Dane wrażliwe w internecie – co to jest, przykłady, ochrona

Dnia 25 maja 2018 r. rozpoczęto stosowanie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (tzw. RODO), którego celem było ujednolicenie i rozszerzenie dotychczasowego zakresu ochrony danych osobowych. Rozporządzenie miało zapewnić spójny stopień ochrony danych personalnych na terytorium Unii Europejskiej, gwarantując podmiotom gospodarczym rozszerzenie możliwości biznesowych poprzez ułatwienie przepływu danych osobowych, a osobom fizycznym – ten sam poziom praw i jednoczesnych obowiązków administratorów danych. Wskutek wprowadzenia RODO polska ustawa o ochronie danych osobowych uległa zmianom i została dostosowana do brzmienia rozporządzenia, zapewniając najpełniejsze stosowanie przepisów unijnych.

Ustawa o ochronie danych osobowych wyróżnia dane osobowe zwykłe i wrażliwe. Za pierwsze z nich uważa się informacje podstawowe, niepodlegające szczególnej ochronie. Dane osobowe wrażliwe stanowią natomiast szczególną kategorią danych personalnych, których przetwarzanie związane jest z przyjęciem dodatkowych środków bezpieczeństwa. Uzasadnieniem ich wyodrębnienia, jest konieczność ochrony osób, których one dotyczą.

Aby odpowiedzieć sobie na pytanie, czy można przetwarzać dane wrażliwe, należy wskazać czym tak właściwie jest samo przetwarzanie danych. Zgodnie z przepisami, przetwarzaniem danych jest każda operacja na nich podjęta, w szczególności ich przechowywanie, utrwalanie, udostępnianie, zwłaszcza podjęte w systemie informatycznym.

Co do zasady przetwarzanie danych wrażliwych jest zakazane, jednak ustawa o ochronie danych osobowych wprowadza od tej zasady wiele wyjątków. Przede wszystkim dane wrażliwe można przetwarzać, gdy osoba osoba, której one dotyczą, wyrazi pisemną zgodę na przetwarzanie danych wrażliwych. Dopuszczalne jest również przetwarzanie danych wrażliwych co do których oczywiste jest, że upublicznił je sam zainteresowany. Inną okolicznością legalizującą przetwarzanie danych wrażliwych jest zawarcie w ustawie przepisu przewidującego taką dopuszczalność. Takie regulacje zawierają m.in. przepisy ustawy o policji, czy też ustawy o usługach detektywistycznych, ustawy o służbie celnej.

Prawodawca unijny wyodrębnił kategorie danych, co do których ograniczył dopuszczalność ich przetwarzania, zapewniając silniejszą ochronę, zgodnie z przekonaniem, że przetwarzanie niektórych danych osobowych może ingerować w prywatność osób, których dane dotyczą. Dane wrażliwe według RODO, to dane osobowe ujawniające:

• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub światopoglądowe,
• przynależność do związków zawodowych,
• dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
• dane dotyczące zdrowia, seksualności lub orientacji seksualnej konkretnej osoby.

Danymi wrażliwymi niewątpliwie będą przetwarzane przez przychodnię lub szpital dane dotyczące stanu zdrowia pacjentów. Jako dane wrażliwe często błędnie kwalifikowane są informacje dotyczące majątku danej osoby, numeru PESEL czy numeru konta bankowego. Tego rodzaju dane w komentowanym rozporządzeniu traktowane są jako tzw. dane zwykłe. Nie oznacza to jednak, że nie mogą podlegać szczególnej ochronie, w oparciu o przepisy szczególne (np. przepisy prawa bankowego).

Administratorem danych osobowych jest każdy przedsiębiorca przetwarzający dane swoich klientów, bądź użytkowników. Jest on zobowiązany do stosowania odpowiednich środków, które zapewnią ochronę podczas przetwarzania danych osobowych, w szczególności do zabezpieczenia danych personalnych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zniszczeniem.

Powyższe odnosi się również do przedsiębiorców, którzy prowadzą działalność w internecie i w związku z tym przetwarzają dane osobowe. Powinni oni podjąć działania zapobiegające wyciekowi danych lub ich kradzieży, gdyż dane personalne mogą okazać się bardzo cenne pod kątem marketingowym i sprzedażowym. W przypadku braku stosownej ochrony dane osobowe mogą wyciec lub zostać skradzione i stać się przedmiotem nielegalnego handlu danymi. Należy pamiętać, iż na przetwarzanie danych osobowych określonego internauty konieczne jest wyrażeniem przez niego zgody na takie działanie.

Na ryzyka związane z przetwarzaniem danych osobowych zwraca uwagę motyw 75 Preambuły do RODO, który wskazuje, że przetwarzanie danych osobowych może prowadzić m.in. do dyskryminacji, kradzieży tożsamości, straty finansowej, naruszenia imienia lub utraty kontroli nad własnymi danymi osobowymi. Rozporządzenie RODO zawiera również definicję naruszenia danych osobowych, wskazując, że jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przedsiębiorca przetwarzający dane osobowe powinien wdrożyć Politykę Bezpieczeństwa Danych Osobowych, czyli określić procedury dotyczące stosowania ochrony danych osobowych. Ponadto przedsiębiorca powinien przygotować tzw. Instrukcję Zarządzania Systemem Informatycznym, zawierającą wytyczne ochrony danych personalnych w internecie. W zależności od rodzaju przetwarzanych danych osobowych, wdrożony poziom bezpieczeństwa przy ich przetwarzaniu będzie różny. Dane wrażliwe podlegają najwyższej ochronie.

Gromadzenie oraz przetwarzanie danych osobowych na coraz szersza skalę wiąże się z wieloma wyzwaniami i zagrożeniami. Wielu konsumentów i użytkowników internetu nie zdaje sobie sprawy z jakimi zagrożeniami może wiązać się niedostateczna ochrona danych osobowych.

Numer PESEL nie jest daną wrażliwą.

Numer konta bankowego nie należy do katalogu danych wrażliwych.

Zazwyczaj samo imię i nazwisko, bez wskazania dodatkowych informacji identyfikujących konkretną osobę, nie będzie stanowiło danych osobowych, gdyż większości przypadków takie samo imię i nazwisko będzie należało do wielu osób. Z tego powodu imię i nazwisko nie może stanowić danych wrażliwych.

Numer dowodu osobistego nie należy do katalogu danych wrażliwych.