Newralgiczne dane w kontekście rozporządzenia o ochronie danych osobowych

Wraz w wprowadzeniem Rozporządzenia o Ochronie Danych Osobowych (RODO), wiele firm musiało dostosować się do zupełnie nowych, surowszych wymagań dotyczących zapewniania bezpieczeństwa danym przechowywanym i przetwarzanym przez firmę w ramach jej działalności. Ochronie podlegają nie tylko dane klientów czy kontrahentów, ale także pracowników pozwalające na ich identyfikację. Zgodnie z rozporządzeniem, dane osobowe zostały podzielone na dane zwykłe i wrażliwe (newralgiczne). Jak zdefiniowano powyższe pojęcia, czym są dane newralgiczne w kontekście RODO i w jaki sposób firma może zadbać o utrzymanie odpowiedniego poziomu bezpieczeństwa danych osobowych?

Newralgiczne dane osobowe – czym są i jak je interpretować?

Według definicji danych osobowych znalezionej w Rozporządzeniu o Ochronie Danych Osobowych, dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, a więc jej imię, nazwisko, adres zamieszkania lub zameldowania, numer PESEL lub NIP, numer telefonu lub numer IP. Wymienione powyżej kategorie danych określają konkretną osobę najdokładniej, dlatego też zostały przyporządkowane do kategorii danych osobowych zwykłych – ich zdobycie nie wymaga wiele czasu, środków czy kosztów, a same dane nie stanowią też informacji niejawnych i muszą być podawane przez ich właściciela przy różnych okazjach, np. rejestracji konta w banku, zakupach online czy załatwianiu spraw w urzędzie. Rozporządzenie RODO skupia się na ochronie tego typu danych osobowych, określając warunki na jakich dane takie mają być przechowywane, przetwarzane, udostępniane i usuwane, szczególnie na prośbę ich właściciela.

Zupełnie odrębną kategorię według RODO stanowią jednak dane newralgiczne, czyli dane mogące ujawniać pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne i światopoglądowe, przynależność do związków zawodowych, informacje o stanie zdrowia, seksualności i orientacji seksualnej oraz dane genetyczne i biometryczne prowadzące do zidentyfikowania osoby fizycznej. Dane te nie mogą być przetwarzane, zgodnie z założeniami przepisów dotyczących zasad przetwarzania danych osobowych, z uwagi na to że mogą w znacznym stopniu naruszać intymność ich właściciela lub być powodem dyskryminacji.

Dane newralgiczne w RODO

Pod pojęciem danych newralgicznych rozumiemy określone w RODO szczególne kategorie danych osobowych, których przetwarzanie co do zasady jest zabronione, z wyjątkiem sytuacji w których osoby których dane dotyczą wyrażą na to jednoznaczną zgodę. W praktyce, do danych szczególnej kategorii zaliczamy wymienione wcześniej dane ujawniające pochodzenie rasowe i etniczne, poglądy polityczne, religijne i światopoglądowe, dane genetyczne i biometryczne oraz dane dotyczące zdrowia, seksualności i orientacji seksualnej. RODO dopuszcza ich przetwarzanie wyłącznie w kilku wyjątkowych sytuacjach, w tym gdy osoba której dane dotyczą wyrazi na to zgodę znając konkretny cel ich przetwarzania, a prawo krajowe dopuszcza przetwarzanie tego typu danych. Przetwarzanie danych newralgicznych jest możliwe także wtedy, gdy jest to niezbędne do wypełnienia obowiązków w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, gdy jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, gdy dane te są już upublicznione przez osobę, której dotyczą, a także gdy konieczne jest ich przetworzenie w ramach dochodzenia lub obrony roszczeń w ramach sprawowania wymiaru sprawiedliwości przez sądy.

Audyt RODO – kiedy warto się na niego zdecydować?

Wszystkie firmy działające w Unii Europejskiej są zobowiązane do przestrzegania zapisów RODO i wdrożenia takiej polityki ochrony danych osobowych, by ta była w pełni zgodna z wymogami rozporządzenia i gwarantowała bezpieczeństwo wszystkich osób, których dane osobowe znajdą się w posiadaniu firmy. Audyty RODO prowadzone przez doświadczone jednostki certyfikujące i audytujące zostały początkowo wprowadzone jako sposób na weryfikację wdrażanych rozwiązań i sprawdzenie, czy firma faktycznie spełnia wymogi RODO. Obecnie, gdy w teorii każda firma powinna stosować się do RODO, audyty stosowane są jako wewnętrzny mechanizm weryfikacji postawionych sobie celów, zgodności stosowanego systemu bezpieczeństwa z wymogami normy oraz jako punkt startowy do dalszego rozwoju i doskonalenia w zakresie ochrony danych osobowych.

Ochrona danych osobowych

Nie każda firma będzie miała dostęp do danych newralgicznych, ale nawet bez nich należy dopilnować by przetwarzanie danych osobowych odbywało się w zgodzie z obowiązującymi przepisami krajowymi i unijnymi. Wdrażając ROOD i pilnując zgodności z jego wytycznymi firma może uniknąć przykrych konsekwencji i kar, zadbać o swój wizerunek i zbudować zaufanie wśród klientów i kontrahentów jako firma poważnie traktująca istotę ochrony danych osobowych.