Z tego artykułu dowiesz się:
Najważniejsze informacje zawarte w artykule:
- Dane wrażliwe to rodzaj danych osobowych, z którymi mamy do czynienia np. w firmach.
- Przykładem danych wrażliwych są informacje rasowe czy przekonania religijne.
- W świetle prawa przetwarzanie danych wrażliwych nie jest dozwolone.
- Są jednak przypadki, kiedy dane wrażliwe można przetwarzać, jeśli zostaną spełnione określone warunki.
- Ochronę danych wrażliwych zapewnia RODO.
Co to są dane wrażliwe?
Zapewne wszyscy doskonale wiedzą, czym są dane osobowe. Jednak możesz nie zdawać sobie sprawy, że dotyczą one nie tylko Twojego imienia i nazwiska, czy też numer PESEL.
Istnieją różne rodzaje danych osobowych, a możemy wyróżnić dane zwykłe i dane wrażliwe, nazywane też szczególnymi. Te drugie podlegają dodatkowej ochronie dotyczącej ich przetwarzania czy szerokiego udostępniania.
Co to są dane wrażliwe? Definicja wskazuje, że należą one do danych osobowych, ale jest to ich specyficzny rodzaj, który podlega szczególnej ochronie. Wszystko dlatego, że to właśnie one dotyczą sfery prywatnej.
Dane osobowe dzielimy na:
- Dane zwykłe - są to np. imię i nazwisko, adres zamieszkania, numer PESEL czy numer telefonu.
- Dane wrażliwe - są to np. pochodzenie rasowe lub etniczne, poglądy religijne czy polityczne, przekonania światopoglądowe, dane genetyczne, dane zdrowotne, seksualność i orientacja.
Jak inaczej nazywamy dane wrażliwe? Niekiedy mówi się o nich także „dane szczególne” lub „dane sensytywne”.
Jeśli chodzi o dane wrażliwe, ustawa która zapewnia ich szczególną ochronę, to znana wszystkim RODO, czyli Rozporządzenie o Ochronie Danych Osobowych. Jest to zbiór regulacji określający kwestie związane z przetwarzaniem danych na terenie Unii Europejskiej.
A do czego używa się danych zwykłych i wrażliwych? Do udzielania kredytów, pożyczek czy chwilówek używa się zwykłych danych osobowych, choć warto zauważyć, że w bankowości wzrasta rola danych biometrycznych. Odcisk palca może służyć np. do odblokowania aplikacji bankowej, gdzie weźmiesz już najtańszy kredyt gotówkowy.
Jak widać, poniekąd rozpowszechnia się udostępnianie danych wrażliwych w sektorze bankowym, jednak decydując się na taki krok, doskonale wiesz, że będą one podlegać szczególnej ochronie.
Warto wiedzieć: Jak chronić się przed wyłudzeniem danych?
Dane wrażliwe a RODO
Jeśli chodzi o dane wrażliwe, RODO wprowadzone oficjalnie 25 maja 2018 roku zapewnia ich szczególną ochronę na terenie wszystkich państw należących do Unii Europejskiej. Wprowadzone RODO zastąpiło ówczesną dyrektywę o ochronie danych.
Dane wrażliwe według RODO oznaczają dane wykorzystywane do identyfikacji osób fizycznych. Obejmuje to szeroką gamę informacji indywidualnych. Rozporządzenie wprowadziło szereg wymogów związanych ze sposobem zbierania, przechowywania i zarządzania danymi osobowymi, z naciskiem na konieczność uzyskania zgody od osób, których dotyczą. Istotne w tym kontekście jest także zapewnienie transparentności w procesie przetwarzania danych.
Warto wiedzieć!
Przepisy RODO dotyczą wszystkich organizacji (publicznych i prywatnych), które przetwarzają dane osobowe osób zamieszkujących kraje Unii Europejskiej. Co istotne, zasadami objęte są zarówno organizacje znajdujące się na terenie UE, jak też te spoza UE, jeśli oferują towary czy usługi mieszkańcom UE, czy też monitorują ich zachowanie.
Dane wrażliwe wymagają szczególnych środków ochrony ze względu na ich naturę, która wiąże się ze sporym ryzykiem naruszenia praw i wolności osób fizycznych. Wynika to z faktu, że dane wrażliwe dotyczą przekonań, światopoglądu, wierzeń, stanu zdrowia, pochodzenia, orientacji i tym podobnych informacji, które stanowią nadzwyczaj prywatną sferę każdego z nas.
Najważniejsze założenia RODO w kontekście danych wrażliwych:
- Zasadniczo przetwarzanie danych wrażliwych jest zakazane, oprócz sytuacji, gdy osoba, której dane dotyczą, wyraża zgodę na ich przetwarzanie do jednego lub więcej celów. Wyjątkiem jest też przypadek, gdy przetwarzanie danych jest konieczne do celów ważnego interesu publicznego.
- Przy przetwarzaniu danych osobowych organizacje muszą stosować odpowiednią ochronę, aby zapewnić pełne zabezpieczenie danych i zapewnić poufność integralność oraz dostępność. Konieczne w tym względzie są więc zaawansowane technologie szyfrowania czy wdrożenie procedur zapewniających ochronę danych na wysokim poziomie.
- Udzielana zgoda na przetwarzanie danych wrażliwych musi być świadoma, wyraźna i dobrowolna. Aby została uznana za ważną, należy wyrazić ją w sposób jednoznaczny.
Co zalicza się do danych wrażliwych?
Wiesz już, że dane wrażliwe są pewnym rodzajem danych osobowych. Jednak mimo to same też mają wiele swoich rodzajów, które dotyczą różnych sfer naszego życia. Niektóre są związane z pochodzeniem czy rasą, inne ze zdrowiem, jeszcze inne z przekonaniami dotyczącymi wiary czy orientacji.
Jakie są to dane wrażliwe? Przykłady:
- Dane dotyczące przynależności rasowej lub etnicznej - są to informacje wskazujące na pochodzenia rasowe lub etniczne osoby.
- Poglądy polityczne - informacje zawierają przekonania, ale też działalność polityczną.
- Przekonania religijne i poglądy filozoficzne - kwestie dotyczące wiary czy samego podejścia do religii, poglądów religijnych i filozoficznych.
- Dane dotyczące przynależności związkowej - informacje o członkostwach w związkach zawodowych.
- Dane genetyczne - informacje o dziedzicznych cechach genetycznych.
- Dane biometryczne - informacje umożliwiające jednoznaczną identyfikację danej osoby z pomocą jej cech fizycznych, behawioralnych lub fizjologicznych. Przykładem są odciski palców czy skany rysów twarzy.
- Informacje zdrowotne - dane dotyczące fizycznego i psychicznego stanu zdrowia, także historii medycznej, diagnoz, historii leczenia, usług i przyjmowanych leków.
- Informacje o życiu seksualnym i orientacji seksualnej.
Jakie dane nie są wrażliwe?
Nie wszystkie dane są wrażliwe, nawet jeśli potencjalnie je za takie uważasz. Wiele osób myśli, że przykładowo informacje kontaktowe podlegają tak samo szczególnej ochronie jak dane wrażliwe. Nic bardziej mylnego.
Owszem, są one odpowiednio zabezpieczane, ale na pewno ich przetwarzanie nie jest objęte aż tak rozbudowanymi zasadami, jak w przypadku wrażliwych danych typu orientacja, przekonania czy zdrowie.
W związku z tym, jakie dane nie są wrażliwe? Na pewno nie są to:
- Dane kontaktowe - imię i nazwisko, numer telefonu, adres e-mail i adres zamieszkania - pod warunkiem, że nie są one powiązane z innymi danymi wrażliwymi.
- Demograficzne - są to takie informacje jak płeć, wiek, wykształcenie czy zawód.
- Dane ekonomiczne - informacje związane z sytuacją finansową, np. dochody, historia kredytowa, chyba że dane te są używane w celu dyskryminacji.
- Informacje o zatrudnieniu - dane dotyczące historii pracy, kwalifikacji i osiągnięć zawodowych.
- Dane rejestrowe - informacje zawarte w publicznych rejestrach np. rejestrach handlowych czy rejestrach nieruchomości.
Jeśli wiesz zastanawiasz się, czy adres to dane wrażliwe, jak widzisz, nie jest on traktowany w ten sposób, chyba że podanie adresu wiąże się z innymi danymi wrażliwymi.
A czy numer PESEL to dane wrażliwe? Sam PESEL nie jest klasyfikowany w ten sposób. Jednak podlega odpowiedniej ochronie pod względem przetwarzania, co określają przepisy RODO wymagające odpowiednich środków bezpieczeństwa.
Czy numer konta bankowego to dane wrażliwe? Podobnie jak PESEL, tak też ta kwestia nie jest klasyfikowana oficjalne jako jeden z elementów należących do danych wrażliwych. Dane wrażliwe, jak wiesz, obejmują informacje które mogą doprowadzić do dyskryminacji lub naruszenia praw i wolności osób.
Numer konta nie jest z tym związany w żaden sposób. Nie oznacza to jednak, że nie jest chroniony. Również w tym przypadku dane te podlegają ochronie jak pozostałe dane osobowe.
Pozostaje jeszcze kwestia dokumentów osobistych, a dokładniej tego, czy numer dowodu osobistego to dane wrażliwe? Niestety nie. Również numer dowodu nie jest klasyfikowany jako dane wrażliwe, podobnie jak wszystkie powyższe elementy. Podlega on ogólnym przepisom RODO dotyczącym ochrony danych osobowych.
Przeczytaj także: Credit Check - czym jest i jakie są główne zadania platformy?
Dane wrażliwe a dane osobowe zwykłe – różnice
Czym się różnią dane zwykłe i wrażliwe? Dane osobowe zwykłe to informacje służące do identyfikacji osoby fizycznej. Do takich identyfikatorów przypisuje się np. imię i nazwisko, adres, dane o lokalizacji, PESEL, numer telefonu czy IP. Dane zwykłe są podawane dość często i w różnych sytuacjach przez osoby, których dotyczą. Ich zdobycie nie wiąże się więc z dużym wysiłkiem.
Dane zwykłe pozwalają dokładnie określić tożsamość osoby fizycznej, dlatego potrzebne są we wszelkich wnioskach urzędowych i bankowych. Część z nich wykorzystywana jest też przez firmy. Sposób przetwarzania takich danych jest określony przez RODO i ustawę o ochronie danych osobowych.
Dane wrażliwe należą do sfery prywatnej i nie służą jako identyfikatory z wyjątkiem danych biometrycznych. Źle wykorzystane mogą służyć do dyskryminacji ze względu na pochodzenie rasowe lub etniczne, wyznanie religijne, orientację seksualną, przynależność do związków zawodowych, stan zdrowia, obciążenie genetyczne, poglądy polityczne, przekonania światopoglądowe i inne. Z tego powodu tak ważna jest ich ochrona.
Kiedy przetwarzanie danych wrażliwych jest legalne?
Przepisy RODO określają to, czy można przetwarzać dane wrażliwe i jeśli tak, to w jakich sytuacjach oraz w jaki sposób, aby było to w pełni bezpieczne dla osoby, której dotyczą. Chodzi oczywiście o sytuację, aby dane "nie wyciekły", a były odpowiednio zabezpieczone, jeśli wcześniej zostanie wyrażona jasna zgoda na ich przetwarzanie.
W związku z tym, przetwarzanie danych wrażliwych jest możliwe, ale po spełnieniu określonych warunków, które są dość rygorystyczne, z uwagi na ich naturę i potencjalne ryzyko dotyczące prywatności i wolności osób, których dotyczą. Przede wszystkim musi zostać wyrażona zgoda na przetwarzanie danych wrażliwych, jednoznaczna, świadoma i określająca konkretny cel przetwarzania.
Z przetwarzaniem danych wrażliwych możemy spotkać się w związku z zatrudnieniem, zabezpieczeniem społecznym czy ochroną socjalną. Jest ono niezbędne do celów związanych z prawem pracy, w celu spełnienia obowiązków i specyficznych praw przez administratora danych w dziedzinie prawa pracy.
Przetwarzanie jest dopuszczalne w ramach legalnych działań przez fundację, stowarzyszenie lub organizacje non-profit o celach politycznych, religijnych, związkowych i filozoficznych.
Jest ono także istotne w kontekście znaczących interesów publicznych, na podstawie prawa Unii lub państwa członkowskiego, które musi być proporcjonalne do celu ściganego, szanować istotne prawa do ochrony danych i zapewniać konkretne środki praw i wolności osób, których dotyczą.
Z przetwarzaniem wrażliwych danych spotykamy się także przy celach zdrowotnych, zwłaszcza w kontekście zarządzania systemami i usługami opieki zdrowotnej lub społecznej.
Więcej informacji: Jak sprawdzić, czy ktoś nie wziął na mnie chwilówki - sprawdź
Co grozi za ujawnienie danych wrażliwych?
Ujawnienie danych wrażliwych bez wyrażonej zgody przez osobę, której dotyczą, jest podstawą do wyciągnięcia konsekwencji prawnych. Wszystkie kary, jakich można spodziewać się w takiej sytuacji, są zawarte w RODO, ale też w Ustawie o ochronie danych osobowych.
W RODO wyróżniamy dwa rodzaje przestępstw bezprawnego wykorzystania danych:
- Podmiot przetwarza dane, chociaż nie jest to dopuszczalne;
- Podmiot nie jest uprawniony do przetwarzania danych, ale i tak się tym zajmuje.
O co dokładnie chodzi w powyższych przypadkach? Pierwszy dotyczy sytuacji, gdy podmiot przejmuje dane osobowe od administratora danych bez zawarcia z nim odpowiedniej umowy, uzyskania zgody czy poprzez przekroczenie zakresu otrzymanego upoważnienia.
Drugi przypadek to sytuacja, gdy dane osobowe nie zostają usuwane po spełnieniu celu, na który dana osoba wyraziła zgodę odnośnie do ich przetwarzania. Drugi przypadek dotyczy także przetwarzania danych, jeśli wykracza ono poza zakres przyznanego upoważnienia.
Uwaga!
Jeśli chodzi o Ustawę o ochronie danych osobowych, art. 107. mówi, że takie przestępstwa zostają objęte karą grzywny, ograniczenia wolności lub karą pozbawienia wolności do lat 3.
Jak chronić dane wrażliwe?
Jako osoba fizyczna, której dotyczą poszczególne dane, decydujesz o tym, kto i w jakich sytuacjach uzyska zgodę na ich przetwarzanie. Pamiętaj, że przede wszystkim będzie to możliwe wyłącznie w sytuacji, kiedy wyrazisz na to jednoznaczna zgodę.
Możesz spotkać się z nią np. w sytuacji zakupów online w sklepach, gdzie na ekranie pojawia się okienko o wyrażeniu zgody na przetwarzanie danych osobowych. Podobnie jest w przypadku korzystania z mediów społecznościowych, gdzie szczególnie ważna jest ochrona danych wrażliwych.
Możesz chronić się przed nieuprawnionym dostępem do swoich danych. Sprawdź, jak to zrobić:
- Używaj silnych haseł przy zakładaniu kont. Najlepiej, aby do każdego konta było przypisane inne unikalne hasło.
- Aktualizuj system operacyjny, przeglądarki i aplikacje, aby najnowsze oprogramowania zapewniły Ci pełną ochronę danych z pomocą najlepszych zabezpieczeń.
- Szyfruj dyski twarde, urządzenia mobilne i dane przesyłane przez internet.
- Korzystaj z uwierzytelniania dwuskładnikowego (2FA) wszędzie, gdzie to możliwe, np. w bankowości internetowej.
- Dziel się danymi z ostrożnością. Dokładnie sprawdzaj komu, gdzie i w jaki sposób udostępnisz swoje dane wrażliwe.
- Używaj bezpiecznych połączeń. Unikaj korzystania z publicznych sieci Wi-Fi zwłaszcza przy ważnych transakcjach i w sytuacjach, gdy wiesz, że przesyłasz swoje dane.
- Monitoruj aktywności na swoim koncie. Sprawdzaj rachunki bankowe czy raporty kredytowe. Możesz uruchomić alerty BIK.
- Uważaj na PHISHING. Chodzi o połączenia telefoniczne, SMS-y czy wiadomości e-mail z prośbą o udostępnienie danych osobowych lub przekierowujące do podejrzanych stron.
Dowiedz się: Czym jest usługa Bezpieczny PESEL?
Wyciek danych wrażliwych - co robić w takiej sytuacji?
W sytuacji, kiedy jesteś pewien, że nastąpił wyciek danych wrażliwych lub ich kradzież, możesz jak najszybciej podjąć odpowiednie kroki. Warto także weryfikować istotne kwestie wtedy, gdy masz pewne podejrzenia, a chcesz zmniejszyć ryzyko wycieku.
Informację na ten temat można znaleźć na stronie Biura Rzecznika Praw Obywatelskich: „Każdej osobie, która została dotknięta naruszeniem ochrony danych osobowych, przysługuje skarga do Prezesa Urzędu Ochrony Danych Osobowych (Prezes UODO), który jest organem właściwym w sprawie ochrony danych osobowych”.
Ponadto, zgodnie z przepisami RODO, jeśli jesteś osobą, której dane dotyczą, masz prawo do uzyskania od administratora danych szczegółowych informacji odnośnie do przetwarzania Twoich danych i konkretnych celów, a także kwestii dotyczących tego, jakie konkretnie dane wyciekły.
Możesz skorzystać też z funkcjonalności udostępnionej na stronie rządowej, z pomocą której sprawdzisz, czy Twoje dane osobowe zostały udostępnione.
Jeśli chcesz zachować szczególną ostrożność, wiedząc, że wyciekły Twoje dane, zastrzeż swój PESEL, zabezpiecz logowanie do kont na różnych platformach i zgłoś policji zawiadomienie o popełnieniu przestępstwa.
Bądź na bieżąco z najnowszymi artykułami:
Pytania i odpowiedzi