PRZEDSPRZEDAŻ

PRZEDSPRZEDAŻ

Cena promocyjna
599 zł

Wpisz kod RODO100

Przygotowujące do RODO szkolenie porusza temat danych wrażliwych, choć oficjalnie termin ten nie istnieje

Na gruncie polskiego systemu prawnego pojęcie to jest powszechnie znane, gdyż występowało w ustawie o ochronie danych osobowych. Jest to tym samym dla Polaków dość typowa sytuacja stykowa pomiędzy GIODO a RODO, gdzie to drugie wyróżnia za to grupę tzw. szczególnych kategorii danych osobowych.

Należą do niej dane osobowe ujawniające (pochodzenie rasowe lub etniczne, przekonania religijne i polityczne, przynależność do związków zawodowych), dane związane ze zdrowiem i seksualnością człowieka oraz dane genetyczne i biometryczne, za pomocą których można zidentyfikować jednostkę. Wszystkie te kwestie obejmuje ochrona danych osobowych RODO, stanowią one na dodatek kategorię zamkniętą, tzn. nie można przyporządkować do niej żadnych innych danych.

Należy zaznaczyć, że ustawa RODO używa pojęcia danych dotyczących zdrowia, czego nie należy utożsamiać z danymi o stanie zdrowia, które pojawia się polskiej ustawie z 1997 roku. Dane dotyczące zdrowia oznaczają informacje o zdrowiu psychicznym i fizycznym jednostki, w tym jego historię korzystania z opieki zdrowotnej, jeśli taka istnieje i tym samym dostarcza wiadomości na temat stanie zdrowia jednostki.

Oznacza to również, że ochrona danych osobowych RODO obejmuje dane na temat korzystania z konkretnych usług opieki zdrowotnej, gdy na ich podstawie można wysnuć wnioski o stanie zdrowia jednostki. Przykładowo jeżeli wiadomo, że osoba wielokrotnie korzystała z usług dermatologa, to wiadomo też, że cierpi ona na problemy związane ze skórą. Mamy więc do czynienia ze szczególną kategorią i każde profesjonalne związane z RODO szkolenie powinno to potwierdzić.

Audyt RODO – na jakie dane może jeszcze zwrócić uwagę?

Ustawa o ochronie danych osobowych uznawała za informację wrażliwą dane o nałogach, gdzie dokumentacja RODO takiego czegoś nie wymienia. Przyjmuje się jednak, że dane o stanie zdrowia jak najbardziej obejmują również informacje dotyczące nałogów jednostki.

Dane genetyczne zaś obejmują szczególnie te informacje, które może dostarczyć szczegółowa analiza próbki biologicznej, a zatem dosłownie chodzi o kod DNA oraz RNA. Rejestr zbiorów danych osobowych obejmuje zatem te dane biometryczne, które spełniają równocześnie trzy następujące warunki: dotyczą cech fizycznych, fizjologicznych lub behawioralnych, wynikają ze specjalnego przetwarzania technicznego oraz umożliwiają jednoznaczną identyfikację osoby./p>

Doskonałym przykładem jest wizerunek oraz odciski palców. Inne przykłady to np. geometria twarzy bądź dłoni, jak też cechy siatkówki oka.

Jakich sytuacji nie obejmuje analiza ryzyka RODO?

Warto pamiętać o tym, że trzy wymienione wcześniej warunki muszą być spełnione jednocześnie. Szczególnie ma to znaczenie w przypadku fotografii, która jest przecież stałym elementem naszego życia. Nie każda fotografia będzie zatem uznawana za informację genetyczną, tak więc sporą część z nich analiza ryzyka RODO zwyczajnie pominie.

Przykładowo ochroniarz, który będzie sprawdzał fotografię wchodzącego na teren chronionego zakładu człowieka, nie musi obawiać się o związane z RODO kary. Na podstawie takiej fotografii urządzenia techniczne nie będą bowiem w stanie jednoznacznie zidentyfikować osoby na zdjęciu. Nie wymaga się od pracowników takiego szczebla udania się na szkolenie RODO – w ich wypadku wystarczy krótki instruktaż udzielony przez pracodawcę.

Podobnie rzecz ma się z przechowywaniem w miejscu pracy akt osobowych pracowników, które często wzbogacone są o fotografie. Sam fakt posiadania takowych nie jest jednoznaczny z przetwarzaniem danych biometrycznych – w tym celu przedsiębiorstwo musiałoby zaopatrzyć się w specjalistyczne urządzenie pozwalające na identyfikację osób na podstawie zdjęć.

Rejestr zbiorów danych osobowych rozróżnia przynależność wyznaniową od przekonań religijnych

Katalog danych wrażliwych nie obejmuje przynależności partyjnej i wyznaniowej, choć – jak pamiętamy – należą do niego informacje o religijnych przekonaniach i politycznych bądź światopoglądowych poglądach. Tak samo za wrażliwą uznaje się daną o przynależności do związków zawodowych.

Istnieją jednak sytuacje, w których dane te można przetwarzać. Podane niżej przykłady są mimo wszystko odrobinę uproszczone, dlatego w razie wątpliwości zaleca się sięgnięcie do oryginalnego tekstu rozporządzenia. Dobre szkolenie RODO powinno wyjaśnić wszelkie wątpliwości i sprawić, że żadne związane z RODO kary nie będą zagrożeniem. Tak czy inaczej, aby doszło do możliwości przetwarzania wspomnianych danych, spełniony musi być przynajmniej jeden z następujących warunków:

1. Jednostka wyraziła zgodę na przetwarzanie tych danych. Niekoniecznie mowa jest o formie pisemnej zgody, wystarczy bowiem choćby zaznaczenie odpowiedniego checkboxa, co może być przydatne do zastosowania RODO w marketingu.

Podkreśla się natomiast, aby zgoda ta była maksymalnie jednoznaczna i wyraźna, bez wątpliwości kogo dotyczy i na co osoba ta zgadza się. Odpowiedzialny zatem jest za to administrator i to on będzie pociągnięty do odpowiedzialności, gdyby audyt RODO wykazał nieprawidłowości.

Należy zauważyć, że zgoda nie może mieć formy „przyjęcia do wiadomości”. Niedopuszczalnym jest tym samym stworzenie regulaminu portalu, w którym znalazłby się punkt mówiący o tym, że użytkownik przyjmuje do wiadomości, iż administrator ma prawo do gromadzenia i przetwarzania danych użytkownika dotyczących jego politycznych i religijnych przekonań w celu dostosowania do niego reklam.

Zgodę wyraźną należy traktować tu podobnie jak zgodę zwykłą, znaczy stosuje się wobec niej wymóg dobrowolności. Rozporządzenie zauważa, że w stosunku pracy nie zawsze taka dobrowolność istnieje. Jeżeli zatem brak zgody ze strony pracownika mógłby wiązać się z negatywnymi dla niego konsekwencjami, to o dobrowolności nie ma mowy.

2. Jeżeli przetwarzanie danych jest konieczne do spełnienia obowiązku prawnego bądź wykonania szczególnych praw administratora lub osoby, której dane dotyczą (o ile zezwala na to prawo UE albo prawo krajowe). Ten podpunkt odnosi się do prawa pracy, zabezpieczenia społecznego i ochrony społecznej.

3. Jeżeli przetwarzanie danych jest konieczne do ochrony żywotnych interesów jednostki – prawo ma tu na myśli nie tylko osobę, której dotyczą dane, ale też osobę trzecią, której dane dotyczą, a która jest fizycznie lub prawnie niezdolna do wyrażenia zgody.

4. Jeżeli dane mają być przetwarzane przez stowarzyszenia, fundacje, organizacje polityczne, religijne i pokrewne na ich cele statutowe. Muszą być tu spełnione dwa dodatkowe warunki, mianowicie że dane będą przetwarzane przez członków i osoby stale związane z organizacją oraz że dane te nie będą ujawniane podmiotom zewnętrznym – chyba że osoba, której dotyczą dane, wyrazi na to zgodę.

5. Jeżeli osoba, której dane dotyczą, w sposób oczywisty sama je upubliczniła.

6. Jeżeli przetwarzanie danych jest potrzebne do postępowania sądowego. Sąd należy rozumieć tu w znaczeniu szerokim, tzn. także sąd arbitrażowy czy administracyjny.

7. Jeżeli przetwarzanie wynika z przepisu prawa i jest konieczne w odniesieniu do ważnego interesu publicznego, przy czym zachowano gwarancje podstawowych interesów osoby, o danych której mowa. W takim przypadku bierze się dodatkowo pod uwagę wynikającą z Konstytucji zasadę proporcjonalności. Polega ona na tym, że interes publiczny należy porównać z interesem osoby, której dane mają zostać podane. Jeżeli interes tej ostatniej przeważy, to przepis wprowadzający regulację ochraniającą interes publiczny będzie sprzeczny z konstytucją.

8. Jeżeli przetwarzanie dotyczy profilaktyki zdrowotnej, zapewnienia opieki zdrowotnej, diagnozy medycznej, medycyny pracy lub zabezpieczenia społecznego. W tym wypadku dane mogą przetwarzać tylko osoby podlegające obowiązkowi zachowania tajemnicy zawodowej, czyli w polskim systemie prawnym lekarze, dentyści, fizjoterapeuci i pielęgniarki.

9. Jeżeli przetwarzanie jest konieczne w kontekście zdrowia publicznego. Mowa tu o takich przypadkach jak ochrona przed poważnymi transgranicznymi chorobami zakaźnymi.

10. Jeżeli przetwarzanie jest konieczne do celów archiwalnych związanych z interesem publicznym, a także do celów naukowych i statystycznych, przy czym ma miejsce na podstawie przepisu prawa i zachowane są gwarancje podstawowych interesów osoby, o której danych mowa.

Na koniec warto wspomnieć, że szczególnym regułom podlegają dane dotyczące naruszeń prawa i wyroków skazujących. Takie dane przetwarzać można pod nadzorem władz i na podstawie konkretnych przepisów. W Polsce odnosi się to do np. Krajowego Rejestru Karnego, który dostarcza informacji na temat ewentualnych wyroków skazujących daną jednostkę w przeszłości.

powrót

Zobacz również:

Kontakt

Potrzebujesz szczegółowych informacji?
Aby skontaktować się z nami, wypełnij poniższy formularz:

 



Wiadomość*:

Pytania merytoryczne:

Marlena Fiedorow

marlena.fiedorow@forum-media.pl
Tel. 61 66 83 105

Pytania dotyczące faktur i rozliczeń:

Tel. 61 66 55 774