Ze względu na obchodzony niedawno Dzień Ochrony Danych Osobowych, przypominamy kilka istotnych kwestii związanych tą tematyką.
Pomimo że od 2018 roku istnieje obowiązek prawny przestrzegania w codziennej pracy zapisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: RODO), to wiedza w tym zakresie jest odwrotnie proporcjonalna do antypatii, którą są darzone te przepisy. Niebezpodstawnie ciśnie się na usta porównanie do najsłynniejszego zdania wprost z pierwszej polskiej Wikipedii, legendarnych Nowych Aten – Koń jaki jest, każdy widzi. Podobnie określić można wiedzę wielu małych i średnich operatorów telekomunikacyjnych z zakresu ochrony danych osobowych: Dana osobowa jaka jest, każdy widzi. Wszystko to jednak dopóty, dopóki klient odmówi podania numeru PESEL przy podpisywaniu umowy, wypominając, że… Przecież do dana wrażliwa! i uruchamiając lawinę pytań.
Czy imię i nazwisko to dane wrażliwe?
– Dana osobowa – tłumaczy Patrycja Hładoń, audytorka i researcherka współpracująca z ramienia Informatics Sp. z o.o. z Grupą MiŚOT – to każda informacja, która w sposób bezpośredni lub pośredni wskazuje na osobę fizyczną i pozwala ją zidentyfikować.
W tym zbiorze znajdą się: imię, nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
– To jednak nie wszystko! – podkreśla Patrycja Hładoń. – Osobom fizycznym mogą zostać przypisane identyfikatory internetowe takie jak adresy IP, czy identyfikatory plików cookie, które generowane są automatycznie przez ich urządzenia, aplikacje, narzędzia i protokoły oraz inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować pozostawieniem śladów, które w szczególności w połączeniu z identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania właścicieli danych. Jednym zdaniem, wszystkie informacje umożliwiające wskazanie konkretnej osoby fizycznej, to dane osobowe.
Gwoli formalności chodzi o wszelkie rozsądnie prawdopodobne sposoby wskazania osoby fizycznej. Imię i nazwisko, numer PESEL, numer dowodu osobistego, numer prawa jazdy, adres zamieszkania, zameldowania, miejsce pracy, identyfikator internetowy jak numer IP, czynniki określające tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną, adres e-mail, numer telefonu, identyfikatory plików cookies to dane osobowe.
– W tym ogólnym zbiorze danych osobowych – uzupełnia Marcin Zemła, audytor wiodący normy ISO/IEC 27001 i specjalista ds. cyberbezpieczeństwa Grupy MiŚOT – wyróżniono dane szczególnych kategorii, zwane również danymi wrażliwymi i dopiero z nimi zaczyna się grubsza zabawa.
Co to są dane wrażliwe?
Dane kategorii szczególnych to informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne służące jednoznacznemu zidentyfikowaniu osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Jakby tego było mało, nie można pominąć kwestii, że w zakresie danych genetycznych, danych biometrycznych oraz danych dotyczących zdrowia dokładne wskazówki podaje samo RODO.
– W artykule 4 RODO podjęto próbę zdefiniowania niektórych pojęć, w tym danych genetycznych, biometrycznych i dotyczących zdrowia – wskazuje Patrycja Hładoń, inspektor ochrony danych. – I tak, kolejno: dane genetyczne to dane dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o jej fizjologii lub zdrowiu i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej, przykładowo: wyniki badań genetycznych kobiety w ciąży. Dane biometryczne to dane, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Przykładowo: linie papilarne. Dane dotyczące zdrowia to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia, przykładowo: dane o niepełnosprawności, informacje o uzależnieniu od alkoholu lub narkotyków, informacje o zażywanych lekach”. Nie można zapomnieć o jeszcze jednej kategorii danych wrażliwych. Szczególnej ochronie podlegają również dane dotyczące przeszłości kryminalnej osoby fizycznej, przez które należy rozumieć informacje o wyrokach skazujących, naruszeniach prawa oraz powiązanych z nimi środków bezpieczeństwa.
PESEL a dane wrażliwe
PESEL nie należy do zbioru danych szczególnych kategorii.
PESEL NIE JEST DANĄ WRAŻLIWĄ, choć wielu przywiązało się do tej błędnej opinii.
Co zrobić, aby przetwarzać dane wrażliwe?
Zgodnie z art. 9 RODO przetwarzanie danych osobowych szczególnych kategorii jest zabronione. Wg RODO, są to informacje o niezwykle istotnym znaczeniu z punktu widzenia intymności i prywatności osoby fizycznej. W związku z powyższym te informacje w ogóle nie powinny być przetwarzane. Jak to jednak w życiu bywa, od każdej reguły istnieją wyjątki. Jak się bliżej zatem przyjrzeć, RODO wskazuje zamknięty zestaw przypadków, w których przetwarzanie danych wrażliwych jest możliwe.
– W zamkniętym katalogu przesłanek legalizujących przetwarzanie danych szczególnych kategorii znajdziemy – uzupełnia Patrycja Hładoń – zgodę osoby, której dane dotyczą, wypełnienie obowiązków prawnych przez administratora w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, ochronę żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. To najpopularniejsze.
Poza tym ekspertka zauważa, że przetwarzanie danych wrażliwych jest możliwe przez fundację, stowarzyszenie lub inny podmiot działający w celach niezarobkowych, jeśli chodzi o cele polityczne, światopoglądowe, religijne i związkowe dotyczące członków tej organizacji. Przepisy przewidują kolejne wyjątki:
- jeśli jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy lub jest związane z realizacją ważnego interesu publicznego, w tym również w dziedzinie zdrowia publicznego,
- jeśli jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.
Dodajmy do tego jeszcze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych oraz dane osobowe w sposób oczywisty upublicznione przez osobę, której dane dotyczą i wyjdzie nam całkiem obszerny zakres możliwości przetwarzania danych szczególnych kategorii.
Zgoda osoby fizycznej oraz obowiązek prawny
Z punktu widzenia małych i średnich operatorów telekomunikacyjnych najistotniejsze znaczenie wśród przesłanek legalizujących przetwarzanie danych osobowych szczególnych kategorii mają: zgoda osoby fizycznej oraz obowiązek prawny.
Warto podkreślić, że posiadanie podstawy prawnej do przetwarzania danych nie zwalnia żadnego przedsiębiorcy z innych obowiązków, jak choćby poinformowania osoby fizycznej o zasadach, skutkach i celach podejmowanych przez niego działań oraz stosowanych zasadach ochrony danych osobowych czy też zobowiązania pracowników do zachowania tajemnicy służbowej.
Tu temat – ponownie – zaczyna się komplikować i rozwarstwiać. Mając na uwadze powyższe, najrozsądniejszym rozwiązaniem wydaje się zastosowanie profilaktyki, którą proponuje Grupa MiŚOT i specjaliści z nią współpracujący. Przypomnijmy, że MiŚOT S.A. już dawno podjął temat ochrony danych osobowych i za pośrednictwem Projektu MDS współpracującego z inspektorami ochrony danych i audytorami ze Spółki Informatics z Jaworzna służy wsparciem w tym zakresie.
Czytaj także: