Czy PESEL to “dane wrażliwe”, czyli o przetwarzaniu danych osobowych szczególnej kategorii

Zgodnie z przepisami rozporządzenia, przetwarzanie danych szczególnej kategorii jest co do zasady zabronione. Wskazać jednak należy, że rozporządzenie zawiera w tym zakresie kilkanaście wyjątków. Do najważniejszych sytuacji, w których przetwarzanie tzw. danych wrażliwych jest możliwe należy chociażby:

• wyraźna zgoda na przetwarzanie danych,
• przetwarzanie danych w uzasadnionym celu (np. związanym z zatrudnieniem czy zgłoszeniem do ubezpieczeń społecznych),
• przetwarzanie niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
• przetwarzanie danych osobowych członków przez stowarzyszenie, fundację, partię polityczną itp. w celach politycznych, religijnych, światopoglądowych.
• upublicznienie danych w sposób oczywisty przez osobę, której dotyczą,
• przetwarzanie niezbędne do ustalenia, dochodzenia lub obrony roszczeń albo w ramach sprawowania wymiaru sprawiedliwości przez sądy (np. możliwe jest przetwarzanie danych szczególnej kategorii np. w toku procesu sądowego),
• przetwarzanie, które jest niezbędne z uwagi na świadczenie usług medycznych, np. przez indywidualną praktykę lekarską czy NZOZ,
• przetwarzanie niezbędne z uwagi na określone interesy publiczne.

W zakresie ustalania zasad przetwarzania tzw. danych wrażliwych, RODO przyznaje jednak państwom członkowskim pewną autonomię- mogą one bowiem zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Czy przetwarzanie danych osobowych takich jak NIP czy PESEL może powodować wątpliwości praktyczne? Oczywiście, że tak. W tym kontekście należy przybliżyć postępowanie wszczęte przez Prezesa UODO przeciwko spółce prowadzącej bazę danych przedsiębiorców (w której był zawarty m.in. NIP). Prezes Urzędu orzekł, że spółka pozyskując dane osobowe z ogólnodostępnych rejestrów publicznych (w tym zwłaszcza z CEIDG, REGON) musi spełnić obowiązek informacyjny wobec tych osób określony w art. 14 RODO. W praktyce mogło to dla spółki oznaczać np. wysłanie kilku milionów listów wraz z informacją o przetwarzaniu danych – co wiązałoby się z poniesieniem kosztów w wysokości np. kilku milionów złotych. Stanowisko Prezesa Urzędu zostało podtrzymane przez NSA, a pierwotna wysokość kary nałożonej przez PUODO wyniosła ponad 900.000 zł.

Obowiązki przedsiębiorcy w kontekście przetwarzania danych wrażliwych

Jakie obowiązki mają przedsiębiorcy, jeżeli decydują się na przetwarzanie danych szczególnej kategorii? Przede wszystkim przedsiębiorca jest obowiązany do uzyskania zgody na przetwarzanie danych wrażliwych. Zgoda powinna być wyraźna, zatem wyrażenie jej w sposób dorozumiany co do zasady nie jest możliwe.

Ponadto, przedsiębiorcy będą zobowiązani do wyczerpującego poinformowania osoby fizycznej o zasadach, skutkach i celach podejmowanych przez niego działań oraz stosowanych zasadach ochrony danych osobowych. Obowiązek informacyjny może być trudny do spełnienia- warto w takich sytuacjach posiłkować się klauzulami informacyjnymi RODO przygotowanymi przez wyspecjalizowaną kancelarię prawną.

Warto wspomnieć, że w razie ewentualnej kontroli ze strony Prezesa Urzędu Ochrony Danych Osobowych, ciężar dowodowy w zakresie wykazania zgody czy spełnienia obowiązku informacyjnego spoczywa na przedsiębiorcy. Innymi słowy, to on musi udowodnić, że zgoda na przetwarzanie tych danych została udzielona w sposób wyraźny, czy też, że wyczerpująco poinformował osobę fizyczną o przetwarzaniu danych wrażliwych. Warto zatem przygotowywać dokumentację RODO w formie pisemnej bądź dokumentowej.

Powyżej objaśniamy regulacje dot. danych wrażliwych- w tym katalog danych, które są objęte szczególną ochroną. Wiadomo jest również, że dane wrażliwe wiążą się z licznymi ograniczeniami w kontekście możliwości ich przetwarzania. Warto teraz odpowiedzieć na pytanie: czy PESEL to dane wrażliwe?

Nie ulega wątpliwości, że PESEL to dana osobowa szczególnego rodzaju, zazwyczaj niechętnie udostępniana przez osoby fizyczne. W rozumieniu RODO, PESEL jest to numer identyfikacyjny,(wynika to z 87 rozporządzenia. W oparciu o ww. normę prawną, państwa członkowskie mogą określić szczególne warunki przetwarzania. Co do zasady po wprowadzeniu dodatkowych regulacji przez określone państwo członkowskie, PESEL czy inny numer identyfikacyjny może być używany wyłącznie z zachowaniem odpowiednich zabezpieczeń praw i wolności danej osoby fizycznej. Pozostawienie pewnego „luzu decyzyjnego” państwom członkowskim wynika z faktu, że nie w każdym kraju UE wprowadzono odpowiednik numeru PESEL.

Warto jednak wskazać, że w ustawodawca polski nie skorzystał z możliwości określenia szczegółowych zasad przetwarzania numeru PESEL. Oznacza to w praktyce, że trzeba śledzić aktualne trendy orzecznicze, wytyczne PUODO czy zmiany w prawie, a wsparcie profesjonalistów w tym zakresie może pomóc przedsiębiorcy zaoszczędzić znaczną ilość czasu i zapewnić, że biznes prowadzony jest zgodnie z prawem.

Numeru PESEL nie zaliczamy zatem do danych wrażliwych w rozumieniu RODO. Zgodnie z obecnym trendem, który objął Prezes Urzędu Ochrony Danych Osobowych, podejmowane są liczne działania mające na celu ograniczenie dostępu do numerów PESEL osób pełniących funkcje w organach osób prawnych ujawnionych w rejestrach publicznych (w tym KRS). Numer PESEL bowiem wykorzystywany jest także do oznaczania prokurentów, członków rad nadzorczych czy członków zarządów spółek. Decydując się zatem na pełnienie funkcji w podmiocie, który podlega obowiązkowej rejestracji w KRS, osoba fizyczna musi się liczyć z tym, że jej numer PESEL, w zestawieniu z imieniem i nazwiskiem, będzie publicznie widoczny.