AUTOR: RADCA PRAWNY KRZYSZTOF ŻABIŃSKI
Po lekturze poprzedniego artykułu w ramach cyklu „Prawdziwe oblicze RODO” pt. „ZGODA” wiecie Państwo, że na gruncie RODO można wyróżnić trzy rodzaje danych osobowych, a mianowicie: dane osobowe zwykłe, szczególne kategorie danych osobowych oraz dane osobowe dotyczące wyroków skazujących i naruszeń prawa. W dzisiejszej publikacji chciałbym trochę więcej czasu poświęcić wyjaśnieniu, czym według rozporządzenia są szczególne kategorie danych osobowych, jaka jest zasadnicza różnica w ich przetwarzaniu względem przetwarzania danych osobowych zwykłych, a także czy wizerunek zalicza się do tej kategorii danych osobowych i czy w związku z tym powinien podlegać bardziej rygorystycznej ochronie. Pochylę się również nad zagadnieniem zgody na przetwarzanie szczególnych kategorii danych osobowych, a także wyjaśnię, dlaczego należy uważać na informacje publikowane na swój temat.
Szczególne kategorie danych osobowych
Szczególne kategorie danych osobowych (określane również jako dane sensytywne czy dane wrażliwe), zostały wymienione w art. 9 RODO, który jednocześnie stanowi podstawę prawną ich przetwarzania. Katalog danych wrażliwych obejmuje:
- dane ujawniające pochodzenie rasowe lub etniczne,
- dane ujawniające poglądy polityczne,
- dane ujawniające przekonania religijne lub światopoglądowe,
- dane ujawniające przynależność do związków zawodowych,
- dane genetyczne,
- dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej,
- dane dotyczące zdrowia,
- dane dotyczące seksualności lub orientacji seksualnej.
Jest to katalog zamknięty, co znaczy, że za dane sensytywne mogą być uznane tylko i wyłącznie dane osobowe wprost w nim wyszczególnione. Żadne inne informacje czy dane osobowe nie będą mogły być zaliczone do szczególnych kategorii danych osobowych, choćby w subiektywnym odczuciu osoby, której dane dotyczą, miały charakter wrażliwy.
PRZYKŁAD: Numer PESEL, który w określonej sytuacji będzie uzyskiwał status danych osobowych, będzie zaliczał się do danych zwykłych, mimo że z punktu widzenia osoby, do której przynależy, będzie to jedna z najbardziej wrażliwych informacji na jej temat.
Co w nich takiego szczególnego?
Art. 9 ust. 1 wprowadza generalny zakaz przetwarzania szczególnych kategorii danych osobowych, stanowiąc wprost, że zabrania się ich przetwarzania. Co to oznacza w praktyce?
Jak już wspomniałem na łamach poprzednich artykułów, RODO nie wprowadza zakazu przetwarzania danych zwykłych jako reguły, a jedynie formułuje zalecenie, by w miarę możliwości starać się osiągnąć cel innymi sposobami niż poprzez przetwarzanie danych osobowych[1]. W przypadku danych wrażliwych sytuacja wygląda zgoła inaczej, gdyż punktem wyjścia przy podejmowaniu decyzji o rozpoczęciu przetwarzania danych sensytywnych powinno być założenie, że nie wolno tego robić. Dopiero w art. 9 ust. 2 wskazana jest lista wyjątków, w których przetwarzanie takich danych jest dozwolone[2].
Taka konstrukcja jest doniosła z punktu widzenia wykładni prawniczej. Jedną z naczelnych zasad prawa jest bowiem to, że wyjątków nie interpretuje się rozszerzająco. Oznacza to, że jeżeli administrator nie będzie w stanie znaleźć podstawy prawnej do przetwarzania szczególnych kategorii danych osobowych dla celu, który chce osiągnąć, to nie będzie mógł na zasadzie analogii skorzystać z innej podstawy prawnej, przewidzianej dla przypadku podobnego. Sama lista wyjątków jest dosyć rozbudowana. W niniejszym artykule przyjrzymy się dwóm z nich.
Zgoda trochę inna
Stosownie do art. 9 ust. 2 lit a RODO przetwarzanie danych wrażliwych jest dozwolone, jeżeli osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, przetwarzania tych danych.
Zasadniczo do zgody, o której mowa w art. 9 ust. 2 lit a RODO zastosowanie mają wymogi odnoszące się do zgody na przetwarzanie danych osobowych zwykłych takie jak np.: milczenie, domyślnie zaznaczone okienka lub brak działania nie mogą być traktowane jako zgoda; osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych; zapytanie o zgodę lub oświadczenie o jej wyrażeniu musi być wyraźnie wyodrębnione; przed wyrażeniem zgody osoba, której dane dotyczą, musi być informowana o prawie jej wycofania w dowolnym momencie, a samo wycofanie musi być równie łatwe jak jej wyrażenie. Kwestia ta została szerzej omówiona w poprzednim artykule pt. „Zgoda”[3].
Tym co odróżnia zgodę na przetwarzanie danych sensytywnych od zgody z art. 6 ust. 1 lit a RODO jest to, że:
- rozporządzenie wprost wskazuje, że zgoda na przetwarzanie szczególnych kategorii danych osobowych musi być wyraźna;
- prawo Unii lub prawo państwa członkowskiego może wyłączać możliwość uchylenia generalnego zakazu przetwarzania danych szczególnych w drodze wyrażenia zgody[4].
Pierwsze ze wspomnianych obostrzeń może rodzić wątpliwości, czy zgoda na przetwarzanie danych wrażliwych może być wyrażona w sposób dorozumiany, a więc poprzez „wyraźne działania potwierdzające”. Moim zdaniem nie, a to z uwagi na silniejszą ochronę danych sensytywnych i dopuszczenie ich przetwarzania jedynie na zasadzie wyjątku od reguły. Zatem w przypadku zgody, o której mowa w art. 9 ust. 2 lit a RODO, administrator powinien dążyć do tego, by zawsze odebrać ją w formie wyraźnego oświadczenia[5].
Drugie z obostrzeń nie powinno budzić wątpliwości interpretacyjnych, choć z pewnością wśród niektórych może powodować zdziwienie, że zgoda, która – jak wspomniałem w poprzednim artykule – często mylnie uważana jest za najważniejszą czy jedyną słuszną podstawę prawną przetwarzania danych osobowych, może okazać się niewystarczająca do uchylenia omawianego zakazu. Pokazuje to tylko, jak dużą wagę prawodawca unijny przykłada do ochrony danych szczególnych.
Uważaj, co publikujesz
Zgodnie z art. 9 ust. 2 lit e RODO dozwolone jest przetwarzanie szczególnych kategorii danych osobowych, jeżeli przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.
Omawiany przepis wymaga, aby fakt upublicznienia był oczywisty. Nie może być zatem wątpliwości, co do tego, że to właśnie osoba, której dane dotyczą, podała do publicznej wiadomości informacje na swój temat. Chodzi tu zatem o sytuacje takie jak publikowanie treści w Internecie czy udzielanie wywiadu w radiu lub telewizji. Może zdarzyć się, że wskutek tego typu działań udostępnimy na swój temat informacje, które na gruncie RODO zaliczają się do danych wrażliwych. Robiąc to, rezygnujemy z pewnej części swojej prywatności, a tym samym z ochrony, którą upublicznione dane sensytywne są objęte. Dlatego właśnie tak dużą wagę należy przywiązywać do swoich wypowiedzi czy rzeczy publikowanych w mediach społecznościowych. Nie byłoby z pewnością dla nikogo komfortową sytuacją, gdybyśmy domagając się ochrony nieuprawnionego naszym zdaniem przetwarzania szczególnych kategorii danych osobowych usłyszeli, że w danej sytuacji takowa nam się nie należy, albowiem sami upubliczniliśmy dane na swój temat[6].
Oczywiście sam fakt upublicznienia takich danych osobowych nie oznacza, że mogą być one przetwarzane przez każdego w jakimkolwiek celu. Samo uchylenie zakazu przetwarzania danych wrażliwych poprzez ich upublicznienie nie powoduje, że podmiot decydujący się na przetwarzanie zostaje zwolniony z obowiązków nakładanych na niego chociażby przez zasady ogólne RODO takie jak zbieranie danych osobowych w konkretnych, wyraźnych i prawnie uzasadnionych celach.
Wizerunek
Jedną z kwestii, które wywołały ożywioną dyskusję po wejściu w życie RODO było to, czy wizerunek zalicza się do danych sensytywnych, czy nie. Wyniknęły one z tego, że rozporządzenie posługuje się słowem „wizerunek” tylko w jednym miejscu, a mianowicie w art. 4 pkt 14, który definiuje pojęcie „dane biometryczne”. Przepis ten stanowi, że dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne. Dane biometryczne, jak wiecie Państwo z poprzedniej części tego artykułu, zaliczają się zaś do szczególnych kategorii danych osobowych. Czy w związku z tym wizerunek zawsze będzie stanowił dane wrażliwe?
Nie.
Jest bowiem jedno „ale”.
Po pierwsze należy zwrócić uwagę na samo brzmienie art. 9 ust. 1 RODO, który stanowi, że zabrania się przetwarzania danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej. Po drugie trzeba też dokładniej przyjrzeć się przytoczonej wyżej definicji danych biometrycznych: dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.
Powyższe prowadzi do wniosku, że aby określone dane osobowe mogły uzyskać status danych biometrycznych, to nie tylko muszą odnosić się do określonych cech wskazanych w art. 4 pkt 14 RODO, ale też muszą być przetwarzane specjalnymi metodami umożliwiającymi identyfikację tej osoby, takimi jak np.: skan owalu twarzy, skan siatkówki oka, itp. W przypadku, kiedy wizerunek będzie przetwarzany bez użycia specjalnych metod technicznych, to nie uzyskuje statusu danych sensytywnych i pozostaje danymi osobowymi zwykłymi.
Sam ustawodawca unijny potwierdza to w motywie pięćdziesiątym pierwszym zdaniu trzecim preambuły rozporządzenia, w którym wprost wskazał, że przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.
Reasumując
Jak możecie Państwo zauważyć, prawidłowe rozróżnienie, czy mamy do czynienia ze zwykłymi danymi osobowymi czy z danymi wrażliwymi, ma niebagatelne znaczenie. Nie tylko z uwagi na odmienne podstawy prawne ich przetwarzania, ale przede wszystkim dlatego, że co do zasady danych sensytywnych nie wolno przetwarzać. Dodatkowo administrator, który opiera przetwarzanie na zgodzie musi mieć świadomość, że warunki jej uzyskania są bardziej rygorystyczne niż w przypadku zgody na przetwarzanie danych osobowych zwykłych. Dodatkowo przed jej odebraniem powinien upewnić się, że nie obowiązuje żaden przepis krajowy czy unijny, który wyłączałby w danym przypadku możliwość przetwarzania szczególnych kategorii danych osobowych, nawet mimo wyrażenia zgody. Mam też nadzieję, że dla tych z Państwa, którym kwestie związane z zakwalifikowaniem wizerunku jako danych wrażliwych nastręczały trudności, niniejsza publikacja okazała się pomocna. Jeżeli jego przetwarzanie nie odbywa się z zastosowaniem specjalnego przetwarzania technicznego, to zalicza się on do danych osobowych zwykłych, a podstaw prawnych jego przetwarzania należy poszukiwać w art. 6, a nie art. 9 RODO.
[1] Patrz motyw 39. Preambuły rozporządzenia oraz: http://www.defensoriuris.pl/blog-strefa/tematy/zasady-rodo/
[2] Z uwagi na obszerność tematyki, która tak naprawdę mogłaby być przedmiotem komentarza czy odrębnej monografii, ani w niniejszym artykule, ani w dalszych częściach cyklu nie zostaną szczegółowo omówione wszystkie przewidziane prawem wyjątki, w których dopuszczalne jest przetwarzanie danych sensytywnych. Nie oznacza to jednak, że wątek ten zostanie przeze mnie całkowicie pominięty, ponieważ w dalszej części publikacji opiszę dwie podstawy prawne, które pozwalają na przetwarzanie takich danych.
[3] Patrz http://www.defensoriuris.pl/blog-strefa/tematy/zgoda/
[4] Rozwiązanie takie zostało zaproponowane przez Ministra Cyfryzacji w projekcie ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych (projekt z dnia 12 września 2017 r.). W art. 5 projektu proponowano między innymi dodanie do Kodeksu pracy art. 222 § 5, który wprowadzał bezwzględny zakaz przetwarzania przez pracodawcę danych osobowych obejmujących dane o nałogach, stanie zdrowia oraz o życiu seksualnym lub orientacji seksualnej pracownika – nawet za jego zgodą (patrz: https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/projekt-ustawy-przepisy-wprowadzajace-ustawe-o-ochronie-danych-osobowych.html). Ostatecznie przepis ten został uchwalony w innym brzmieniu, a regulacje dotyczące ochrony danych wrażliwych w Kodeksie pracy różnią się od tych proponowanych przez Ministra Cyfryzacji.
[5] Por. P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018, art. 9.
[6] Por. P. Fajgielski, op. cit. oraz M. Kuba [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 9.
RADCA PRAWNY KRZYSZTOF ŻABIŃSKI
ukończył studia prawnicze na Uniwersytecie Szczecińskim. Następnie odbył aplikację radcowską w Okręgowej Izbie Radców Prawnych w Koszalinie, a w 2017 r. uzyskał uprawnienia do wykonywania zawodu.
Przed wpisem na listę radców prawnych i otwarciem własnej kancelarii pracował w kancelarii notarialnej, w sądzie jako asystent sędziego, a później w kancelarii innego radcy prawnego. W roku akademickim 2018/2019 ukończył studia podyplomowe z ochrony danych osobowych na Uniwersytecie Gdańskim.
Obecnie specjalizuje się w sprawach z zakresu ochrony danych osobowych, kredytów walutowych, odszkodowania i zadośćuczynienia wskutek wypadków komunikacyjnych, sporów gospodarczych miedzy przedsiębiorcami, sporów dotyczących współwłasności, a także prawa rodzinnego. Posługuje się również językiem angielskim na poziomie C1.
Więcej: klik.