W dobie cyfryzacji i rozwoju nowych technologii kwestia ochrony danych osobowych, a w szczególności danych wrażliwych, nabiera kluczowego znaczenia.
Przetwarzanie danych wrażliwych wiąże się z dodatkowymi wymogami prawnymi, a ewentualne naruszenia mogą skutkować poważnymi konsekwencjami.
Czym są dane wrażliwe?
Dane wrażliwe, zwane również „szczególnymi kategoriami danych osobowych”, zostały zdefiniowane w art. 9 RODO (Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Zgodnie z przepisami, są to informacje ujawniające:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych,
- dane genetyczne,
- dane biometryczne służące do jednoznacznej identyfikacji osoby fizycznej,
- dane dotyczące zdrowia,
- dane dotyczące seksualności lub orientacji seksualnej.
Podstawy prawne przetwarzania danych wrażliwych
Zasadą jest, że przetwarzanie danych wrażliwych jest co do zasady zabronione, chyba że zachodzą określone wyjątki wymienione w art. 9 ust. 2 RODO, przykładowo:
- osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie,
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy i zabezpieczenia społecznego,
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
- przetwarzanie odbywa się w ramach działalności uprawnionych stowarzyszeń, fundacji czy związków wyznaniowych,
- przetwarzanie dotyczy danych oczywiście upublicznionych przez osobę, której dane dotyczą,
- przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń,
- przetwarzanie jest niezbędne z uwagi na ważny interes publiczny,
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej, medycyny pracy, diagnozy medycznej, leczenia lub zarządzania systemami opieki zdrowotnej.
Zgoda na przetwarzanie danych wrażliwych
Wyraźna zgoda osoby, której dane dotyczą, musi być jednoznaczna, dobrowolna, świadoma oraz udzielona na piśmie lub w inny sposób umożliwiający jej udokumentowanie. Brak zgody, jej wadliwość lub niewłaściwe udokumentowanie stanowi naruszenie przepisów i może skutkować wysokimi karami administracyjnymi.
Obowiązki administratora danych wrażliwych
Administrator danych, przetwarzając dane wrażliwe, ma szereg dodatkowych obowiązków.
Przede wszystkim musi wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią bezpieczeństwo danych na najwyższym poziomie.
W praktyce oznacza to między innymi:
- stosowanie szyfrowania,
- ograniczanie dostępu do danych tylko do osób upoważnionych,
- regularne szkolenia pracowników,
- wdrożenie procedur dotyczących zgłaszania naruszeń ochrony danych,
- prowadzenie rejestru czynności przetwarzania,
- stosowanie polityk retencji i minimalizacji danych.
Dane wrażliwe powinny być również objęte szczególną kontrolą przy powierzaniu przetwarzania podmiotom zewnętrznym.
Przetwarzanie danych wrażliwych w sektorze medycznym
Szczególne znaczenie przetwarzania danych wrażliwych mają podmioty medyczne – przychodnie, szpitale, gabinety lekarskie, laboratoria.
Dane pacjentów (dotyczące zdrowia, historii leczenia, wyników badań) są klasycznym przykładem danych wrażliwych.
Ich przetwarzanie jest dopuszczalne w ramach wykonywania obowiązków prawnych lub ochrony żywotnych interesów pacjentów.
Ważne jest także prowadzenie dokumentacji medycznej zgodnie z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta.
Przykłady naruszeń i sankcje
Najczęstsze naruszenia dotyczą:
- niewłaściwego zabezpieczenia danych,
- udostępnienia danych osobom nieuprawnionym,
- przetwarzania bez zgody lub innej przesłanki legalizującej,
- braku realizacji praw osób, których dane dotyczą (np. prawo do bycia zapomnianym, prawo dostępu do danych).
Sankcje za naruszenie przepisów mogą być bardzo dotkliwe – RODO przewiduje kary do 20 mln euro lub do 4% rocznego obrotu przedsiębiorstwa, przy czym zastosowanie ma kwota wyższa.
Orzecznictwo
Wyrok Wojewódzkiego Sądu Administracyjnego w Krakowie z dnia 9 kwietnia 2019 r., sygn. akt II SA/Kr 133/19
W razie kolizji między zasadą jawności informacji publicznych a ochroną prywatności i danych osobowych osób fizycznych, dopuszczalny będzie jedynie taki sposób udostępniania informacji publicznej, który nie naruszy dóbr chronionych (np. anonimizacja danych wrażliwych).
W przypadku, gdy pomimo dokonania takiego zabiegu, możliwa będzie identyfikacja osoby, której dane dotyczą, należy odmówić udostępnienia informacji publicznej.
Przy konflikcie uprawnienia do informacji publicznej i ochrony życia prywatnego górę musi wziąć prawo pacjenta do ochrony danych wrażliwych.
Najczęstsze pytania (FAQ)
Czy pracodawca może żądać od pracownika przedstawienia zaświadczenia o stanie zdrowia?
Co do zasady nie – chyba że wynika to z przepisów prawa (przykładowo – obowiązkowe badania lekarskie).
Czy zgoda na przetwarzanie danych wrażliwych musi być pisemna?
Nie musi być pisemna, ale powinna być wyraźna i możliwa do udokumentowania.
Czy dane biometryczne (np. odcisk palca) są danymi wrażliwymi?
Tak, są to szczególne kategorie danych osobowych wymagające szczególnej ochrony.
Czy pacjent może żądać usunięcia swoich danych medycznych?
Prawo do bycia zapomnianym nie dotyczy dokumentacji medycznej, którą należy przechowywać zgodnie z ustawą o prawach pacjenta.
Jakie środki bezpieczeństwa należy wdrożyć przetwarzając dane wrażliwe?
Administrator musi stosować środki techniczne i organizacyjne adekwatne do ryzyka, m.in. szyfrowanie, ograniczenia dostępu, regularne szkolenia.
Podsumowanie
Przetwarzanie danych wrażliwych wymaga od administratorów szczególnej uwagi i odpowiedzialności. Odpowiednie zabezpieczenie, legalność przetwarzania oraz transparentność wobec osób, których dane dotyczą, to kluczowe filary ochrony danych wrażliwych.
W razie wątpliwości lub pojawienia się incydentów związanych z przetwarzaniem tych danych warto skonsultować się z prawnikiem specjalizującym się w ochronie danych osobowych.
Kancelaria Radcy Prawnego dr Tymoteusz Zych w ramach świadczonych usług pomoże w dochodzeniu Państwa praw na każdym etapie postępowania.
Zapraszamy do kontaktu pod numerem telefonu +48 726 003 505.
