Na stronie internetowej ICO, brytyjskiego organu nadzorczego w rozumieniu RODO, pojawiły się wytyczne poświęcone przetwarzaniu danych szczególnych kategorii. Materiał jest skierowany do inspektorów ochrony danych i osób odpowiedzialnych za ochronę danych w większych organizacjach. Poniżej prezentujemy dwa wybrane fragmenty wytycznych, które w języku angielskim dostępne są tutaj.
Dlaczego te dane są szczególne?
Nie chodzi tylko o to, że tego rodzaju informacje mogą być postrzegane jako bardziej wrażliwe lub „prywatne”. Motywy RODO wyjaśniają, że tego rodzaju dane osobowe zasługują na szczególną ochronę. Wynika to z faktu, że wykorzystanie tych danych może stwarzać znaczące ryzyko dla podstawowych praw i wolności jednostki. Na przykład różne kategorie są ściśle powiązane z:
- wolnością myśli, sumienia i wyznania;
- wolnością wypowiedzi;
- wolnością zgromadzeń i zrzeszania się;
- prawem do nietykalności cielesnej;
- prawem do poszanowania życia prywatnego i rodzinnego; lub
- brakiem dyskryminacji.
Domniemywa się, że tego rodzaju dane należy traktować z większą ostrożnością, ponieważ ich gromadzenie i wykorzystywanie może w większym stopniu zakłócać te podstawowe prawa lub narażać na dyskryminację. Jest to część podejścia RODO opartego na ryzyku.
Podczas gdy inne dane również mogą być „wrażliwe”, takie jak dane finansowe dotyczące danej osoby, nie wiążą się z tymi samymi podstawowymi problemami, a zatem nie stanowią danych szczególnych kategorii w rozumieniu RODO (a więc danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej – przyp. tłum.). I chociaż dane dotyczące wyroków skazujących oraz czynów zabronionych mogą powodować podobne problemy, nie stanowią one danych szczególnej kategorii, ponieważ podlegają odrębnym przepisom. Zawsze jednak należy upewnić się, że przetwarzanie innych rodzajów danych jest rzetelne i spełnia inne wymogi RODO (w tym odrębne przepisy dotyczące danych dotyczących czynów zabronionych).
Te szczególne kategorie danych osobowych są ujęte w szerokie ramy i mogą również obejmować informacje, które nie są postrzegane jako szczególnie wrażliwe. Na przykład szczegóły dotyczące zdrowia psychicznego danej osoby mogą być znacznie bardziej wrażliwe niż to, czy ma ona złamaną nogę – ale obie informacje dotyczą zdrowia. Biorąc pod uwagę potencjalne ryzyko dla praw i wolności osoby, ważne jest, aby zidentyfikować takie dane i podejść do nich ostrożnie, nawet jeśli uważamy, że nie są one szczególnie wrażliwe.
Jak działają warunki przetwarzania wskazane w art. 9 ust. 2?
W pierwszej kolejności należy wyjaśnić, dlaczego potrzebujemy danych szczególnej kategorii, ponieważ większość warunków opiera się na konkretnym celu przetwarzania. Następnie możemy zidentyfikować najodpowiedniejszy warunek.
Biorąc pod uwagę potencjalne ryzyko naruszenia praw i wolności osób fizycznych, warunki są określone wąsko i często wymagają spełnienia szczegółowych kryteriów oraz wprowadzenia szczególnych zabezpieczeń i środków zapewniających rozliczalność. Niektóre warunki są również ograniczone do określonych typów administratorów, a niektóre dotyczą tylko określonych rodzajów danych szczególnych kategorii.
W przypadku niektórych warunków należy uzasadnić, dlaczego nie można dać osobom fizycznym wyboru i uzyskać wyraźnej zgody na przetwarzanie. Różni się to od odrębnie określonych zasad dotyczących legalnych podstaw przetwarzania danych osobowych (wskazanych w art. 6 RODO – przyp. tłum), w przypadku których nie ma preferencji co do przesłanki zgody. Biorąc pod uwagę ryzyko dla osób fizycznych, w przypadku danych szczególnych kategorii większy nacisk kładziony jest bowiem na zgodę. Jednak to rozumowanie nie ma zastosowania dla wszystkich warunków, a nawet tam, gdzie jest to wymagane, prawo uznaje, że mogą istnieć dobre powody, dla których uzyskanie ważnej zgody w niektórych przypadkach może nie być wykonalne.
Jeśli nie mamy pewności, który warunek jest odpowiedni, warto zacząć od zastanowienia się, czy można uzyskać wyraźną zgodę na przetwarzanie. Jednak zgoda taka nie zawsze będzie odpowiednia, szczególnie w sektorze publicznym. Jeśli istnieją uzasadnione powody, dla których zgoda nie zadziała, można rozważyć inne warunki określone w art. 9. Należy przy tym skoncentrować się na wyznaczonym celu przetwarzania, upewniając się, że dane szczególnej kategorii są w tym celu rzeczywiście potrzebne.
Jeśli cel nie jest objęty żadnym z warunków i nie można uzyskać ważnej wyraźnej zgody, nie można przetwarzać danych kategorii specjalnej. Nie ma znaczenia, jak dobre mogą być nasze powody. W praktyce należy zmienić swoje plany, aby albo uniknąć używania danych szczególnej kategorii, albo uzyskać ważną wyraźną zgodę.https://gdpr.pl/aktualnosci/wytyczne-ico-dotyczace-danych-szczegolnych-kategorii
Jedynym potencjalnym wyłączeniem z art. 9 jest wyłączenie na podstawie interesu publicznego w przypadku dziennikarstwa, środowiska akademickiego, sztuki lub literatury. Nie ma innych wyjątków od art. 9.
ICO nie może zezwolić na wykorzystanie danych kategorii specjalnej w przypadku braku adekwatnego warunku. Dodanie dalszych warunków leży w gestii rządu i wymagałoby nowego ustawodawstwa.
Polecamy także:
Etyczne przetwarzanie danych w systemach sztucznej inteligencji
Niedopuszczalne przetwarzanie danych – odpowiedzialność karna