Dane zwykłe i dane wrażliwe
Ustawa o ochronie danych osobowych wyróżnia dwa rodzaje danych, dane zwykłe i dane wrażliwe (zwane także danymi sensytywnymi). Zgodnie z art. 6 „za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.”
Kady podmiot chcący przetwarzać dane osobowe w pierwszej kolejności powinien zbadać czy klasyfikują się one do danych zwykłych czy danych wrażliwych, ponieważ ustawa przewiduje odmienne regulacje dla obu tych kategorii danych.
Ustawodawca, podziału na dane zwykłe i wrażliwe dokonał w ten sposób, że w art. 27 Ustawy wskazał wszystkie dane, które należy przyporządkować do danych wrażliwych. Wszelkie pozostałe dane są zatem danymi zwykłymi1. Oznacza to również zgodnie z regułą exceptiones non sunt extendae – że wykładnia pojęcia danych wrażliwych powinna być restryktywna. Zakresu tego pojęcia nie należy rozszerzać2.
W art. 27 ust. 1 przewidziano zamkniętą listę kategorii informacji, uznawanych za dane wrażliwe. Są to dane ujawniające:
1) pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym – Ta grupa danych podlega mocniejszej ochronie, gdyż w art. 49 ust. 2 Ustawodawca przewiduje surowszą odpowiedzialność karną za ich nielegalne przetwarzanie. Jako ciekawostkę można podać, że zaliczenie danych o kodzie genetycznym i o nałogach do danych sensytywnych wykracza poza standardy europejskie, które ograniczają się jedynie do danych o stanie zdrowia3
2) informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Kryterium wyróżnienia powyższych danych stanowi to, że dotyczą one sfer należących do prywatności czy nawet intymności osoby fizycznej. W pozostałych przypadkach (a więc przy danych zwykłych, danych neutralnych, danych trywialnych) ingerencja w obszar prywatności bądź w ogóle nie zachodzi, bądź nawet jeśli występuje – to wynika nie tyle z samej treści danych, ile raczej z ich zestawieni kontekstu4. Należy pamiętać, że tzw. dwupodział (na dane zwykłe i wrażliwe) jest podziałem sztucznym i jak każde uogólnienie, nie jest zawsze prawdziwy. Bardzo prawdopodobne jest bowiem, że in concreto przetwarzanie niektórych z tzw. danych zwykłych (np. dane o sytuacji ekonomicznej, socjalnej, etc.) będzie niosło ze sobą znacznie większe zagrożenie dla prywatności niż przetwarzanie niektórych z tzw. danych wrażliwych (np. pochodzenia etnicznego czy rasowego)5.
Niektóre z kategorii tzw. danych wrażliwych budzą pewne wątpliwości co do zakresu pojęciowego. W szczególności są to takie kategorie danych jak informacje o stanie zdrowia i nałogach. Z jednej strony bowiem informacja o tym, że komuś nic nie dolega, może być potraktowana jako informacja o stanie zdrowia (np. w przypadku oceny stanu zdrowia w trakcie badań nad jakimś produktem leczniczym), z drugiej zaś informacja o częstotliwości odwiedzin u swojego lekarza pierwszego kontaktu nie musi bezpośrednio odnosić się do stanu zdrowia osoby (osoba może po portu czuć potrzebę częstych wizyt u lekarza, mimo że jej nic nie dolega)6.
Pojęcie informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym obejmuje na pewno dane umieszczone w Krajowym Rejestrze Karnym, jak również orzeczenia sądów powszechnych wydane w postępowaniu cywilnym. W literaturze wskazuje się, że powinno ono dotyczyć także danych o karach dyscyplinarnych7, orzeczeń sądów koleżeńskich8. Z kolei pojęcie postepowania „sądowego” jest interpretowane jako postepowanie przed sądem cywilnym, karnym, administracyjnym9.
Aby dane uznać za wrażliwe, muszą one w pierwszej kolejności spełnić przesłanki uznania ich za dane osobowe w rozumieniu art. 6 Ustawy tzn. muszą dotyczyć zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Można uznać, że zbierania i przetwarzanie takich danych, nawet jeśli zawierają informacje wrażliwe w rozumieniu art. 27 ust 1 jest prawnie dopuszczalne, jako zbieranie i przetwarzanie danych anonimowych. Jednak jak wskazują J. Barta i P. Litwiński w Komentarzu do Ustawy o ochronie danych osobowych jeżeli administrator danych decyduje się na przetwarzanie informacji anonimowych, dane te powinny by anonimowe od samego początku tj. od momentu ich zebrania, niedopuszczalne jest natomiast w celu uniknięcia szczególnego reżimu ochronnego ich następcze zanonimizowanie10.
W kolejnym poście: Przetwarzanie danych
...................................................................................................................................................................
1. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2011, s. 540.
2. S. Hoc, T. Szewc, Ochrona danych osobowych i informacji niejawnych, Warszawa 2014, s. 9.
3. E. Kulesza, Ochrona danych osobowych w świetle ustawodawstwa europejskiego i polskiej ustawy o ochronie danych osobowych, Prawo i Medycyna 2000, Nr 5, s. 106
4. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz LEX, Warszawa 2015, s. 486.
5. Por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 570.
6. J. Barta, P. Litwiński, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 309.
7. A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2007, s. 178.
8. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2004, s. 571.
9. A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2007, s. 169.
10. J. Barta, P. Litwiński, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 308