Ogólne przesłanki przetwarzania danych wrażliwych cz. I

Ogólne przesłanki przetwarzania danych wrażliwych

Ustawodawca w art. 27 o.o.d.o. wskazał wszystkie dane, które należy przyporządkować do danych wrażliwych. Wszelkie pozostałe dane są zatem danymi zwykłymi – podział ten jest więc zupełny[1]. Oznacza to również  zgodnie z regułą exceptiones non sunt extendae – że wykładnia pojęcia danych wrażliwych powinna być restryktywna. Zakresu tego pojęcia nie należy rozszerzać[2].

W art. 27 ust. 1 przewidziano zamkniętą listę kategorii informacji, uznawanych za dane wrażliwe. Są to dane ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

W art. 27 ust. 2 zawarto z kolei enumeratywnie wyliczone przesłanki dopuszczalności przetwarzania danych wrażliwych. Lista stanowi katalog zamknięty 10 przesłanek. Zgodnie z art. 27 ust. 2 ustawodawca dopuszcza przetwarzanie danych w przypadku gdy:

1.      osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych;

2.      przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony;

3.       przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora;

4.      jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych;

5.      przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;

6.      przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;

7.      przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;

8.      przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;

9.      jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone;

10.  przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Usunięcie danych albo pisemna zgoda

Pierwszym i - można powiedzieć - zasadniczym, warunkiem dopuszczającym przetwarzanie danych osobowych, jest to, że osoba, której dane dotyczą, wyrazi na to zgodę na piśmie. Znajduje tu odbicie - traktowana często jako podstawowa - przesłanka usprawiedliwiająca przetwarzanie jakichkolwiek danych osobowych, mianowicie zgoda zainteresowanego. Specyfika związana ze szczególnym charakterem danych sensytywnych polega na tym, że zgoda musi być wyrażona na piśmie. Warunek stawiany przez komentowaną ustawę ma niekiedy dodatkowe oparcie w przepisach ustaw szczegółowych. Pisemna zgoda nie jest potrzebna jedynie przy usuwaniu danych wrażliwych[3].

Szczególny przepis ustawowy

Jest to doprecyzowana przesłanka przetwarzania danych zwykłych w oparciu o realizację uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa[4]. Aby uznać przepis szczególny za legalizujący przetwarzanie danych sensytywnych, musi on spełniać następujące warunki:

- być przepisem rangi ustawowej

- uprawniać lub zobowiązywać do przetwarzania danych

- wyraźnie uchylać zakaz przetwarzania danych bez zgody osoby, której dane dotyczą

- obejmować dane wrażliwe swoim zakresem regulacji

- stwarzać pełne gwarancje ochrony danych[5].

Opisane warunki spełniają między innymi:

- art. 10a ustawy z 12.10.1990 r. o Straży Granicznej (t.j. Dz.U. z 2014 r. poz. 1402 ze zm.), uprawniający Straż Graniczną do gromadzenia danych ujawniających pochodzenie etniczne, przynależność wyznaniową oraz dane o stanie zdrowia;

- art. 34 ust. 1 ustawy z 24.5.2002 r. o Agencji Bezpieczeństwa Wewnętrznego i Agencji Wywiadu (t.j. Dz.U. z 2015 r. poz. 1929 ze zm.), uprawniający Agencję do zbierania wszelkich danych wrażliwych wskazanych w art. 27 OchrDanOsU;

- art. 20 ust. 2b pkt 1 ustawy z 6.4.1990 r. o Policji (t.j. Dz.U. z 2015 r. poz. 355 ze zm.), uprawniający Policję do zbierania wszelkich danych wrażliwych wskazanych w art. 27 OchrDanOsU;

- art. 29 ust. 2 ustawy z 24.8.2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych (t.j. Dz.U. z 2016 r.poz. 96 ze zm.), uprawniający Żandarmerię Wojskową do gromadzenia danych ujawniających pochodzenie etniczne, przynależność wyznaniową oraz dane o stanie zdrowia[6].