Czym są dane wrażliwe w GDPR?

Analiza art. 9 ust. 1 GDPR wykazuje, że „szczególne kategorie danych osobowych”—powszechnie nazywane danymi osobowymi wrażliwymi—podlegają wyraźnym zakazom przetwarzania, chyba że zastosowanie ma jeden z wyjątków określonych w art. 9 ust. 2 (Voigt & Von dem Bussche, 2017). Główne ustalenia identyfikują następujące dane jako dane wrażliwe zgodnie z GDPR:

• Pochodzenie rasowe lub etniczne
• Poglądy polityczne
• Przekonania religijne lub światopoglądowe
• Przynależność do związków zawodowych
• Dane genetyczne
• Dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej
• Dane dotyczące zdrowia
• Dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej

Przetwarzanie tych rodzajów danych jest co do zasady ograniczone. Wyniki wskazują, że administratorzy danych muszą zapewnić:

• Uzyskanie wyraźnej zgody (chyba że ma zastosowanie inny wyjątek)
• Przetwarzanie jest ściśle ograniczone do celów określonych w art. 9 ust. 2
• Wdrożenie dodatkowych środków bezpieczeństwa, w tym szyfrowania i pseudonimizacji, w celu ochrony tych rodzajów danych. 

W dyskusji podkreśla się ponadto, że ryzyko szkody w przypadku nieuprawnionego ujawnienia jest znacznie podwyższone dla danych wrażliwych. Ryzyko to leży u podstaw wymogu GDPR dotyczącego „większego bezpieczeństwa i specjalnych wymogów przetwarzania” (Voigt & Von dem Bussche, 2017). Na przykład dane biometryczne i genetyczne nie tylko identyfikują osoby, ale mogą również ujawniać relacje rodzinne i predyspozycje, zwiększając ryzyko dla prywatności (Kuner et al., 2020).

Podsumowując, podejście GDPR do danych osobowych wrażliwych charakteryzuje się:

• Surowymi zakazami przetwarzania bez kwalifikującej się podstawy prawnej
• Obowiązkowymi kontrolami bezpieczeństwa dostosowanymi do krytycznego charakteru danych
• Szczególnymi obowiązkami w zakresie przejrzystości i rozliczalności spoczywającymi na administratorach danych

Badania wykazują, że naruszenia zgodności dotyczące danych osobowych wrażliwych wiążą się ze znacznie wyższymi karami administracyjnymi i ryzykiem utraty reputacji.