Wrażliwość w odniesieniu do danych osobowych brzmi dosyć nietypowo, choć to bardzo trafne sformułowanie. Dane osobowe są bowiem ściśle związane z człowiekiem, a niektóre z nich również z jego życiem prywatnym, czymś delikatnym, wrażliwym. Zacznę dziś dosyć nietypowo, bo od pytania czym jest wrażliwość? Oczywiście, sama definicja wrażliwości to nie wszystko. Zastanowimy się czym są dane osobowe i dlaczego niektóre z nich są wrażliwe, a inne nie.

Czym są dane osobowe?

Dane osobowe to w uproszczeniu informacje, które pozwalają bezpośrednio lub pośrednio ustalić tożsamość danej osoby, a więc jej imię, nazwisko, PESEL, e-mail, numer telefonu ale także stan zdrowia, upodobania seksualne czy nałogi. Nie trudno zauważyć, że istnieje olbrzymia różnica pomiędzy daną w postaci imienia i nazwiska, a daną w postaci preferencji seksualnych. Ta ostatnia należy do życia prywatnego człowieka, i jako taka podlegają szerszej ochronie.

Dane zwykłe i wrażliwe

W związku z różnorodnością danych, polski ustawodawca podzielił dane na zwykłe tj. imię, nazwisko, PESEL, e-mail, numer telefonu, oraz wrażliwe, delikatne, dotykające sfery prywatnej człowieka tj. stan zdrowia, upodobania seksualne czy nałogi. Pełny katalog danych wrażliwych znajdujemy w art. 27 ustawy o ochronie danych osobowych (dalej Ustawa), który stanowi, iż za dane wrażliwe (inaczej: sensytywne) uznaje się informacje dotyczące:

  • pochodzenia rasowego lub etnicznego,
  • poglądów politycznych,
  • przekonań religijnych lub filozoficznych,
  • przynależności wyznaniowej, partyjnej lub związkowej,
  • stanu zdrowia,
  • kodu genetycznego,
  • nałogów (w tym poddania się leczeniu odwykowemu lub przerwania go, uczestniczenia w grupach i organizacjach stawiających sobie za cel walkę z uzależnieniami),
  • życia seksualnego,
  • skazań, orzeczeń o ukaraniu, mandatów karnych oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Wymienione dane stanowią katalog zamknięty. Można zatem stwierdzić, że wszelkie dane osobowe nie będące danymi wrażliwymi, są danymi zwykłymi.

Czy są jakieś konsekwencje tego podziału?

Oczywiście, dane sensytywne podlegają szerszej ochronie niż dane zwykłe, przewidzianej zarówno w Konstytucji jak i Ustawie. Na gruncie Konstytucji dane wrażliwe podlegają ochronie na podstawie art. 47, zgodnie z którym każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Moim zdaniem dane zwykłe nie podlegają ochronie przewidzianej w powyższym przepisie. Na podstawie Ustawy, a dokładniej art. 27 ust.1 zabrania się przetwarzania danych wrażliwych. Od tej reguły istnieją jednak wyjątki. Można przetwarzać dane sensytywne, np. gdy osoba, której dane dotyczą, wyrazi pisemną zgodę na ich przetwarzanie. W przypadku danych zwykłych zgoda nie musi być wyrażona na piśmie, wystarczy że w sposób jasny i zrozumiały będzie prezentowała wolę osoby, której dane dotyczą.

Już na podstawie tych dwóch przykładów  (jest ich znacznie więcej) widać, iż ustawodawca w sposób szczególny uregulował kwestię przetwarzania i ochrony danych wrażliwych. Zdarza się jednak, że administratorzy danych, a więc podmioty decydujące o celach i środkach ich przetwarzania (zazwyczaj są to przedsiębiorcy) nie wiedzą, że przetwarzają dane wrażliwe. Jako przykład można podać portale randkowe czy portale zajmujące się zdrowiem. Rejestracja polega na wypełnieniu formularza, w którym ujawnia się swoje dane w postaci wyznania, nałogu czy grupy krwi. Wielu przedsiębiorców przyjmuje, że skoro sami zainteresowani wpisują dane do formularza zgłoszeniowego, to w sposób dorozumiany wyrażają zgodę na ich przetwarzanie, nic jednak bardziej mylnego. Aby administrator mógł przetwarzać te dane, a więc m.in. zbierać czy przechowywać, utrwalać czy udostępniać, to zgodnie z prawem musi uzyskać pisemną zgodę osoby, której dane dotyczą. Do tego służy odpowiednia klauzula, którą administrator danych powinien umieścić a użytkownik zaakceptować na stronie internetowej.

Odpowiedzialność za bezprawne przetwarzanie danych wrażliwych

Jaką odpowiedzialność poniesie administrator danych w sytuacji, gdy przetwarza dane wrażliwe bez wymaganej zgody? Zgodnie z art. 49 ust. 2 ustawy, za sprawcy grozi kara grzywny, ograniczenia wolności, a nawet pozbawienia wolności do lat 3. Oczywiście oprócz odpowiedzialności karnej możliwe jest również pociągniecie do odpowiedzialności cywilnej. Warto o tym pamiętać i zadbać o przygotowanie odpowiednich klauzul przed rozpoczęciem przetwarzania delikatnych danych.

Ustawodawca niektórym danym osobowym przypisał ludzką cechę w postaci wrażliwości. Ten antropomorfizm danych ma jednak głębszy sens. Każda wrażliwa dana to część naszego prywatnego, osobistego życia, która zasługuje na szczególną ochronę.