Odpowiedzialne, rzetelne oraz zgodne z przepisami prawa prowadzenie firmy powinno być regułą. Wpływa to przede wszystkim na nasz wizerunek i świadczy o naszym podejściu do biznesu, a co więcej może mieć duży impakt na relacje z potencjalnym inwestorem. Aby prawidłowo wypełniać obowiązki z zakresu ochrony interesów osób, których dane dotyczą, powinniśmy pamiętać, iż niezbędne jest nie tylko właściwe obchodzenie się ze zwykłymi danymi, lecz także z danymi wrażliwymi (inaczej: delikatnymi lub sensytywnymi). Kluczowa w związku z tym jest odpowiedź na pytanie: czym są dane wrażliwe i jakie są wymogi dotyczące ich przetwarzania?

Pojęcia danych „zwykłych” oraz danych „wrażliwych” nie pojawia się wprost w ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (dalej: UODO). Niemniej jednak na podstawie uregulowań zawartych w UODO dane wrażliwe są danymi podlegającymi szczególnej ochronie. Wynika to z faktu, iż dane delikatne dotyczą prywatności, a nawet intymności osoby fizycznej. UODO zawiera zamknięty katalog danych, które należy uznać za wrażliwe. Dane te podzielić można na:

1. dane ujawniające:

• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub filozoficzne,
• przynależność wyznaniową, partyjną lub związkową,
2. dane o:
• stanie zdrowia,
• kodzie genetycznym,
• nałogach,
• życiu seksualnym,
3. dane dotyczące:
• skazań, orzeczeń o ukaraniu i mandatów karnych,
• innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Przetwarzanie danych sensytywnych poddane zostało odrębnym, zaostrzonym regułom. Co do zasady przetwarzanie danych wrażliwych jest zabronione. Niemniej jednak jak od każdej zasady, od tej również istnieją wyjątki. Jednym z takich wyjątków, od zakazu przetwarzania danych wrażliwych, jest sytuacja, gdy osoba, której dane dotyczą, wyrazi pisemną zgodę na przetwarzanie jej wrażliwych danych osobowych. Dochowanie formy pisemnej, inaczej niż w przypadku danych zwykłych, jest warunkiem skuteczności zgody. Zgoda na piśmie nie jest już wymagana w sytuacji usunięcia danych sensytywnych. Ponadto przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli:

  • przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody, osoby której dane dotyczą i stwarza pełne gwarancje ich ochrony;
  • przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora
  • jest to niezbędne do wykonywania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych;
  • przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;
  • przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;
  • przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;
  • przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;
  • jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowywania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone.

Administrator danych udostępniając czy też przetwarzając dane wrażliwe jest obowiązany stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, która musi być odpowiednia do zagrożeń oraz kategorii osób objętych ochroną. Co to oznacza? Przykładowo wymagane jest, aby administrator taki dokonał odpowiedniego oznaczenia danych osobowych jako wrażliwych, co zazwyczaj ma miejsce poprzez opisanie danych adnotacją „poufne”.
Rejestrując dane wrażliwe pamiętajmy o zaświadczeniu o zarejestrowaniu zbioru danych. Zobowiązany do wydania takiego zaświadczenia, niezwłocznie po dokonaniu rejestracji, jest Generalny Inspektor Ochrony Danych Osobowych. Otrzymanie tego dokumentu jest niezwykle istotne ze względu na fakt, iż w odniesieniu do danych wrażliwych inaczej został uregulowany moment, od którego można dokonywać przetwarzania. Administrator danych może rozpocząć przetwarzanie danych sensytywnych w zbiorze danych dopiero po zarejestrowaniu zbioru (chyba że jest on w ogóle zwolniony z obowiązku zgłoszenia zbioru do rejestracji na podstawie art. 42 ust. 1 UODO), a nie po zgłoszeniu zbioru Generalnemu Inspektorowi, jak ma to miejsce w przypadku zwykłych danych. Jednocześnie należy pamiętać, iż chcąc dokonać rozszerzenia zakresu przetwarzanych danych o dane wrażliwe, administrator, zanim będzie uprawniony do dokonania zmiany w zbiorze, obowiązany jest do uprzedniego zgłoszenia tych danych.

Warto zwrócić jednak uwagę, chociażby w kontekście coraz prężniej działającej w Polsce big data, że zgodnie z art. 6 UODO zbieranie i przetwarzanie danych osobowych wrażliwych nie jest zabronione, jeśli są to informacje anonimowe.

Na koniec informacja ku przestrodze – osoba, która przetwarza dane wrażliwe, do których przetwarzania nie jest uprawniona albo których przetwarzanie nie jest dopuszczalne, podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do lat 3.