Dane wrażliwe: Różnice pomiędzy wersjami

Dane wrażliwe (sensytywne) - szczególna kategoria danych osobistych, które wymaga znacznie większej ochrony.

TL;DR

Artykuł omawia definicję danych wrażliwych oraz polskie prawo i Rozporządzenie RODO dotyczące ich przetwarzania. Przedstawia również możliwe kary za łamanie przepisów o ochronie danych osobowych. Ponadto, artykuł omawia zagrożenia dla bezpieczeństwa danych w sieciach komputerowych i przedstawia przykładowe środki ochronne.

Polskie prawo a dane wrażliwe

Polskie przepisy zabraniają przetwarzania danych dotyczących:

• pochodzenia rasowego lub etnicznego,
• poglądów politycznych,
• przekonań religijnych lub filozoficznych,
• przynależności wyznaniowej, partyjnej lub związkowej,
• stanu zdrowia, kodu genetycznego, nałogów
• życia seksualnego,
• skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydawanych w postępowaniu sądowym lub administracyjnym^[1]

Rozporządzenie RODO a dane wrażliwe

Według Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. danymi wrażliwymi są:

• "pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub światopoglądowe,
• przynależność do związków zawodowych
• przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej
• dane dotyczące zdrowia,
• dane dotyczące seksualności lub orientacji seksualnej danej osoby". ^[2]

Ponadto wg ust. 2 tejże ustawy zostały ujęte odstępstwa: "2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

• osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
• przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
• przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
• przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
• przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
• przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
• przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
• przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osoób, których dane dotyczą, w szczególności tajemnicę zawodową,
• przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą". ^[3]

Kary za niestosowanie się do prawa

Za niestosowanie się do Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych grożą kary pieniężne oraz odpowiedzialność karna. Kara pieniężna może wynosić nawet 10 000 złotych, jednakże ze względu na ważny powód jednostki może zostać rozłożona na raty, a także mieć odroczony termin płatności.^[4]

Bezpieczeństwo danych w sieci

Utrzymanie wysokiego poziomu bezpieczeństwa danych w sieciach komputerowych jest bardzo trudnym zadaniem. Budując systemy ochrony informatycy muszą uwzględnić wszystkie możliwe zagrożenia, biorąc pod uwagę nielegalna działalność lokalnych pracowników organizacji.

W ramach systemu ochrony możemy wyszczególnić wiele rodzajów zabezpieczeń. Zalicza się do nich między innymi system zaporowy FIREWALL, programy antywirusowe lub karty uwierzytelniające tożsamość użytkowników. Z technicznej strony system zabezpieczeń danych w sieciach powinien zawierać wiele różnych, nawzajem się zabezpieczających i uzupełniających elementów.

Umowna struktura systemu ochrony wygląda następująco:

• "warstwa ochrony danych przesyłanych w sieci publicznej,
• warstwa ochrony sieci komputerowej z zewnątrz,
• warstwa ochrony danych przesyłanych w sieci prywatnej,
• warstwa ochrony sieci komputerowej od wewnątrz,
• warstwa ochrony systemu operacyjnego,
• warstwa ochrony aplikacji użytkowych". ^[5]

Zagrożenia danych w sieci komputerowej

Dane wrażliwe zazwyczaj przechowywane są w bazach danych, które są podatne na wiele zagrożeń m. in:

• "włamania do systemu,
• utrata poufności danych,
• utrata integralności informacji,
• utrata autentyczności informacji,
• utrata dostępności usług systemu i informacji,
• podszywanie się pod innego użytkownika". ^[6]

Przypisy

Bibliografia

• Kamiński M. (2007). Powierzenie przetwarzania osobowych danych medycznych a perspektywy prowadzenie dokumentacji medycznej w postaci elektronicznej e-BULETYN 3/2007
• Polok M. (2008). Bezpieczeństwo danych osobowych, Wydawnictwo C. H. BECK, Warszawa
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), OJ L 119 nr 2016/679
• Stawowski M. (1998). Ochrona informacji w sieciach komputerowych, ArsKom, Warszawa
• Susło R., Świątek B. (2005) Ochrona danych medycznych a opiniowanie sądowo-lekarskie, Arch. Med. Sąd. Krym., LV, 314-318
• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U. 2018 poz. 1000
• Waglowski P. (2009), Ochrona dóbr osobistych i danych osobowych, Polska Agencja Rozwoju Przedsiębiorczości

Autor: Klaudia Niziołek

Treść tego artykułu została oparta na aktach prawnych. Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu.