Dane wrażliwe

Czym są dane wrażliwe?

Dane te zaliczamy do grupy szczególnie chronionych danych osobowych. Artykuł 27 ustęp 1 ustawy o ochronie danych osobowych przedstawia zamkniętą listę danych wrażliwych. Rozróżnienie danych, wrażliwych a zwykłych jest niekiedy bardzo trudne i zależne od kontekstu w jakim tych pojęć używamy. Dlatego przybliżymy Państwu wiedzę na ten temat w formie analizy poszczególnych przypadków, które znajdują się w zakładce Analiza przypadków.

Podział danych wrażliwych

Dane wrażliwe możemy podzielić na:

 1. dane ujawniające:
  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub filozoficzne,
  • przynależność wyznaniową, partyjną lub związkową,
 2. dane o:

  • stanie zdrowia,
  • kodzie genetycznym,
  • nałogach,
  • życiu seksualnym,
 3. dane dotyczące:

  • skazań, orzeczeń o ukaraniu i mandatów karnych,
  • innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Kiedy dopuszczalne jest przetwarzanie danych wrażliwych?

Przetwarzanie danych osobowych wrażliwych jest legalne gdy osoba której te dane dotyczą wyrazi na to pisemną zgodę. Brak takiej pisemnej zgody nie jest usankcjonowany, jednakże w piśmiennictwie przeważa pogląd, iż jest bezskuteczny i danych takich nie można przetwarzać. Istnieją jednak przesłanki, których wystąpienie uchyla zakaz przetwarzania danych sensytywnych. Określone zostały w art. 27 ust. 2-10 ustawy o ochronie danych osobowych:

 1. osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych – wyjątkiem jest udzielenie zgody w formie elektronicznej opatrzonej bezpiecznym podpisem elektronicznym, żadne inne formy nie są dopuszczalne,
 2. przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony – warunkiem jest wystąpienie tego przepisu w akcie normatywnym rangi ustawy bądź wyższym w hierarchii, przepis ten musi być tak skonstruowany aby nie stwarzał wątpliwości co do uchylania zakazu przetwarzania,
 3. przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora – przesłanka jest wykonalna tylko wtedy gdy osoba nie jest w stanie udzielić samodzielnie zgody na piśmie lub nie posiada opiekuna prawnego/kuratora,
 4. jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych – warunkiem jest prowadzenie przez te organizacje działalności niezarobkowej,
 5. przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem – sąd będzie tu pojęciem szerokim, jednakże przesłanka ta nie będzie dotyczyła postępowań przed komornikiem i organami administracyjnymi,
 6. przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie – oznacza to, iż pracodawca może przetwarzać dane sensytywne swoich pracowników tylko wtedy gdy wyrażą na to pisemną zgodę, w innym razie mogą żądać takiej dokumentacji tylko i wyłącznie do wglądu,
 7. przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych – przetwarzanie danych może zostać powierzone tylko osobom, które są zobowiązane do zachowania tajemnicy,
 8. przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą – chodzi o upublicznienie takich danych za czytelną zgodą osoby, której te dane dotyczą,
 9. jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone – oznacza to, że prowadzenie badań owszem jest dozwolone jednak już opublikowanie ich wyników, nie może doprowadzić do ujawnienia danych osobowych,
 10. przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym – to nie przysługuje jednak prawo do przetwarzania swobodnie danych osobowych.

Jak chronić wrażliwe dane osobowe?

Aktami prawnymi, które regulują zakres zabezpieczeń dla danych osobowych są: ustawa o ochronie danych osobowych oraz rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych. Można tu wymieniać także inne akty prawne, które poruszają problematykę bezpieczeństwa w sieci.

Osobą szczególnie odpowiedzialną za przetwarzanie danych jest Administrator Danych, który czuwa nad poufnością danych, ich ochroną i zabezpieczeniem zgodnie z ustawą o ochronie danych osobowych. Zadania te powinny zostać zrealizowane poprzez:

 • Rejestrację zbioru danych w GIODO
 • Opracowanie i wdrożenie dokumentacji
 • Określenie poziomów bezpieczeństwa przetwarzania wrażliwych danych
 • Monitorowanie czynności wykonywanych na zbiorze danych
 • Poszanowanie praw osób, których dane dotyczą

Zapraszamy do zapoznawania się z przypadkami danych wrażliwych na stronie Analiza przypadków.