Rodzaje danych osobowych podlegających szczególnym zasadom  przetwarzania

Istnieją kategorie danych osobowych, których przetwarzanie zostało w GDPR uregulowane w sposób szczególny (art. 9 i art. 10 GDPR). Obostrzenia związane z ich przetwarzaniem chronią te szczególnie istotne dla sfery prywatności dane. Są to:

1) dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych,

2) dane genetyczne,

3) dane biometryczne,

4) dane dotyczące zdrowia, seksualności lub orientacji seksualnej,

5) dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.

Dane genetyczne

Wskazanie wprost danych genetycznych i biometrycznych jest nowością wprowadzoną w GDPR względem dotychczasowej regulacji w UODO. I tak, art. 4 pkt 13 GDPR, definiuje dane genetyczne jako dane osobowe, które:

1) dotyczą odziedziczonych lub nabytych cech genetycznych osoby fizycznej,

2) ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby; i które

3) wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej [motyw 34 GDPR wskazuje, że chodzi tu w szczególności o analizę chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub analizę innych elementów umożliwiających pozyskanie równoważnych informacji].

Dane biometryczne

Natomiast art. 4 pkt 14 GDPR, definiuje dane biometryczne jako dane osobowe, które:

1) wynikają ze specjalnego przetwarzania technicznego,

2) dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej; oraz

3) umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Motyw 51 GDPR stanowi jednak, iż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.

Są to zatem informacje pozwalające zidentyfikować osobę na podstawie jej unikalnych cech biologicznych, dokonane poprzez porównanie ich zapisu z bazy danych z nową próbką i określenie czy są identyczne.

Dane dotyczące zdrowia

Art. 4 pkt 15 GDPR, definiuje dane dotyczące zdrowia jako dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Jak wskazuje motyw 35 GDPR, do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Zgodnie z tym motywem, do takich danych należą:

1) informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE;

2) numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych;

3) informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz

4) wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła – którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Do takich danych osobowych powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne, przy czym użycie w niniejszym rozporządzeniu terminu „pochodzenie rasowe”. Nie oznacza to, że Unia akceptuje teorie sugerujące istnienie osobnych ras ludzkich. Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Takich danych osobowych nie należy przetwarzać, chyba że niniejsze rozporządzenie dopuszcza ich przetwarzanie w szczególnych przypadkach, przy czym należy uwzględnić, że prawo państw członkowskich może obejmować przepisy szczegółowe o ochronie danych dostosowujące zastosowanie przepisów niniejszego rozporządzenia tak, by można było wypełnić obowiązki prawne lub wykonać zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oprócz wymogów szczegółowych mających zastosowanie do takiego przetwarzania, zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby, w szczególności gdy przetwarzanie danych odbywa się w ramach uzasadnionych działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z podstawowych wolności.

Dane osobowe dotyczące wyroków skazujących i naruszeń prawa

Art. 11 GDPR stanowi, że przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

Źródła:

http://searchsecurity.techtarget.com/definition/biometric-verification

Related Post