Dane wrażliwe – czym są i jaka wiąże się z nimi ochrona?
Na samym początku warto wspomnieć, że obowiązujące RODO nie zawiera stwierdzenia „dane wrażliwe”. Teoretycznie zatem przeglądając rozporządzenie, można dojść do wniosku, że dane wrażliwe nie posiadają swojej definicji prawnej. Nie ma ich bowiem zdefiniowanych w tzw. słowniczku ustawowym (definicjach ustawowych z art. 4). Nie jest to jednak prawdą, bowiem RODO posługuje się pojęciem „dane szczególnej kategorii” (np. dane biometryczne czy behawioralnych osoby fizycznej do oceny zdolności pracownika). Art. 9 rozporządzenia zawiera wyczerpujący katalog danych szczególnej kategorii ka. Są to:
- dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe czy przynależność do związków zawodowych,
- dane genetyczne, biometryczne,
- dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
Przykładowo zatem, danymi szczególnej kategorii będzie odcisk palca, tęczówka oka, dane dot. alergii, historia choroby zawarta np. w kartotece medycznej, w niektórych przypadkach historia zatrudnienia (jeżeli zawiera wzmianki o przynależności do związków zawodowych), owal twarzy czy próbki DNA, które potwierdzają jednoznaczną identyfikację osoby której dane dotyczą w dziedzinie prawa pracy czy zabezpieczenia społecznego i dotyczą cech fizycznych.
Wskazać także należy, że art. 10 RODO zawiera wyliczenie kategorii danych, które powszechnie uważane są jako dane wrażliwe, pomimo tego, że nie są danymi szczególnej kategorii sensu stricto, w rozumieniu RODO. Są to dane dotyczące karalności, które można przetwarzać tylko pod nadzorem władz publicznych w oparciu o wyraźną podstawę prawną. Przykładem dopuszczalnego przetwarzania takich danych jest wymóg zatrudniania wyłącznie osób posiadających zaświadczenie o niekaralności.
Kiedy można przetwarzać dane szczególnej kategorii?
Zgodnie z przepisami rozporządzenia, przetwarzanie danych szczególnej kategorii jest co do zasady zabronione. Wskazać jednak należy, że rozporządzenie zawiera w tym zakresie kilkanaście wyjątków. Do najważniejszych sytuacji, w których przetwarzanie tzw. danych wrażliwych jest możliwe należy chociażby:
- wyraźna zgoda na przetwarzanie danych,
- przetwarzanie danych w uzasadnionym celu (np. związanym z zatrudnieniem czy zgłoszeniem do ubezpieczeń społecznych),
- przetwarzanie niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
- przetwarzanie danych osobowych członków przez stowarzyszenie, fundację, partię polityczną itp. w celach politycznych, religijnych, światopoglądowych.
- upublicznienie danych w sposób oczywisty przez osobę, której dotyczą,
- przetwarzanie niezbędne do ustalenia, dochodzenia lub obrony roszczeń albo w ramach sprawowania wymiaru sprawiedliwości przez sądy (np. możliwe jest przetwarzanie danych szczególnej kategorii np. w toku procesu sądowego),
- przetwarzanie, które jest niezbędne z uwagi na świadczenie usług medycznych, np. przez indywidualną praktykę lekarską czy NZOZ,
- przetwarzanie niezbędne z uwagi na określone interesy publiczne.
W zakresie ustalania zasad przetwarzania tzw. danych wrażliwych, RODO przyznaje jednak państwom członkowskim pewną autonomię- mogą one bowiem zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.
Czy przetwarzanie danych osobowych takich jak NIP czy PESEL może powodować wątpliwości praktyczne? Oczywiście, że tak. W tym kontekście należy przybliżyć postępowanie wszczęte przez Prezesa UODO przeciwko spółce prowadzącej bazę danych przedsiębiorców (w której był zawarty m.in. NIP). Prezes Urzędu orzekł, że spółka pozyskując dane osobowe z ogólnodostępnych rejestrów publicznych (w tym zwłaszcza z CEIDG, REGON) musi spełnić obowiązek informacyjny wobec tych osób określony w art. 14 RODO. W praktyce mogło to dla spółki oznaczać np. wysłanie kilku milionów listów wraz z informacją o przetwarzaniu danych – co wiązałoby się z poniesieniem kosztów w wysokości np. kilku milionów złotych. Stanowisko Prezesa Urzędu zostało podtrzymane przez NSA, a pierwotna wysokość kary nałożonej przez PUODO wyniosła ponad 900.000 zł.
Obowiązki przedsiębiorcy w kontekście przetwarzania danych wrażliwych
Jakie obowiązki mają przedsiębiorcy, jeżeli decydują się na przetwarzanie danych szczególnej kategorii? Przede wszystkim przedsiębiorca jest obowiązany do uzyskania zgody na przetwarzanie danych wrażliwych. Zgoda powinna być wyraźna, zatem wyrażenie jej w sposób dorozumiany co do zasady nie jest możliwe.
Ponadto, przedsiębiorcy będą zobowiązani do wyczerpującego poinformowania osoby fizycznej o zasadach, skutkach i celach podejmowanych przez niego działań oraz stosowanych zasadach ochrony danych osobowych. Obowiązek informacyjny może być trudny do spełnienia- warto w takich sytuacjach posiłkować się klauzulami informacyjnymi RODO przygotowanymi przez wyspecjalizowaną kancelarię prawną.
Warto wspomnieć, że w razie ewentualnej kontroli ze strony Prezesa Urzędu Ochrony Danych Osobowych, ciężar dowodowy w zakresie wykazania zgody czy spełnienia obowiązku informacyjnego spoczywa na przedsiębiorcy. Innymi słowy, to on musi udowodnić, że zgoda na przetwarzanie tych danych została udzielona w sposób wyraźny, czy też, że wyczerpująco poinformował osobę fizyczną o przetwarzaniu danych wrażliwych. Warto zatem przygotowywać dokumentację RODO w formie pisemnej bądź dokumentowej.
Czym tak naprawdę jest PESEL?
PESEL, jest to symbol numeryczny, składający się zawsze z 11 cyfr, dzięki któremu możliwe jest jednoznaczne zidentyfikowanie osoby fizycznej. Numer zawiera datę urodzenia, numer porządkowy, oznaczenie płci i liczbę kontrolną. Z numeru PESEL można zatem wyczytać wiek czy płeć osoby fizycznej- a mając pełny numer można za pośrednictwem właściwego urzędu gminy (oczywiście po wykazaniu interesu prawnego) w pełni zidentyfikować daną osobę fizyczną, łącznie z jej adresem zameldowania czy imieniem i nazwiskiem.
Zazwyczaj numer PESEL będzie nadawany z urzędu przez kierownika urzędu stanu cywilnego sporządzającego akt urodzenia dla dzieci obywateli polskich i cudzoziemców zamieszkałych i urodzonych na terytorium Polski. Możliwe jest także nadanie numeru z urzędu przez organ gminy właściwy do zameldowania na pobyt stały albo pobyt czasowy, albo przez organ wydający polski dokument tożsamości (dowód osobisty lub paszport) dla osób zamieszkałych poza granicami Rzeczypospolitej Polskiej, które ubiegają się o polski dokument tożsamości. Podmiotem prowadzącym bazę danych PESEL jest minister właściwy ds. cyfryzacji.
Numer PESEL jest daną osobową szczególnego rodzaju, bowiem używany jest w wielu sytuacjach- np. wnioskowania o kredyt czy pożyczkę, w umowach, podczas czynności urzędowych, takich jak prowadzenie korespondencji z urzędem gminy, urzędem skarbowym czy ZUS. Jego nieuprawnione użycie może narazić osobę fizyczną na wiele negatywnych konsekwencji – z egzekucją komorniczą za wyłudzony kredyt włącznie.
Czy PESEL to dane szczególnej kategorii?
Powyżej objaśniamy regulacje dot. danych wrażliwych- w tym katalog danych, które są objęte szczególną ochroną. Wiadomo jest również, że dane wrażliwe wiążą się z licznymi ograniczeniami w kontekście możliwości ich przetwarzania. Warto teraz odpowiedzieć na pytanie: czy PESEL to dane wrażliwe?
Nie ulega wątpliwości, że PESEL to dana osobowa szczególnego rodzaju, zazwyczaj niechętnie udostępniana przez osoby fizyczne. W rozumieniu RODO, PESEL jest to numer identyfikacyjny,(wynika to z 87 rozporządzenia. W oparciu o ww. normę prawną, państwa członkowskie mogą określić szczególne warunki przetwarzania. Co do zasady po wprowadzeniu dodatkowych regulacji przez określone państwo członkowskie, PESEL czy inny numer identyfikacyjny może być używany wyłącznie z zachowaniem odpowiednich zabezpieczeń praw i wolności danej osoby fizycznej. Pozostawienie pewnego „luzu decyzyjnego” państwom członkowskim wynika z faktu, że nie w każdym kraju UE wprowadzono odpowiednik numeru PESEL.
Warto jednak wskazać, że w ustawodawca polski nie skorzystał z możliwości określenia szczegółowych zasad przetwarzania numeru PESEL. Oznacza to w praktyce, że trzeba śledzić aktualne trendy orzecznicze, wytyczne PUODO czy zmiany w prawie, a wsparcie profesjonalistów w tym zakresie może pomóc przedsiębiorcy zaoszczędzić znaczną ilość czasu i zapewnić, że biznes prowadzony jest zgodnie z prawem.
Numeru PESEL nie zaliczamy zatem do danych wrażliwych w rozumieniu RODO. Zgodnie z obecnym trendem, który objął Prezes Urzędu Ochrony Danych Osobowych, podejmowane są liczne działania mające na celu ograniczenie dostępu do numerów PESEL osób pełniących funkcje w organach osób prawnych ujawnionych w rejestrach publicznych (w tym KRS). Numer PESEL bowiem wykorzystywany jest także do oznaczania prokurentów, członków rad nadzorczych czy członków zarządów spółek. Decydując się zatem na pełnienie funkcji w podmiocie, który podlega obowiązkowej rejestracji w KRS, osoba fizyczna musi się liczyć z tym, że jej numer PESEL, w zestawieniu z imieniem i nazwiskiem, będzie publicznie widoczny.
Podsumowanie
Pomimo tego, że numer PESEL uznawany jest za dość szczególny rodzaj danych osobowych, który większość z nas chroni szczególnie (np. w obawie przed wyłudzeniem kredytu na dany nr PESEL), to nie jest on daną wrażliwą w rozumieniu RODO. W związku z powyższym nie będą miały do niego zastosowania szczególne zasady przetwarzania danych. Wynika to przede wszystkim z faktu, że polski ustawodawca nie zdecydował się w tym zakresie zastosować szczególnych przepisów prawnych. Warto pamiętać, że przepisy prawa i aktualne wytyczne szybko się zmieniają, zatem w razie wątpliwości zachęcamy do kontaktu z naszymi specjalistami w zakresie wdrożeń RODO.
Może Ciebie również zainteresować: RODO w sklepie internetowym – czytaj więcej.
Pytania i odpowiedzi
PESEL może być przetwarzany przez administratora danych. Warto jednak pamiętać, aby odbywało się to zgodnie z ogólnymi zasadami określonymi w RODO- tj. zwłaszcza w oparciu o prawnie uzasadnioną przyczynę czy po wypełnieniu licznych obowiązków informacyjnych.
NIP jest numerem identyfikacyjnym, który klasyfikowany jest podobnie jak PESEL- jako krajowy numer identyfikacyjny. W praktyce oznacza to, że zasady przetwarzania NIP są tożsame z zasadami przetwarzania PESEL- państwa członkowskie mogą tutaj odrębnie uregulować przepisy w kontekście zasad przetwarzania ww. numeru.
Numer PESEL jest zdecydowanie dobrym sposobem na precyzyjne określenie stron w umowie- on w przeciwieństwie do np. adresu do korespondencji nie ulegnie zmianie. Zazwyczaj jest wystarczający również w razie ew. późniejszych sporów sądowych. Co do zasady takie przetwarzanie numeru PESEL będzie dozwolone.
Zaufali nam: