Czy numer PESEL należy do kategorii danych wrażliwych?

Bardzo często spotkać można się z twierdzeniem, że jakieś dane są danymi wrażliwymi. Przykładowo, ktoś uruchamia aplikację mobilną lub SaaS i będzie zbierał numer telefonu, adres e-mail, imię i nazwisko. W związku z tym uważa, że zbiera dane należące do kilku kategorii jednocześnie. Co za tym idzie, ta wielość danych powoduje przekonanie, że są to dane wrażliwe bo dotyczą bezpośrednio codzienności danego użytkownika aplikacji. Innym powszechnie spotykanym przykładem jest numer PESEL. Przez większość jest on uważany za bardzo osobisty, a więc i wrażliwy. W tym przypadku trzeba powiedzieć ,,nic bardziej mylnego”. Prawo reguluje to inaczej niż by się mogło wydawać. 

Zamów pakiet RODO!

Czym są dane wrażliwe?

Ogólne rozporządzenie o ochronie danych (RODO) bardzo precyzyjnie wskazuje, które dane osobowe należy traktować jako dane wrażliwe. W praktyce RODO posługuje się terminem danych osobowych szczególnych kategorii. Co ważne RODO wskazuje katalog zamknięty takich kategorii. Oznacza to, że wszystkie dane, które nie pasują do tego katalogu należy traktować jako zwykłe dane osobowe. Dodatkowo musisz pamiętać, że nie każde dane szczególnej kategorii będą danymi osobowymi. Do danych osobowych należą tylko te, które umożliwiają zidentyfikować konkretną osobę w sposób bezpośredni lub pośredni (np. na podstawie zestawienia kilku danych). Wrażliwe dane osobowe to więc takie, które wpisują się w wymieniony w RODO katalog i jednocześnie umożliwiają identyfikację danej osoby. 

Jakie więc mamy szczególne kategorie danych osobowych. Należy zaliczyć do nich dane:

1. ujawniające pochodzenie rasowe lub etniczne, 
2. ujawniające poglądy polityczne, 
3. ujawniające przekonania religijne lub światopoglądowe, 
4. ujawniające przynależność do związków zawodowych,
5. genetyczne,
6. biometryczne, 
7. dotyczące zdrowia, 
8. dotyczące seksualności lub orientacji.

W oryginalnym brzmieniu zawartym w artykule 9 ust. 1 RODO przeczytasz, że:

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Motywy preambuły RODO a dane wrażliwe

Kwestię wrażliwych danych osobowych określonych w artykule 9 RODO rozwija motyw 51 preambuły RODO. Zgodnie z nim:

Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Do takich danych osobowych powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne, przy czym użycie w niniejszym rozporządzeniu terminu „pochodzenie rasowe” nie oznacza, że Unia akceptuje teorie sugerujące istnienie osobnych ras ludzkich. Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Takich danych osobowych nie należy przetwarzać, chyba że niniejsze rozporządzenie dopuszcza ich przetwarzanie w szczególnych przypadkach, przy czym należy uwzględnić, że prawo państw członkowskich może obejmować przepisy szczegółowe o ochronie danych dostosowujące zastosowanie przepisów niniejszego rozporządzenia tak, by można było wypełnić obowiązki prawne lub wykonać zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oprócz wymogów szczegółowych mających zastosowanie do takiego przetwarzania, zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby, w szczególności gdy przetwarzanie danych odbywa się w ramach uzasadnionych działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z podstawowych wolności.

Czy PESEL to dane wrażliwe?

W powyższym kontekście łatwo będzie rozstrzygnąć czy konkretne dane są wrażliwe czy też nie. Biorąc w pierwszej kolejności numer PESEL to jednoznacznie można powiedzieć, że nie należy on do żadnej szczególnej kategorii określonych w RODO. W związku z tym numery PESEL nie stanowią danych wrażliwych. Podobnie będzie z wieloma innymi danymi uważanymi za dane wrażliwe, które w rzeczywistości nimi nie są. Przykładowo dotyczy to numeru telefonu, adresu e-mail, adresu zamieszkania, numerze tablic rejestracyjnych samochodu, numerze dowodu osobistego czy też numerze prawa jazdy. 

Zamów pakiet RODO!