O danych osobowych już mogłaś przeczytać – był to wstęp. Ten temat nie jest tak prosty jakby się wydawało. Jest dość niejasny. Ten cykl artykułów ma Ci przybliżyć to zagadnienie, ale jeśli nadal masz wątpliwości to polecam wybrać się do prawnika.
Wrażliwe czy zwykłe oto jest pytanie
„Ależ ja nie przetwarzam żadnych danych”. Taka najczęściej pada odpowiedź z ust osób, z którymi pierwszy raz rozmawiam o przetwarzaniu danych osobowych. Większość osób mówiąc „przetwarzanie” wyobraża sobie skomplikowane operacje na danych osobowych w zaawansowanych systemach informatycznych.
Tymczasem zgodnie z art. 7 pkt. 2 polskiej ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych „ilekroć w ustawie jest mowa o „przetwarzaniu” rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”.
Te z Was, które przeczytały uważnie definicję prawdopodobnie są teraz zaskoczone. Przetwarzanie danych zaczyna się właśnie od zbierania, a to oznacza, że powinieneś spełnić wymogi ochrony danych osobowych w zasadzie zanim rozpoczniesz działalność. Zanim podpiszesz pierwszą umowę z klientem, wykonasz pierwsze działania marketingowe, czy zatrudnisz pierwszego pracownika lub współpracownika.
Skoro już wiesz, że jednak przetwarzasz dane osobowe pozostaje pytanie jakie to są dane? Nie chodzi o to czy będzie to imię i nazwisko czy numer buta (tak, w pewnych okolicznościach ta informacja też może stanowić daną osobową :), tylko czy będą to dane wrażliwe czy dane zwykłe.
Obie nazwy padły już w poprzednim artykule i teraz zgodnie z obietnicą postaram się Wam przybliżyć ich znaczenie.
Art. 6 powołanej ustawy o ochronie danych osobowych stanowi, że dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny, albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Daną osobową zwykłą jest np. numer NIP lub PESEL.
Wśród informacji stanowiących dane osobowe, ustawodawca wyróżnił kategorię danych osobowych zasłgujących na szczególną ochroną poprzez sporządzenie ich listy w art. 27 ustawy o ochronie danych osobowych. Danymi wrażliwymi są zatem: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Ważne jest, aby pamiętać, że danymi wrażliwymi są wyłącznie te rodzaje danych, które wymieniono a w art. 27 i żadne inne. To, tak zwany, katalog zamknięty. W związku z tym wszystkie dane osobowe, które nie mieszczą się w pojęciu danych wrażliwych są danymi zwykłymi.
Nie będzie daną wrażliwą informacja dotycząca wieku lub stanu cywilnego danej osoby, chociaż wielu za takie chętnie by je uznało 😉
Jeżeli po zapoznaniu się z definicją danych wrażliwych odetchnąłeś z ulgą, uznając że Ciebie to nie dotyczy to dobrze się zastanów. Jeśli jesteś pracodawcą, czy nie posiadasz informacji o wypadkach przy pracy zawierających dane o stanie zdrowia Twoich pracowników? Albo o wyrokach sądowych ich dotyczących? Jeśli jesteś kosmetyczką, czy nie masz w sowich dokumentach danych o stanie zdrowia swoich klientek? Nie wspomnę już o nowych technologiach, szczególnie w branży medycznej..
Odpowiedz sobie jeszcze raz na pytanie: czy przetwarzam wrażliwe dane osobowe, a już wkrótce opowiem Ci jak robić to zgodnie z prawem.
