Kliknij tutaj >> 🍺 Czy Pesel To Dane Wrażliwe

PESEL to Powszechny Elektroniczny System Ewidencji Ludności, który umożliwia identyfikację osoby fizycznej. PESEL nie jest dane wrażliwe, ale musi być uzupełniony o innymi danymi osobowymi, takie jak imię, nazwisko czy adres. Dowiedz się więcej o definicji, przepisach RODO i zasadach użytkowania PESEL. Prawie co czwarty Polak deklaruje, że w czasie pandemii rozmawiał przez telefon z kimś, kto poprosił go o podanie numeru PESEL, serii dowodu osobistego lub danych do logowania w bankowości elektronicznej – wynika z badania serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych. Dane osobowe wrażliwe. RODO nie definiuje wprost pojęcia wrażliwych (sensytywnych) danych osobowych, jednak w przepisach, dotyczących zasad przetwarzania danych, znaleźć można art. 9, w którym wymieniono informacje podlegające szczególnej ochronie i określono zasady tej ochrony. Zabrania się przetwarzania danych osobowych RE: Czy samo imię i nazwisko to już dane osobowe? Dokładniej rzecz biorąc - pojęcie to oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. A zatem - w zupełnie wyjątkowych sytuacjach - już nawet samo imię i nazwisko będzie można utożsamiać z tym pojęciem. Przy zakupie węgla należy podać: PESEL; Nr dowodu osobistego, cel na jaki się kupuje węgiel- np ogrzewanie domu, chlewni czy szklarni itd Sprzedawca węgla co miesiąc musi wysłać zestawienie kto ile kupił węgla. Jeśli tego nie zrobi to otrzyma karę od 10 tys do 200 tys.) Od 1 stycznia 2019 powołano nową służbę kontroli ds. węgla. manfaat salep pi kang shuang untuk miss v. Dane wrażliwe – jak je prawidłowo przetwarzać RODO wyróżnia dwa rodzaje danych osobowych. Dane zwykłe oraz dane szczególnie chronione (zwane danymi wrażliwymi lub sensytywnymi) Mówiąc o wrażliwych danych osobowych wypada dokładnie określić czym są zwykłe dane osobowe. Poszczególne pojęcia odnajdujemy zarówno w Ogólnym Rozporządzeniu o Ochronie Danych Osobowych (regulacje dotyczące przetwarzania danych osobowych na terenie Unii Europejskiej), jak również w Ustawie o ochronie danych osobowych z dnia 10 maja 2018 roku (czyli regulacji krajowych). Do danych osobowych zwykłych zaliczamy imię i nazwisko, adres zamieszkania, numer PESEL czy numer telefonu. Dane wrażliwe to informacje ujawniające Poglądy polityczne; Przynależność do związków zawodowych; Pochodzenie rasowe; Dane genetyczne; Dane dotyczące zdrowia; Orientacja seksualna; Dane biometryczne; Światopogląd; Pochodzenie etniczne. Patrząc na szczególny charakter danych wrażliwych, przetwarzanie ich jest w większości sytuacji zabronione. Dotyczy to zarówno przetwarzania w systemach, jak i w formie niezautomatyzowanej. Przepisy prawa przewidują jednak pewne wyjątki od tej zasady. Dane wrażliwe przetwarzanie ich jest dopuszczalne wtedy, gdy: regulują to przepisy prawne – np. w sytuacjach zagrożenia bezpieczeństwa publicznego; jest to nieuniknione dla ochrony życia, zdrowia lub interesów osoby, której dane dotyczą, lub innej osoby; dane te zostały upublicznione przez osobę, której dotyczą – np. w prasie, w Internecie; osoba, której dane dotyczą, wyraziła pisemną zgodę na ich przetwarzanie – np. kandydat podczas procesu rekrutacji wyraził zgodę na przetwarzanie danych na temat jego zdrowia; wykorzystanie tych danych jest niezbędne w celu dochodzenia praw przed sądem – np. doszło do prześladowania osoby z innym światopoglądem. Zalecenia RODO do przetwarzania danych wrażliwych Organizacje przetwarzające dane wrażliwe są zobowiązane przez RODO do wprowadzenia wyższych standardów w zakresie przetwarzania tych danych. Wiąże się to z prowadzeniem rejestru czynności przetwarzania lub rejestru kategorii czynności, z koniecznością powołania IOD-a, który będzie wspierał Administratorów lub Podmiot Przetwarzające, aby zachowali wymagania określone przez RODO. Obowiązek dotyczy także wdrożenia odpowiednich do ryzyka przetwarzania organizacyjnych i technicznych środków bezpieczeństwa ochrony danych osobowych na podstawie dokonanej analizy np. oceny skutków dla ochrony danych (DPIA_Data Protection Impact Assessment). W zakresie oceny skutków przetwarzania Administrator zostaje zobowiązany do: opracowania planu działań zabezpieczających dane, które będą przetwarzane; określenia, jaki będzie cel przetwarzania; wskazania, jakie prawnie uzasadnione interesy zrealizuje w związku z przetwarzaniem; wykazania czy operacje przetwarzania są niezbędne i proporcjonalne w stosunku do celów; opracowania protokołu planowanych do wprowadzenia mechanizmów bezpieczeństwa zwiększających ochronę danych osobowych; udzielenia informacji odnośnie do tego, jakie środki zapobiegawcze podejmie w sytuacji zaistnienia ewentualnego zagrożenia bezpieczeństwa przetwarzania; przedstawienia opinii podmiotów zewnętrznych dotyczących ryzyka naruszenia praw lub wolności osób, których dane dotyczą w związku przetwarzaniem. Wyżej wymienione wiadomości mają obowiązek posiadać Administratorzy danych, gdyż za niestosowne lub nieuprawnione przetwarzanie danych osobowych grozi odpowiedzialność karna. Organ Nadzorczy jako środki karne przewiduje grzywnę i karę ograniczenia lub pozbawienia wolności. Przetwarzanie danych szczególnie chronionych wymaga powołania Inspektora Ochrony Danych, który ma doświadczenie w procesach przetwarzania tego typu danych. Jeśli Twoja organizacja go nie posiada możemy jej pomóc. ( link do oferty) W całej Polsce pracodawcy szykują się do szczepienia pracowników. Muszą jednak najpierw zebrać co najmniej 300 chętnych, aby od 4 maja zarejestrować się na portalu Centrum Bezpieczeństwa Rządu. Wszyscy się spieszą, chcą mieć więc wszystko zapięte na ostatni guzik jeszcze przed majówką. Okazuje się jednak, że nie mogą przy tym chodzić na skróty i gromadzić zbyt dużo danych, bo ryzykują słoną karę za złamanie obowiązków przewidzianych w przepisach o ochronie danych osobowych. Czytaj także: Najważniejsze pytania i odpowiedzi dotyczące szczepień Urząd ostrzega W odpowiedzi na pytania „Rzeczpospolitej" Urząd Ochrony Danych Osobowych przypomina, że pracodawcy zbierający te dane jako administratorzy muszą pamiętać, by przetwarzanie odbywało się zgodnie z zasadami określonymi w art. 5 RODO. A więc dane muszą być: - przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą, - zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, - adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów, w których są przetwarzane, - prawidłowe i w razie potrzeby uaktualniane, - przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, - przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Autopromocja Specjalna oferta letnia Pełen dostęp do treści "Rzeczpospolitej" za 5,90 zł/miesiąc KUP TERAZ UODO podkreśla, że administrator musi również pamiętać o obowiązku informacyjnym określonym w art. 13 RODO. Powinien więc dokładnie informować osoby, których dane pozyskuje, kto jest administratorem danych, jakie dane i w jakim celu będą przetwarzane oraz jak długo ina jakiej podstawie. Musi również przekazać informacje o odbiorcach danych i kategoriach odbiorców, czyli wskazać, komu przetwarzane dane będą przekazywane. Informacje te musi podać prostym i zrozumiałem dla odbiory językiem. Mogą być kary Co to oznacza w praktyce dla przedsiębiorców, którzy gromadzą dane nie tylko o setkach swoich pracowników, zleceniobiorców i współpracowników, ale także o członkach ich rodzin, a w razie grupowania się przedsiębiorców, także o pracownikach innych firm i ich rodzin? A nie wiedzą nawet, kiedy i komu mają przesyłać te dane. – Potrafię bardzo łatwo wyobrazić sobie sytuację w której przedsiębiorca, który nie zbierze zgód od pracowników i członków ich rodzin na przetwarzanie ich danych osobowych, nie dopełni wobec nich obowiązków informacyjnych dotyczących celu przetwarzania tych danych może zostać w przyszłości ukarany przez Urząd Ochrony Danych Osobowych – mówi Jan Prasałek z kancelarii RK Legal. – Nie sądzę, aby UODO skupiał się na szukaniu nieprawidłowości w tym zakresie, jednak w razie rażących naruszeń należy się spodziewać, że takie mogą być konsekwencje. Jak ustaliła „Rzeczpospolita", niektóre firmy, rozsyłając ankiety do pracowników, pytają w nich nie tylko o chęć zaszczepienia, ale także o wiele więcej. O to, czy byli już szczepieni np. pierwszą dawką i jaki mają termin kolejnego szczepienia. Jak podkreślają prawnicy, zbieranie takich danych wykracza poza zwykłe ramy, bo są to dane dotyczące zdrowia, traktowane jako wrażliwe. Przetwarzanie takich danych zgodnie z RODO jest zakazane, chyba że taką możliwość przewiduje prawo, lub też zainteresowany wyrazi na to wyraźną zgodę. OPINIA Dominika Dörre-Kolasa , radca prawny, partner w kancelarii Raczkowski Pracodawcy przygotowujący się do szczepienia pracowników muszą pamiętać, że są jedynie pośrednikami między osobami zainteresowanymi szczepieniem a podmiotami opieki zdrowotnej, które mają te szczepienia przeprowadzić. Z wytycznych przedstawionych przez rząd można się domyślać, że na pierwszym etapie zgłaszają tylko liczbę osób zainteresowanych szczepieniem, dlatego rekomenduję, by takie deklaracje zbierać anonimowo. Dopiero na drugim etapie trzeba będzie przesłać do systemu dane identyfikacyjne osób chętnych do szczepienia i kontakt do nich. I tu zaczynają się problemy. Jeśli chodzi o dane pracowników, moim zdaniem pracodawcy nie potrzebują oddzielnej zgody na ich gromadzenie, bo już ją mają, a deklaracja o chęci szczepienia stanowi domyślną zgodę na zmianę celu ich przetwarzania, na potrzeby procesu szczepień. Inaczej jest z członkami rodzin, których zatrudnieni mogą zgłaszać do szczepienia u pracodawcy. Wtedy niezbędna jest zgoda tych osób na gromadzenie i przetwarzanie ich danych. A także dopełnienie wszelkich obowiązków informacyjnych przewidzianych w RODO dla tych osób. Wytyczne jednak milczą, jakie dane mogą być w ten sposób gromadzone. Wydaje się, że mogą to być jedynie dane identyfikacyjne i kontaktowe. Nic więcej. Dane wrażliwe to potoczne określenie zakresu danych, które w RODO występują pod pojęciem szczególnych kategorii danych osobowych i w odróżnieniu od danych zwykłych są to dane osobowe, które wymagają specjalnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności osoby fizycznej. Wcześniej również w przepisach prawa istniała definicja danych wrażliwych, stąd i my będziemy jej używać w niniejszym artykule. Które dane osobowe to dane wrażliwe?Na potrzeby artykułu podzielono dane wrażliwe na 3 grupy, aby ułatwić ich zdefiniowanie i rozróżnienie danych wrażliwych od danych zwykłych. 1. Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność́ do związków zawodowych osoby fizycznej. Zaklasyfikowanie danych ujawniających pochodzenie rasowe lub etniczne do danych szczególnych kategorii ma przede wszystkim na celu zapewnienie równego traktowania w zatrudnieniu, edukacji, opiece społecznej i prawach obywatelskich bez względu na cechy biologiczne (jak kolor skóry), kulturowe (jak zwyczaje), język czy światopogląd jest pojęciem bardzo szerokim i powinien być rozumiany jako zbiór ogólnych przekonań dotyczących natury świata, człowieka i społeczeństwa, miejsca człowieka w świecie, sensu jego życia oraz wynikających z tego wartościowań i ideałów wyznaczających postawy życiowe ludzi i sposób ich postępowań. Zatem światopogląd to także religia i poglądy kategorią danych w tym zestawieniu jest także przynależność do związków zawodowych osoby fizycznej, mająca duże znaczenie w zakresie ochrony praw pracownicznych. 2. Dane genetyczne i dane biometryczne zastosowane w celu jednoznacznego zidentyfikowania osoby fizycznej. Dane genetyczne, jak wskazuje RODO, to dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby istotne źródłem danych genetycznych jest próbka genetyczna, a dane genetyczne są to informacje uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych na ten temat pisaliśmy w artykule: Biometria – perspektywa RODO oraz bezpieczeństwa danych. 3. Dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. O danych osobowych dotyczących zdrowia możemy mówić, kiedy dane te ujawniają informacje o stanie zdrowia osoby fizycznej. Zalicza się do nich także informacje o przeszłym, obecnym i przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Przykładami tych danych mogą być:dane zbierane podczas rejestracji do usług opieki zdrowotnej,dane pozyskane podczas świadczenia usługi opieki zdrowotnej,numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby do celów zdrowotnych,informacje pochodzące z badań laboratoryjnych lub lekarskich, w tym próbek biologicznych, informacje o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym (w tym np. o stanie i stopniu nietrzeźwości) osoby, której dane dotyczą. Informacje o zdrowiu osoby fizycznej klasyfikujemy jako dane genetyczne niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub inne (np. alkomat).Do tej kategorii zaliczamy także dane o przebywaniu na zwolnieniu lekarskim (doznane urazy, stwierdzone choroby) i dane o nałogach (w zakresie informacji o przebytym leczeniu oraz wpływu na stan zdrowia lub proces leczenia). Co więcej, informacja, że ktoś jest zdrowym i trzeźwym człowiekiem również stanowi informację o stanie drugiej strony, w momencie śmierci osoby, informacja z jakiego powodu zmarła, w tym np. dane pochodzące z sekcji zwłok, nie stanowią danych osobowych. Ochrona danych osobowych dotyczy osób fizycznych, a więc żyjących. Jednakże należy pamiętać, że bliskim zmarłego przysługuje prawo do ochrony ich dobra osobistego, jakim jest kult pamięci osoby zmarłej. Z uwagi na sytuację związaną z epidemią wirusa COVID-19 zgodność z prawem przetwarzanie danych dotyczących zdrowia budzi w ostatnim czasie wiele zainteresowania. Zatem warto przypomnieć, iż dane te mogą być przetwarzane, jeżeli odbywa się to w następujących celach związanych z ochroną zdrowia:przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego (art. 9 ust. 2 lit. h RODO),przetwarzanie jest niezbędne z uwagi na interes publiczny w dziedzinie zdrowia publicznego, taki jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych (art. 9 ust. 2 lit. i RODO). Należy podkreślić, iż w przypadku transgranicznych zagrożeń dla zdrowia chodzi o wszelkie zagrożenia, o których mowa w art. 168 TFUE, w szczególności o charakterze epidemiologicznym. Ważne jest, że ta przesłanka legalności przetwarzania danych dotyczących zdrowia dotyczy tylko zdrowia publicznego, a nie partykularnych interesów (mających na względzie tylko własną korzyść osoby, a nie ogółu) osób, których dane dotyczą. Oznacza to, iż nie możemy stosować tego przepisu do przetwarzania danych dotyczących zdrowia niezbędnych do wykonywania zdalnych zabiegów medycznych, gdy zespół innego kraju łączy się z urządzeniem zlokalizowanym w Polsce. W tym miejscu warto wspomnieć także, że motyw 46 RODO wskazuje, że przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest to niezbędne do ochrony interesu, które ma istotne znaczenie dla życia osoby, której dane dotyczą lub innej osoby fizycznej. Niektóre czynności przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą lub innej osoby fizycznej, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych w tym monitorowania epidemii i ich rozprzestrzeniania w pojęciach seksualności i orientacji seksualnej mieszczą się zachowania (w tym zaburzenia), preferencje seksualne, ale i identyfikacja płciowa czy deklarowana orientacja seksualna, deklarowana płeć oraz płeć biologiczna. Ogólnie rzecz ujmując dane wrażliwe dotykają bezpośrednio sfer prywatności czy nawet intymności osoby fizycznej oraz mogących wiązać się z wysokim niebezpieczeństwem wywołania decyzji dyskryminujących na różnych polach (zatrudnienie, ubezpieczenie, kredytowanie, stosunki międzyludzkie). Chociaż RODO wskazuje, iż – co do zasady – zabrania się przetwarzania danych wrażliwych, to w rzeczywistości jest to możliwe, ale wyłącznie po spełnieniu jednego z warunków wymienionych w art. 9 ust. 2 jakie muszą być spełnione, aby przetwarzanie szczególnych kategorii danych osobowych było zgodne z prawem omawialiśmy już w artykule: Biometria – perspektywa RODO oraz bezpieczeństwa danych. Dane osobowe definiuje się jako informacje, dzięki którym możliwe jest zidentyfikowanie osoby to wszystkie informacje o osobie, której tożsamość jest oczywista lub jej zidentyfikowanie nie wymaga wielkiego nakładu pracy, czasu czy kosztów, tak jak podaje ustawa: Oznacza to, że osoba ta nie musi być wskazana bezpośrednio - wystarczy nam zbiór informacji, które pozwolą bezpośrednio lub pośrednio daną osobę kategoria danych osobowych, która określa osoby fizyczne bezpośrednio. Są to między innymi numer PESEL oraz dane biometryczne, w tym odciski linii papilarnych, siatkówka oka czy DNA. Identyfikacja jest możliwa również pośrednio, poprzez wskazanie jednego lub kilku czynników specyficznych, które pozwalają na identyfikację poprzez określenie cech fizycznych, fizjologicznych, umysłowych, ekonomicznych, kulturowych czy społecznych. Nie jest istotne, ile mamy tych wiadomości i jakiej są one jakości, liczy się sama możliwość identyfikacji danej osoby fizycznej. Należy pamiętać, że katalog danych osobowych jest otwarty, zawierającym między innymi imię, nazwisko, adres, adres e-mail, numery identyfikacyjne, wyżej już wspomniane dane biometryczne, cechy fizyczne, fizjologiczne, ekonomiczne, kulturowe czy wyżej dane są bardzo ogólne i jako pojedyncze informacje nie będą stanowiły danych osobowych. Samo imię, nazwisko, ulica, miasto, data urodzenia nie stanowią danej osobowej. Ale w zestawieniu nazwisko+data urodzenia obie informacje podlegają ochronie tak samo jak zestawienie ulica+numer domu+ dane osobowe są chronione?Jak zostało już wspomniane wyżej, dane osobowe to informacje, które pozwalają zidentyfikować osobę fizyczną. Dane indywidualne pozwalają wskazać podmiot gospodarczy (czyli osobę prawną, jednostkę organizacyjną niemającą osobowości prawnej oraz osobę fizyczną prowadząca działalność gospodarczą).Przepisy o ochronie danych osobowych regulują kwestie związane z ochroną danych osób fizycznych, których prawa wywodzą się z prawa do poszanowania życia prywatnego. Ale ochroną będą również objęte prawa osób prowadzących jednoosobową działalność gospodarczą, których nazwa identyfikuje osobę identyfikacji osoby poprzez dane osoboweNie istnieje zamknięty katalog informacji identyfikujących daną osobę. Aby wskazać dane osobowe w konkretnej informacji, warto odpowiedzieć sobie na kilka pytań:Czy zawarte w niej dane dotyczą identyfikowanej lub możliwej do zidentyfikowania osoby?Czy jest to osoba fizyczna?Czy identyfikacja tej osoby fizycznej na podstawie informacji, które posiadamy, jest możliwa bez narażania się na nadmierne koszty, nakład pracy czy czasu?Jeśli odpowiedzi są twierdzące, mamy do czynienia z daną informacji zawarto następujące dane:Kowalski 01-06-1992,Jan tel. 507507507,@ dane biometryczne - odcisk palców, zdjęcia cyfrowe, skany z powyższych przykładów możemy uznać za dane osobowe, ponieważ w sposób łatwy możemy zidentyfikować na ich podstawie konkretną osobę. Należy pamiętać, że już ich gromadzenie wymaga naszej zgody i zachowania pewnych wymogów nazwiska dość często się powtarzają, więc dla celów identyfikacji mogą być potrzebne dodatkowe informacje potwierdzające tożsamość. Kombinacja nazwisko+data urodzenia jest daną osobową, b) adres e-mail też w tym przypadku będzie daną osobową, ponieważ zawiera w swojej treści imię i nazwisko, które pozwala zidentyfikować daną osobę fizyczną. Nawet gdyby zamiast imienia pojawiło się samo “j”, adres nadal byłby chroniony jak dana osobowa,c) ochroną objęte są również nasze dane biometryczne. Oczywistością są odciski palców czy skany tęczówki, należy jednak pamiętać, że bez wyrażania naszej zgody nie wolno wykorzystywać do identyfikacji danej osoby nawet zdjęcia. Wizerunek jest jednak daną osobową, jeżeli w łatwy sposób można połączyć go z innymi danymi, które indywidualizują osobę, czyli np. jeśli będzie wymienione przypadki z punktu 2 pozwalają zidentyfikować osoby fizyczne, co powoduje, że należy im się ochrona. Jeśli nasze dane są wykorzystywane bez zgody, możemy domagać się zaprzestania ich usunięcia. Ustawodawca przewidział również sankcje karne w postaci grzywny, kary ograniczenia wolności lub pozbawienia wolności do 2 lat. Dlatego warto znać prawo i kontrolować to, gdzie udostępniane są nasze dane osobowe i jak ograniczyć ich przetwarzanie. Mamy narzędzia, które umożliwiają nam dochodzenie swoich praw, wystarczy z nich skorzystać. Nasz Czytelnik na infolinii Monedo dowiedział się, że PESEL może być przesyłany w zwykłym mailu, gdyż “nie należy do danych wrażliwych”. Nasz Czytelnik jest oburzony i ma sporo racji, ale czy na pewno pani z infolinii popełniła błąd zaliczając PESEL do danych niewrażliwych? Wyjaśnijmy to sobie raz a dobrze. Czym są “dane wrażliwe”? Pojęcie “danych wrażliwych” wywołuje więcej emocji niż to konieczne. Co jakiś czas Czytelnicy wytykają nam błędy polegające na tym, że nadużywamy tego pojęcia. Obserwujemy też przepychanki pomiędzy czytelnikami, albo niezrozumienie pomiędzy pracownikami różnych firm a ich klientami. Dlaczego jest tak dużo problemu z pojęciem “dane wrażliwe”? Odpowiedź jest prosta. Termin “dane wrażliwe” jest używany przez różnych ludzi w różnych znaczeniach. To powoduje nieporozumienia. Prawnicy i specjaliści od ochrony danych osobowych pod pojęciem “dane wrażliwe” rozumieją dane wymienione w art. 27 Ustawy o ochronie danych osobowych. W tym znaczeniu “dane wrażliwe” oznaczają dane związane z pochodzeniem, wyznawaną religią, poglądami politycznymi, stanem zdrowia, nałogami czy wyrokami dotyczącymi danej osoby. Specjaliści od bezpieczeństwa i wielu “zwykłych ludzi” pod pojęciem “dane wrażliwe” rozumie takie dane, które generalnie należy chronić aby uniknąć różnych problemów. Tak rozumiane pojęcie “dane wrażliwe” jest często tłumaczeniem z języka angielskiego (sensitive data, sensitive information), a w różnych krajach anglojęzycznych może mieć ono nieco inne znaczenie. Ba! Pojęcie sensitive data może być różnie interpretowane np. w różnych stanach USA. Generalnie jednak będzie chodziło o takie informacje na temat danej osoby, których ujawnienie pozwala ukraść tożsamość lub przynajmniej znacznie obniżyć poziom czyjejś prywatności. PESEL-i trzeba pilnować! Czy numer PESEL jest daną wrażliwą? Ujawnia on datę urodzenia i płeć. Identyfikuje osobę jednoznacznie i może być używany przy autoryzacji różnych czynności, np. spięcia aplikacji mobilnej banku z rachunkiem klienta. To oznacza, że… PESEL nie jest daną wrażliwą w rozumieniu art. 27 ustawy o ochronie danych gdyż nie ujawnia on tak intymnych spraw jak pochodzenie, poglądy czy stan zdrowia; PESEL jest daną wrażliwą w rozumieniu większości ludzi, gdyż może on posłużyć do autoryzowania pewnych czynności (np. przydaje się przy wzięciu pożyczki albo dokonywaniu zmian na koncie bankowym). PESEL powinien być szczególnie chroniony (choć dobrze wiemy, że bardzo często tak nie jest — przykładem są studenci, wspólnicy spółek i urzędnicy z kwalifikowanym podpisem elektronicznym, ponieważ ich pesele można znaleźć we właściwościach podpisu). Z punktu widzenia bezpieczeństwa, niezbyt dobrym pomysłem jest proszenie klienta o przesyłanie tej informacji e-mailem. Ale jednocześnie stwierdzenie, iż PESEL nie jest “daną wrażliwą”, może być uznane za merytorycznie poprawne choć nadal powinno ono stanowić wytłumaczenia dla niskich standardów bezpieczeństwa. Ciekawostka Ustawa o ochronie danych nie zawiera słów “dane wrażliwe”. Wiedzieliście? Artykuł 27 dotyczy danych… ….ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Słowo “wrażliwe” nie występuje w ustawie ani razu (sprawdźcie sobie przez ctrl+F). Po prostu prawnicy “zawłaszczyli sobie” pojęcie “dane wrażliwe” w odniesieniu do czegoś, co właściwie powinniśmy nazywać “danymi o których mowa w art. 27 ustawy o ochronie danych” (i takie pojęcie znajduje się np. w rozporządzeniach do ustawy). Natomiast językowy nawyk prawników by dane z art. 27 nazywać “wrażliwymi”, pozwala niektórym osobom wygłaszać mądre zdania w rodzaju “PESEL nie jest daną wrażliwą”. Tak zwany “język prawniczy” nie jest jedynym słusznym językiem na ziemi. Nie zawsze jest on tak precyzyjny jak prawnicy przekonują, a czasem jest on nawet używany do maskowania niewygodnych rzeczy. Jeśli czytają nas teraz prawnicy-puryści to bardzo ich przepraszamy, ale musimy to napisać. PESEL jest daną wrażliwą, która powinna być chroniona, a pani z infolnii Monedo używała tylko pewnego prawniczego pojęcia aby zamaskować praktykę niezalecaną. PS. Wiemy, że oprócz prawników-purystów istnieją też inżynierowie-puryści (to jest “przewód” a nie “kabel”). Potrafią być równie irytujący. Przeczytaj także:

czy pesel to dane wrażliwe