Strona główna Aktualności RODO 2018: Dane osobowe oraz ich przetwarzanie (4)

RODO 2018: Dane osobowe oraz ich przetwarzanie (4)

251
PODZIEL SIĘ
dane szczególne Lexagit.pl porady prawne online

Artykuł odpowiada na pytanie: Na jakiej podstawie w świetle RODO mogą być przetwarzane „szczególne” dane osobowe?

Od 25 maja 2018 r. obowiązuje Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO).

Przypomnijmy…

Ustawodawca unijny dzieli dane osobowe na „zwykłe”  i „szczególne”.  „Przetwarzanie” danych osobowych oznacza czynności „wykonywane na danych osobowych” takie jak: zbieranie i przechowywanie, opracowywanie, udostępnienie, usuwanie, niszczenie (art. 4 pkt 2 RODO).

Ustawodawca unijny zezwala na przetwarzanie danych ”zwykłych” oraz wyjątkowo danych „szczególnych”.

Na temat przetwarzania danych osobowych „zwykłych” pisaliśmy w artykule: RODO 2018: Dane osobowe oraz ich przetwarzanie (3)

 „Szczególne” dane osobowe, czyli jakie

W art. 9 ust. 1 RODO zawarty jest zamknięty katalog „szczególnych” danych osobowych. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, oraz dane genetyczne, dane  biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej.

Nowe kategorie „szczególnych” danych osobowych w RODO

Rozporządzenie RODO wprowadza trzy nowe kategorie „szczególnych” danych osobowych:

  1. Dane genetyczne

Art. 4 pkt 13 RODO definiuje dane genetyczne” jako „dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej”. Z motywu 34 RODO wynika, że można je uzyskać „z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji”.

  1. Dane biometryczne

Z art. 4 pkt 14 RODO  „dane biometryczne” są to  „dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Motyw 51 RODO stanowi: ”fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości”. Na gruncie prawa polskiego dane biometryczne posiadają paszporty wydawane od 29 czerwca 2009 r.  Zawierają bowiem „wizerunek twarzy i odciski palców umieszczone (…) w formie elektronicznej” (art. 2 pkt 1 Ustawy z dnia 13 lipca 2006 r. o dokumentach paszportowych (tekst jedn. Dz.U. 2016. 758) .

Przykładem danych biometrycznych będą również: linie papilarne, skanowanie tęczówki lub siatkówki oka,  biometria głosu (rozpoznawanie głosu), weryfikacja podpisu (analiza podpisu), odcisk dłoni.

  1. Dane dotyczące zdrowia

Zgodnie z art. 4 pkt 15 RODO „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia”.

Motyw 35 RODO wskazuje, że: „Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej” pochodzące „z badań laboratoryjnych lub lekarskich części ciała (…)”. Są nimi także „wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby (…)”.

Warunki przetwarzania  „szczególnych” kategorii danych osobowych

W świetle art. 9 ust. 2 RODO administrator może przetwarzać „szczególne” kategorie danych, jeżeli zostanie „spełniony jest jeden z poniższych warunków”:

1.Osoba, której dane dotyczą udzieliła wyraźnej zgody na ich przetwarzanie w jednym lub kilku konkretnych celach.

Zgoda na przetwarzanie danych osobowych dotyczy przetwarzania  zarówno danych ogólnych i „ szczególnych”. Nie może być tzw. „ogólna” albo domyślna.

2. Przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej.

W motywie 52 RODO ustawodawca unijny podkreślił: „Należy również zezwolić na wyjątki od zakazu przetwarzania szczególnych kategorii danych osobowych – (…) jeżeli uzasadnia to interes publiczny, w szczególności polegający na przetwarzaniu danych osobowych w dziedzinie prawa pracy, prawa zabezpieczenia społecznego, w tym emerytur”.

Przykład:

  • dopuszczenie do pracy pracowników powracających z dłuższego zwolnienia lekarskiego.

3. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.

Przykładem będą sytuacje zagrażające zdrowiu i życiu ludzkiemu. Z powodu ciężkiego stanu zdrowia chory nie może wyrazić zgody na przetwarzanie danych osobowych, ale personel medyczny może takie dane uzyskać np. od rodziny chorego.

4. Przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą,

Przykłady:

  • okres przynależności do danej organizacji związkowej, pełnione w niej funkcje,
  • wyznanie religijne, uczestniczenie w spotkaniach i obrzędach z nim związanych.

5. Przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.

Przykład:

W udzielanych wywiadach osoby znane same wyrażają swój pogląd na temat wydarzeń społeczno- politycznych lub kulturalnych, stąd też  przetwarzane niniejszych danych jest dozwolone.

6. Przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy, czyli „w postępowaniu sądowym, administracyjnym lub też innym postępowaniu pozasądowym (motyw 52 RODO).

7. Przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.

Przykłady dotyczące stanu zdrowia :

  • zdiagnozowane choroby,
  • przepisane lekarstwa,
  • przebyte operacje lub zabiegi chirurgiczne,

8. Przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.

W następnym artykule zostaną omówione zasady przetwarzania danych osobowych zgodne z RODO.  

Podstawa prawna:

– art. 4 pkt 13 -15, art. 9 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s. 1) – Ogólne  Rozporządzenie o Ochronie  Danych Osobowych

Stan prawny na 2 lipca 2018 roku

Wanda Książek – współpracownik Portalu

Zapraszamy do kontaktu z Kancelarią, jeśli artykuł ten Państwa zainteresował lub potrzebują Państwo więcej informacji.

Potrzebujesz porady prawnej lub podatkowej?

Wpisz swoje zapytanie. A nasi specjaliści udzielą kompleksowej porady.

Zadanie pytania nic nie kosztuje. Nasi specjaliści skontaktują się z Tobą w ciągu 24h.