłe przetwarza się na jednej z podstaw z art. 6 RODO (wskazanych wyżej). Dane szczególnych kategorii wymagają dodatkowo spełnienia jednej z przesłanek z art. 9 ust. 2 RODO:

  • Wyraźna zgoda – jednoznaczna, udokumentowana zgoda na konkretny cel;
  • Żywotne interesy – gdy osoba nie może wyrazić zgody, a działanie chroni życie lub zdrowie;
  • Upublicznienie przez osobę – dane zostały w sposób oczywisty upublicznione przez osobę;
  • Roszczenia prawne – ustalenie, dochodzenie lub obrona roszczeń;
  • Ważny interes publiczny – na podstawie prawa z odpowiednimi zabezpieczeniami;
  • Działalność fundacji/stowarzyszeń – w ramach uprawnionej działalności wobec członków i kontaktów stałych;
  • Cele zdrowotne – opieka zdrowotna, medycyna pracy, diagnoza, zapewnienie świadczeń;
  • Badania naukowe, statystyka, archiwizacja – z odpowiednimi zabezpieczeniami i minimalizacją ryzyka.

Sama zgoda nie zawsze wystarcza – przepisy sektorowe lub krajowe mogą przewidywać surowsze warunki lub zakazy.

Praktyczne przykłady klasyfikacji danych

Wybrane przykłady ułatwiają szybkie rozróżnienie kategorii:

  • Imię i nazwisko – dane zwykłe; stają się daną osobową, gdy możliwa jest identyfikacja konkretnej osoby (np. „Tomasz Kowalski, pracownik Banku X w Warszawie”);
  • Numer telefonu – dana osobowa, ponieważ umożliwia kontakt z konkretną osobą przy rozsądnie dostępnych środkach;
  • Adres e-mail – może być daną osobową (np. „[email protected]”); adresy nieujawniające tożsamości wymagają dodatkowych informacji;
  • Adres IP – dynamiczny i statyczny może stanowić daną osobową, jeśli przy użyciu dodatkowych danych pozwala zidentyfikować użytkownika;
  • Pliki cookie – identyfikatory cookie są danymi osobowymi, jeśli umożliwiają identyfikację osoby przez jej urządzenie;
  • Dane o lokalizacji – dane osobowe, jeśli pozwalają bezpośrednio lub pośrednio zidentyfikować osobę.

Ochrona różnych kategorii danych

Dla danych szczególnych kategorii wymagane są wzmocnione zabezpieczenia adekwatne do ryzyka.

Przykładowe środki techniczne i organizacyjne, które warto wdrożyć:

  • szyfrowanie danych w spoczynku i w transmisji,
  • ścisła kontrola dostępu i upoważnienia pisemne,
  • rejestrowanie i monitorowanie dostępu (logowanie zdarzeń),
  • regularne testy bezpieczeństwa i przeglądy uprawnień,
  • ocena skutków dla ochrony danych (DPIA) przed rozpoczęciem przetwarzania,
  • szkolenia personelu i polityki minimalizacji danych.

Pseudonimizacja zmniejsza ryzyko, ale dane nadal podlegają RODO. Anonimizacja jest nieodwracalna – po niej RODO nie ma zastosowania.

Administrator powinien prowadzić rzetelną dokumentację przetwarzania (cele, kategorie danych i osób, odbiorcy, retencja, środki bezpieczeństwa) oraz na bieżąco ją aktualizować.

Kary i konsekwencje nieprzestrzegania przepisów

Za naruszenia dotyczące wrażliwych danych kary mogą sięgnąć 20 milionów euro lub 4% całkowitego rocznego światowego obrotu – w zależności od tego, która kwota jest wyższa.

Przy wymiarze kary uwzględnia się m.in. następujące kryteria:

  • charakter, wagę i czas trwania naruszenia,
  • liczbę poszkodowanych i zakres szkody,
  • kategorie danych dotkniętych naruszeniem,
  • działania naprawcze oraz stopień współpracy z organem,
  • wcześniejsze naruszenia i poziom zgodności,
  • środki organizacyjne i techniczne będące w użyciu.