Artykuł 9 RODO

Artykuł 9 RODO

  • Strona główna
  • Artykuł 9 RODO – Przetwarzanie szczególnych kategorii danych osobowych

Artykuł 9 RODO – Przetwarzanie szczególnych kategorii danych osobowych

1.

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

2.

Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;

e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;

h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;

i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;

j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 zabezpieczenia i wyjątki dotyczące przetwarzania do celów archiwalnych, badań naukowych i statystycznych ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

3.

Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.

4.

Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

Komentarz prawnika

Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?
e-mail: kancelaria@afterlegal.pl
tel. +48 500 436 703

Artykuł 9 RODO wprowadza szczególny reżim ochrony dla kategorii danych osobowych uznawanych za wrażliwe. Stanowi on kluczowy element systemu ochrony prywatności, ustanawiając generalny zakaz przetwarzania oraz enumeratywnie wyliczone wyjątki od tego zakazu. Przepis ten ma fundamentalne znaczenie dla administratorów działających w sektorze medycznym, organizacji religijnych, związków zawodowych oraz podmiotów wykorzystujących dane biometryczne i genetyczne.

Zakres przedmiotowy szczególnych kategorii danych

Artykuł 9 ust. 1 RODO określa katalog danych osobowych podlegających szczególnej ochronie. Analiza tego katalogu wskazuje, że obejmuje on następujące kategorie informacji:

  • Dane ujawniające pochodzenie rasowe lub etniczne – co ma szczególne znaczenie w kontekście przeciwdziałania dyskryminacji
  • Dane ujawniające poglądy polityczne – istotne z punktu widzenia wolności politycznej i ochrony przed profilowaniem
  • Dane o przekonaniach religijnych lub światopoglądowych – kluczowe dla ochrony wolności sumienia i wyznania
  • Dane o przynależności do związków zawodowych – chroniące swobodę zrzeszania się
  • Dane genetyczne i biometryczne – coraz powszechniej wykorzystywane w różnych sektorach gospodarki
  • Dane dotyczące zdrowia, seksualności oraz orientacji seksualnej – szczególnie istotne w kontekście ochrony przed dyskryminacją i stygmatyzacją

Katalog ten nie jest przypadkowy – obejmuje informacje, których przetwarzanie wiąże się ze szczególnym ryzykiem dla podstawowych praw i wolności osób fizycznych.

Wyjątki od zakazu przetwarzania

Artykuł 9 ust. 2 RODO zawiera wyczerpujący katalog dziesięciu przesłanek legalizujących przetwarzanie danych wrażliwych. W praktyce największe znaczenie mają:

  • Wyraźna zgoda (art. 9 ust. 2 lit. a) – wymagająca świadomego, dobrowolnego i jednoznacznego oświadczenia woli, przy czym standard „wyraźności” jest wyższy niż w przypadku zgody z art. 6
  • Obowiązki z zakresu prawa pracy (art. 9 ust. 2 lit. b) – istotne dla pracodawców w kontekście danych o stanie zdrowia pracowników
  • Ochrona żywotnych interesów (art. 9 ust. 2 lit. c) – wykorzystywana głównie w sytuacjach nagłych przypadków medycznych
  • Działalność statutowa podmiotów wyznaniowych, politycznych i związkowych (art. 9 ust. 2 lit. d) – zapewniająca możliwość funkcjonowania tych organizacji
  • Cele zdrowotne (art. 9 ust. 2 lit. h i i) – umożliwiające funkcjonowanie systemu opieki zdrowotnej

Każda z tych przesłanek ma ściśle określony zakres zastosowania i nie może być interpretowana rozszerzająco.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Wymóg tajemnicy zawodowej

Istotnym uzupełnieniem systemu ochrony danych wrażliwych jest art. 9 ust. 3 RODO, który wprowadza dodatkowy wymóg dotyczący przetwarzania danych o stanie zdrowia:

  • Przetwarzanie musi być dokonywane przez osoby podlegające obowiązkowi zachowania tajemnicy zawodowej
  • Obowiązek tajemnicy może wynikać z prawa Unii, prawa krajowego lub przepisów ustanowionych przez właściwe organy krajowe
  • Wymóg ten dotyczy zarówno personelu medycznego, jak i osób przetwarzających dane na jego odpowiedzialność

Ta regulacja stanowi dodatkową gwarancję bezpieczeństwa dla danych dotyczących zdrowia, które należą do najbardziej wrażliwych informacji o osobie fizycznej.

Rola prawa krajowego

Artykuł 9 ust. 4 RODO pozostawia państwom członkowskim pewną swobodę regulacyjną, pozwalając na:

  • Zachowanie dotychczasowych ograniczeń w przetwarzaniu danych genetycznych, biometrycznych i dotyczących zdrowia
  • Wprowadzenie nowych, dalej idących ograniczeń
  • Ustanowienie dodatkowych warunków przetwarzania tych kategorii danych

W praktyce oznacza to, że administratorzy muszą uwzględniać nie tylko przepisy RODO, ale również regulacje krajowe, które mogą wprowadzać surowsze wymogi w zakresie przetwarzania danych wrażliwych.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Praktyczne wyzwania związane ze stosowaniem art. 9 RODO

W mojej praktyce zawodowej najczęstsze problemy związane z artykułem 9 RODO obejmują:

  • Trudności w identyfikacji danych wrażliwych – zwłaszcza w przypadku informacji, które pośrednio mogą ujawniać dane szczególnej kategorii
  • Nieprawidłowe stosowanie przesłanki zgody – często bez spełnienia wymogów „wyraźności” lub w sytuacjach, gdy bardziej adekwatna byłaby inna podstawa prawna
  • Niedostateczne zabezpieczenia techniczne i organizacyjne adekwatne do podwyższonego ryzyka
  • Brak właściwej dokumentacji oceny skutków dla ochrony danych (DPIA), która jest z reguły wymagana przy przetwarzaniu danych wrażliwych
  • Problemy interpretacyjne dotyczące zakresu niektórych wyjątków, zwłaszcza związanych z interesem publicznym w dziedzinie zdrowia publicznego

Każde z tych wyzwań wymaga starannej analizy kontekstu przetwarzania oraz odpowiedniego dostosowania procesów wewnętrznych organizacji.

Podsumowanie

Artykuł 9 RODO stanowi kluczowy element systemu ochrony danych osobowych, wprowadzając szczególny reżim dla informacji, których przetwarzanie wiąże się z podwyższonym ryzykiem dla praw i wolności osób fizycznych.

Z perspektywy praktycznej, przetwarzanie danych wrażliwych wymaga od administratora wdrożenia szeregu dodatkowych środków, w tym:

  • Przeprowadzenia oceny skutków dla ochrony danych (DPIA)
  • Wdrożenia adekwatnych środków bezpieczeństwa
  • Dokładnego dokumentowania podstawy prawnej
  • Stosowania zasady minimalizacji danych ze szczególną starannością
  • Monitorowania zmian w prawie krajowym, które mogą wprowadzać dodatkowe ograniczenia

Przestrzeganie tych wymogów jest niezbędne dla zapewnienia zgodności z przepisami RODO i minimalizacji ryzyka nałożenia sankcji administracyjnych, które w przypadku naruszeń dotyczących danych wrażliwych mogą być szczególnie dotkliwe.

« Artykuł 8 – Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego
Artykuł 10 – Przetwarzanie danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa »