Dane wrażliwe, inaczej sensytywne, to szczególna kategoria danych osobowych. Ich przetwarzanie jest dozwolone tylko w pewnych przypadkach, na mocy odrębnych przepisów. Mają do tego prawo m.in. podmioty świadczące usługi lecznicze. Archiwizacja danych wrażliwych również podlega rygorowi prawnemu. Sprawdź, co warto wiedzieć na ten temat.
Czym są dane osobowe wrażliwe?
Dane osobowe zostały wskazane w art. 9 RODO i są to informacje dotyczące:
- pochodzenia etnicznego,
- poglądów politycznych,
- orientacji seksualnej,
- zdrowia,
- przynależności do związków zawodowych,
- cech genetycznych.
Mają zatem charakter prywatny i dotyczą sfery osobistej człowieka. Danymi wrażliwymi nie są natomiast m.in. adres zamieszkania, numer pesel, imię i nazwisko.
Danych wrażliwych co do zasady nie można przetwarzać. Reguła ta ma zapewniać większą ochronę. W niektórych sytuacjach przetwarzanie danych wrażliwych jest koniecznością, jednak odbywa się ono na mocy odrębnych przepisów.
Archiwizacja dokumentów a RODO
RODO wymaga dla wszystkich dokumentów zawierających dane osobowe zachowania należytej staranności w zakresie archiwizacji. Dane muszą być przechowywane w taki sposób, aby nie doszło do ich wieku. Archiwizacja dokumentów a RODO to skomplikowane zagadnienie, zwłaszcza w kontekście danych wrażliwych. Rozporządzenie nakazuje:
- uzyskanie zgodę na przetwarzanie danych – musi być ona wyrażona dobrowolnie, konkretnie, świadomie i jednoznacznie,
- minimalizację danych – oznacza zbieranie tylko tych danych, które są niezbędne,
- zachowanie bezpieczeństwa – obejmuje zarówno nieautoryzowany dostęp, jak i wyciek czy zniszczenie,
- zachowanie przejrzystości – osoby, których dane są zbierane, muszą być informowane o celu i okresie przetwarzania oraz przysługujących im prawach.
Jak długo można przechowywać dane osobowe wrażliwe?
Dane wrażliwe podlegają szczególnemu rygorowi prawnemu. Odpowiadając na pytanie, jak długo można przechowywać dane osobowe, RODO nie podaje jednoznacznych terminów. Wskazuje jednak na konieczność usunięcia ich niezwłocznie, gdy tylko przestaną być wymagane. Chcąc doprecyzować kwestię okresu archiwizacji, trzeba sięgnąć do odrębnych przepisów. Na przykład dokumentację medyczną przechowujemy na ogół przez okres 20 lat, choć od tej reguły są pewne wyjątki. Natomiast akta osobowe, w których znajduje się m.in. zgoda na potrącanie składek na rzecz związków zawodowych, przechowujemy 10 lat.
Obowiązkiem administratora danych jest więc rozpoznanie, jak długo trzeba archiwizować poszczególne dokumenty. Z jednej strony obowiązuje nas RODO, lecz z drugiej strony mamy też szereg obowiązków wynikających z odpowiednio długiego przechowywania poszczególnych rodzajów dokumentacji.
Jak przechowywać dane osobowe wrażliwe?
W kontekście tego, jak przechowywać dane osobowe, RODO również nie daje konkretnych rozwiązań. Minimalizując ryzyko, warto stosować się do kilku podstawowych zasad:
- szyfrowanie danych – zapewnia ono odpowiednią ochronę zarówno w momencie przesyłania, jak i spoczynku,
- dostęp ograniczony – tylko upoważnione osoby mogą uzyskać dostęp do danych wrażliwych,
- regularne aktualizacje – oprogramowanie powinno być regularnie aktualizowane, aby zminimalizować ryzyko występowania lub bezpieczeństwa,
- kopie zapasowe – tworzenie kopii zapasowych pozwala odzyskać dane w razie awarii systemu lub ataku cybernetycznego.
W temacie, jakim jest archiwizacja danych osobowych, RODO wskazuje na konieczność zapewnienia odpowiedniej ochrony bez względu na formę dokumentu zawierające informacje chronione. Przy czym obecnie coraz więcej dokumentów ma formę elektroniczną, dlatego to na niej skupiają się przedsiębiorcy. Ustawodawca nierzadko nakazuje wręcz prowadzenie dokumentacji cyfrowej, jak ma to miejsce na przykład w przypadku dokumentów medycznych.
Najczęstsze błędy popełniane przy archiwizacji danych wrażliwych
Archiwizacja danych wrażliwych pociąga za sobą wiele wyzwań. W całej procedurze łatwo się pogubić, doprowadzając tym samym do zaniedbań. Najczęściej popełniane błędy w przechowywaniu danych wrażliwych to:
- brak zabezpieczeń technicznych,
- brak szkoleń dla pracowników,
- nieprawidłowe przechowywanie danych,
- nieprzestrzeganie zasady minimalizacji,
- brak ograniczeń w dostępie.
Tymczasem pierwszym krokiem do sukcesu jest identyfikacja danych wrażliwych, tak aby była prowadzona ich prawidłowa archiwizacja. RODO podaje zamknięty katalog danych wrażliwych, co dodatkowo ułatwia ich rozpoznanie.
Dane wrażliwe są objęte szerszą ochroną, niż dane osobowe zwykłe. Świadczy o tym już sam zakaz ich przetwarzania. Niemniej jednak podmioty, które ze względu na specyfikę działalności gromadzą tego typu dane, muszą przestrzegać surowych przepisów. Archiwizacja i utylizacja to jedne z najtrudniejszych elementów całego procesu przetwarzania. RODO nie zabrania jednak korzystać z pomocy specjalistów, na którą w wielu przypadkach warto się zdecydować. Współpraca z godnym zaufania podmiotem pozwala wywiązać się z obowiązków i we właściwy sposób zabezpieczyć dane wrażliwe.
