Nawigacja
RODO > Artyku艂 9. Przetwarzanie szczeg贸lnych kategorii danych osobowych
Pobierz jako plik PDF

Artyku艂 9 RODO. Przetwarzanie szczeg贸lnych kategorii danych osobowych

Article 9 GDPR. Processing of special categories of personal data

1. Zabrania si臋 przetwarzania danych osobowych ujawniaj膮cych pochodzenie rasowe lub etniczne, pogl膮dy polityczne, przekonania religijne lub 艣wiatopogl膮dowe, przynale偶no艣膰 do zwi膮zk贸w zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotycz膮cych zdrowia, seksualno艣ci lub orientacji seksualnej tej osoby.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

Wytyczne & Case Law Motywy

(51) Dane osobowe, kt贸re z racji swego charakteru s膮 szczeg贸lnie wra偶liwe w 艣wietle podstawowych praw i wolno艣ci, wymagaj膮 szczeg贸lnej ochrony, gdy偶 kontekst ich przetwarzania mo偶e powodowa膰 powa偶ne ryzyko dla podstawowych praw i wolno艣ci. Do takich danych osobowych powinny zalicza膰 si臋 dane osobowe ujawniaj膮ce pochodzenie rasowe lub etniczne, przy czym u偶ycie w niniejszym rozporz膮dzeniu terminu 鈥瀙ochodzenie rasowe鈥 nie oznacza, 偶e Unia akceptuje teorie sugeruj膮ce istnienie osobnych ras ludzkich. Przetwarzanie fotografii nie powinno zawsze stanowi膰 przetwarzania szczeg贸lnych kategorii danych osobowych, gdy偶 fotografie s膮 obj臋te definicj膮 鈥瀌anych biometrycznych鈥 tylko w przypadkach, gdy s膮 przetwarzane specjalnymi metodami technicznymi, umo偶liwiaj膮cymi jednoznaczn膮 identyfikacj臋 osoby fizycznej lub potwierdzenie jej to偶samo艣ci. Takich danych osobowych nie nale偶y przetwarza膰, chyba 偶e niniejsze rozporz膮dzenie dopuszcza ich przetwarzanie w szczeg贸lnych przypadkach, przy czym nale偶y uwzgl臋dni膰, 偶e prawo pa艅stw cz艂onkowskich mo偶e obejmowa膰 przepisy szczeg贸艂owe o ochronie danych dostosowuj膮ce zastosowanie przepis贸w niniejszego rozporz膮dzenia tak, by mo偶na by艂o wype艂ni膰 obowi膮zki prawne lub wykona膰 zadanie realizowane w interesie publicznym lub w ramach sprawowania w艂adzy publicznej powierzonej administratorowi. Opr贸cz wymog贸w szczeg贸艂owych maj膮cych zastosowanie do takiego przetwarzania, zastosowanie powinny mie膰 zasady og贸lne i inne przepisy niniejszego rozporz膮dzenia, w szczeg贸lno艣ci je偶eli chodzi o warunki zgodno艣ci przetwarzania z prawem. Nale偶y wyra藕nie przewidzie膰 wyj膮tki od og贸lnego zakazu przetwarzania takich szczeg贸lnych kategorii danych osobowych, m.in. w razie wyra藕nej zgody osoby, kt贸rej dane dotycz膮, lub ze wzgl臋du na szczeg贸lne potrzeby, w szczeg贸lno艣ci gdy przetwarzanie danych odbywa si臋 w ramach uzasadnionych dzia艂a艅 niekt贸rych zrzesze艅 lub fundacji, kt贸rych celem jest umo偶liwienie korzystania z podstawowych wolno艣ci.

(51) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term 鈥榬acial origin鈥 in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.

2. Ust. 1 nie ma zastosowania, je偶eli spe艂niony jest jeden z poni偶szych warunk贸w:

2. Paragraph 1 shall not apply if one of the following applies:

Motywy

(52) Nale偶y r贸wnie偶 zezwoli膰 na wyj膮tki od zakazu przetwarzania szczeg贸lnych kategorii danych osobowych 鈥 o ile przewiduje to prawo Unii lub prawo pa艅stwa cz艂onkowskiego i podlega to odpowiednim zabezpieczeniom chroni膮cym dane osobowe i inne prawa podstawowe 鈥 je偶eli uzasadnia to interes publiczny, w szczeg贸lno艣ci polegaj膮cy na przetwarzaniu danych osobowych w dziedzinie prawa pracy, prawa zabezpieczenia spo艂ecznego, w tym emerytur, oraz do cel贸w bezpiecze艅stwa, monitorowania i ostrzegania zdrowotnego, zapobiegania chorobom zaka藕nym i innym powa偶nym zagro偶eniom zdrowotnym. Taki wyj膮tek mo偶e by膰 przewidziany ze wzgl臋du na cele zdrowotne, w tym zwi膮zane ze zdrowiem publicznym oraz zarz膮dzaniem us艂ugami opieki zdrowotnej, w szczeg贸lno艣ci zapewnianiem jako艣ci i ekonomiczno艣ci procedur stosowanych do rozstrzygania roszcze艅 w sprawie 艣wiadcze艅 i us艂ug w ramach systemu ubezpiecze艅 zdrowotnych, lub ze wzgl臋du na cele archiwalne w interesie publicznym, cele bada艅 naukowych lub historycznych lub cele statystyczne. Nale偶y tak偶e przewidzie膰 wyj膮tek pozwalaj膮cy przetwarza膰 takie dane osobowe, je偶eli jest to niezb臋dne do ustalenia, dochodzenia lub obrony roszcze艅 w post臋powaniu s膮dowym, administracyjnym lub te偶 innym post臋powaniu pozas膮dowym.

(52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.

(53) Szczeg贸lne kategorie danych osobowych zas艂uguj膮ce na wi臋ksz膮 ochron臋 powinny by膰 przetwarzane do cel贸w zdrowotnych wy艂膮cznie w przypadkach, gdy jest to niezb臋dne do realizacji tych cel贸w z korzy艣ci膮 dla os贸b fizycznych i og贸艂u spo艂ecze艅stwa, w szczeg贸lno艣ci w kontek艣cie zarz膮dzania us艂ugami i systemami opieki zdrowotnej i zabezpieczenia spo艂ecznego, w tym przetwarzania takich danych przez organy zarz膮dcze i centralne krajowe organy ds. zdrowia do cel贸w kontroli jako艣ci, pozyskiwania informacji zarz膮dczych oraz og贸lnego krajowego i lokalnego nadzoru nad systemem opieki zdrowotnej i zabezpieczenia spo艂ecznego oraz zapewniania ci膮g艂o艣ci opieki zdrowotnej lub zabezpieczenia spo艂ecznego oraz transgranicznej opieki zdrowotnej lub do cel贸w bezpiecze艅stwa, monitorowania i ostrzegania zdrowotnego lub do cel贸w archiwalnych w interesie publicznym, do cel贸w bada艅 naukowych lub historycznych lub do cel贸w statystycznych, kt贸re maj膮 podstaw臋 w prawie Unii lub prawie pa艅stwa cz艂onkowskiego i s艂u偶膮 interesowi publicznemu, a tak偶e na potrzeby analiz prowadzonych w interesie publicznym w dziedzinie zdrowia publicznego. Niniejsze rozporz膮dzenie powinno zatem przewidywa膰 zharmonizowane warunki przetwarzania szczeg贸lnych kategorii danych osobowych dotycz膮cych zdrowia, ze wzgl臋du na szczeg贸lne potrzeby, w szczeg贸lno艣ci gdy dane takie s膮 przetwarzane w okre艣lonych celach zdrowotnych przez osoby podlegaj膮ce prawnemu obowi膮zkowi zachowania tajemnicy zawodowej. Prawo Unii lub prawo pa艅stwa cz艂onkowskiego powinny przewidywa膰 konkretne, odpowiednie 艣rodki chroni膮ce prawa podstawowe i dane osobowe os贸b fizycznych. Pa艅stwa cz艂onkowskie powinny m贸c zachowa膰 lub wprowadzi膰 dalsze warunki, w tym ograniczenia, przetwarzania danych genetycznych, danych biometrycznych lub danych dotycz膮cych zdrowia. Warunki te nie powinny jednak utrudnia膰 swobodnego przep艂ywu danych osobowych w Unii, je偶eli odnosz膮 si臋 do transgranicznego przetwarzania takich danych.

(53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data.

(54) Niezb臋dne z uwagi na wzgl臋dy interesu publicznego w dziedzinie zdrowia publicznego mo偶e by膰 przetwarzanie szczeg贸lnych kategorii danych osobowych bez zgody osoby, kt贸rej dane dotycz膮. Przetwarzanie takie powinno podlega膰 konkretnym, odpowiednim 艣rodkom chroni膮cym prawa i wolno艣ci os贸b fizycznych. W tym kontek艣cie 鈥瀦drowie publiczne鈥 nale偶y interpretowa膰 zgodnie z definicj膮 z rozporz膮dzenia Parlamentu Europejskiego i Rady (WE) nr 1338/2008 [11], czyli jako wszystkie elementy zwi膮zane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalno艣膰 i niepe艂nosprawno艣膰, czynniki warunkuj膮ce stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane us艂ugi opieki zdrowotnej i powszechny dost臋p do nich, wydatki na opiek臋 zdrowotn膮 i spos贸b jej finansowania oraz przyczyny zgon贸w. Przetwarzanie danych dotycz膮cych zdrowia z uwagi na wzgl臋dy interesu publicznego nie powinno skutkowa膰 przetwarzaniem danych osobowych do innych cel贸w przez strony trzecie, takie jak pracodawcy, czy zak艂ady ubezpiecze艅 i banki.

(54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, 鈥榩ublic health鈥 should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council聽[11], namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies.

[11] Rozporz膮dzenie Parlamentu Europejskiego i Rady (WE) nr 1338/2008 z dnia 16 grudnia 2008 r. w sprawie statystyk Wsp贸lnoty w zakresie zdrowia publicznego oraz zdrowia i bezpiecze艅stwa w pracy (Dz.U. L 354 z 31.12.2008, s. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

(55) Przetwarzanie danych osobowych przez organy publiczne do cel贸w 鈥 okre艣lonych w prawie konstytucyjnym lub prawie mi臋dzynarodowym publicznym 鈥 oficjalnie uznanych zwi膮zk贸w wyznaniowych odbywa si臋 w interesie publicznym.

(55) Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest.

(56) Je偶eli w ramach dzia艂a艅 zwi膮zanych z wyborami funkcjonowanie systemu demokratycznego w pa艅stwie cz艂onkowskim wymaga zbierania przez partie polityczne danych osobowych dotycz膮cych pogl膮d贸w politycznych obywateli, mo偶na zezwoli膰 na przetwarzanie tych danych z uwagi na wzgl臋dy interesu publicznego pod warunkiem ustanowienia odpowiednich zabezpiecze艅.

(56) Where in the course of electoral activities, the operation of the democratic system in a Member聽State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.

a) osoba, kt贸rej dane dotycz膮, wyrazi艂a wyra藕n膮 zgod臋 na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba 偶e prawo Unii lub prawo pa艅stwa cz艂onkowskiego przewiduj膮, i偶 osoba, kt贸rej dane dotycz膮, nie mo偶e uchyli膰 zakazu, o kt贸rym mowa w ust. 1;

(a)聽the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member聽State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

Komentarz eksperta
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 9(2)(a) GDPR:

7.2.4 Obtain and record consent

Control

The organization should obtain and record consent from PII principals according to the documented processes.

Implementation guidance

The organization should obtain and record consent from PII principals in such a way that it can provide on request details of the consent provided (for example the time that consent was provided, the identification of the PII principal, and the consent statement).


aby uzyska膰 dost臋p do pe艂nego tekstu

Powi膮zane teksty

b) przetwarzanie jest niezb臋dne do wype艂nienia obowi膮zk贸w i wykonywania szczeg贸lnych praw przez administratora lub osob臋, kt贸rej dane dotycz膮, w dziedzinie prawa pracy, zabezpieczenia spo艂ecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem pa艅stwa cz艂onkowskiego, lub porozumieniem zbiorowym na mocy prawa pa艅stwa cz艂onkowskiego przewiduj膮cymi odpowiednie zabezpieczenia praw podstawowych i interes贸w osoby, kt贸rej dane dotycz膮;

(b)聽processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member聽State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;

Komentarz eksperta
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

c) przetwarzanie jest niezb臋dne do ochrony 偶ywotnych interes贸w osoby, kt贸rej dane dotycz膮, lub innej osoby fizycznej, a osoba, kt贸rej dane dotycz膮, jest fizycznie lub prawnie niezdolna do wyra偶enia zgody;

(c)聽processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent;

Komentarz eksperta
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

d) przetwarzania dokonuje si臋 w ramach uprawnionej dzia艂alno艣ci prowadzonej z zachowaniem odpowiednich zabezpiecze艅 przez fundacj臋, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, 艣wiatopogl膮dowych, religijnych lub zwi膮zkowych, pod warunkiem 偶e przetwarzanie dotyczy wy艂膮cznie cz艂onk贸w lub by艂ych cz艂onk贸w tego podmiotu lub os贸b utrzymuj膮cych z nim sta艂e kontakty w zwi膮zku z jego celami oraz 偶e dane osobowe nie s膮 ujawniane poza tym podmiotem bez zgody os贸b, kt贸rych dane dotycz膮;

(d)聽processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects;

Komentarz eksperta
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

e) przetwarzanie dotyczy danych osobowych w spos贸b oczywisty upublicznionych przez osob臋, kt贸rej dane dotycz膮;

(e)聽processing relates to personal data which are manifestly made public by the data subject;

Komentarz eksperta

(EN) The European legislator introduced an exception 鈥 for special categories of personal data which are manifestly made public by a person 鈥 that seems completely logical at first glance. If a person willingly shares her/his data, it sounds reasonable to allow the processing of these data by third parties. On second thought, many questions come to mind. What does 鈥manifestly鈥 mean? When are data 鈥public鈥? How to determine if a person intended to make her/his data public?

The exception does not concern all special categories of data publicly available. It applies strictly to data that an individual personally disclosed. It must be a publication that results from a clear and voluntary decision from an individual to disclose information about her/him. It should not be an accidental, inadvertent, involuntary or unintentional disclosure. It should be the result of a free and deliberate decision. The individual must be fully conscious that s/he made her/his data public. Thus, it excludes leaked data, data accessible after a security breach or data shared unintentionally or by inadvertence…


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Wytyczne & Case Law

f) przetwarzanie jest niezb臋dne do ustalenia, dochodzenia lub obrony roszcze艅 lub w ramach sprawowania wymiaru sprawiedliwo艣ci przez s膮dy;

(f)聽processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity;

Komentarz eksperta
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

g) przetwarzanie jest niezb臋dne ze wzgl臋d贸w zwi膮zanych z wa偶nym interesem publicznym, na podstawie prawa Unii lub prawa pa艅stwa cz艂onkowskiego, kt贸re s膮 proporcjonalne do wyznaczonego celu, nie naruszaj膮 istoty prawa do ochrony danych i przewiduj膮 odpowiednie i konkretne 艣rodki ochrony praw podstawowych i interes贸w osoby, kt贸rej dane dotycz膮;

(g)聽processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject;

Komentarz eksperta
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

h) przetwarzanie jest niezb臋dne do cel贸w profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolno艣ci pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia spo艂ecznego, leczenia lub zarz膮dzania systemami i us艂ugami opieki zdrowotnej lub zabezpieczenia spo艂ecznego na podstawie prawa Unii lub prawa pa艅stwa cz艂onkowskiego lub zgodnie z umow膮 z pracownikiem s艂u偶by zdrowia i z zastrze偶eniem warunk贸w i zabezpiecze艅, o kt贸rych mowa w ust. 3;

(h)聽processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member聽State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph聽3;

Komentarz eksperta
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Wytyczne & Case Law

i) przetwarzanie jest niezb臋dne ze wzgl臋d贸w zwi膮zanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed powa偶nymi transgranicznymi zagro偶eniami zdrowotnymi lub zapewnienie wysokich standard贸w jako艣ci i bezpiecze艅stwa opieki zdrowotnej oraz produkt贸w leczniczych lub wyrob贸w medycznych, na podstawie prawa Unii lub prawa pa艅stwa cz艂onkowskiego, kt贸re przewiduj膮 odpowiednie, konkretne 艣rodki ochrony praw i wolno艣ci oso贸b, kt贸rych dane dotycz膮, w szczeg贸lno艣ci tajemnic臋 zawodow膮;

(i)聽processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member聽State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;

Komentarz eksperta
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Wytyczne & Case Law

j) przetwarzanie jest niezb臋dne do cel贸w archiwalnych w interesie publicznym, do cel贸w bada艅 naukowych lub historycznych lub do cel贸w statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa pa艅stwa cz艂onkowskiego, kt贸re s膮 proporcjonalne do wyznaczonego celu, nie naruszaj膮 istoty prawa do ochrony danych i przewiduj膮 odpowiednie, konkretne 艣rodki ochrony praw podstawowych i interes贸w osoby, kt贸rej dane dotycz膮.

(j)聽processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article聽89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.

Komentarz eksperta
(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
Wytyczne & Case Law Powi膮zane teksty

3. Dane osobowe, o kt贸rych mowa w ust. 1, mog膮 by膰 przetwarzane do cel贸w, o kt贸rych mowa w ust. 2 lit. h), je偶eli s膮 przetwarzane przez 鈥 lub na odpowiedzialno艣膰 鈥 pracownika podlegaj膮cego obowi膮zkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa pa艅stwa cz艂onkowskiego, lub przepis贸w ustanowionych przez w艂a艣ciwe organy krajowe lub przez inn膮 osob臋 r贸wnie偶 podlegaj膮c膮 obowi膮zkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa pa艅stwa cz艂onkowskiego, lub przepis贸w ustanowionych przez w艂a艣ciwe organy krajowe.

3. Personal data referred to in paragraph聽1 may be processed for the purposes referred to in point聽(h) of paragraph聽2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member聽State law or rules established by national competent bodies.

4. Pa艅stwa cz艂onkowskie mog膮 zachowa膰 lub wprowadzi膰 dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotycz膮cych zdrowia.

4. Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health.

Komentarz eksperta ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(EN) Some personal data, because of their sensitive nature, belong to special categories in the General Data Protection Regulation. Processing data mentioned in one of these eight (8) categories poses indeed 鈥significant risks to the fundamental rights and freedoms鈥 of an individual (recital 51). Risks vary depending on the type of data involved. Paragraph one of article 9 enumerates all types of data covered, but they are not readily intelligible. A visual list, broken down into eight points, helps to clarify the scope of the provision and what data are considered 鈥special鈥 by the European regulation:

  1. data disclosing racial or ethnic origin;
  2. data divulging political opinions;
  3. data revealing religious or philosophical beliefs;
  4. data about trade union membership;
  5. genetic data;
  6. biometric data used to identify a person;
  7. data concerning health; and
  8. data relating to a person鈥檚 sex life or sexual orientation.


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 9 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(51) Dane osobowe, kt贸re z racji swego charakteru s膮 szczeg贸lnie wra偶liwe w 艣wietle podstawowych praw i wolno艣ci, wymagaj膮 szczeg贸lnej ochrony, gdy偶 kontekst ich przetwarzania mo偶e powodowa膰 powa偶ne ryzyko dla podstawowych praw i wolno艣ci. Do takich danych osobowych powinny zalicza膰 si臋 dane osobowe ujawniaj膮ce pochodzenie rasowe lub etniczne, przy czym u偶ycie w niniejszym rozporz膮dzeniu terminu 鈥瀙ochodzenie rasowe鈥 nie oznacza, 偶e Unia akceptuje teorie sugeruj膮ce istnienie osobnych ras ludzkich. Przetwarzanie fotografii nie powinno zawsze stanowi膰 przetwarzania szczeg贸lnych kategorii danych osobowych, gdy偶 fotografie s膮 obj臋te definicj膮 鈥瀌anych biometrycznych鈥 tylko w przypadkach, gdy s膮 przetwarzane specjalnymi metodami technicznymi, umo偶liwiaj膮cymi jednoznaczn膮 identyfikacj臋 osoby fizycznej lub potwierdzenie jej to偶samo艣ci. Takich danych osobowych nie nale偶y przetwarza膰, chyba 偶e niniejsze rozporz膮dzenie dopuszcza ich przetwarzanie w szczeg贸lnych przypadkach, przy czym nale偶y uwzgl臋dni膰, 偶e prawo pa艅stw cz艂onkowskich mo偶e obejmowa膰 przepisy szczeg贸艂owe o ochronie danych dostosowuj膮ce zastosowanie przepis贸w niniejszego rozporz膮dzenia tak, by mo偶na by艂o wype艂ni膰 obowi膮zki prawne lub wykona膰 zadanie realizowane w interesie publicznym lub w ramach sprawowania w艂adzy publicznej powierzonej administratorowi. Opr贸cz wymog贸w szczeg贸艂owych maj膮cych zastosowanie do takiego przetwarzania, zastosowanie powinny mie膰 zasady og贸lne i inne przepisy niniejszego rozporz膮dzenia, w szczeg贸lno艣ci je偶eli chodzi o warunki zgodno艣ci przetwarzania z prawem. Nale偶y wyra藕nie przewidzie膰 wyj膮tki od og贸lnego zakazu przetwarzania takich szczeg贸lnych kategorii danych osobowych, m.in. w razie wyra藕nej zgody osoby, kt贸rej dane dotycz膮, lub ze wzgl臋du na szczeg贸lne potrzeby, w szczeg贸lno艣ci gdy przetwarzanie danych odbywa si臋 w ramach uzasadnionych dzia艂a艅 niekt贸rych zrzesze艅 lub fundacji, kt贸rych celem jest umo偶liwienie korzystania z podstawowych wolno艣ci.

(51) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term 鈥榬acial origin鈥 in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.

(52) Nale偶y r贸wnie偶 zezwoli膰 na wyj膮tki od zakazu przetwarzania szczeg贸lnych kategorii danych osobowych 鈥 o ile przewiduje to prawo Unii lub prawo pa艅stwa cz艂onkowskiego i podlega to odpowiednim zabezpieczeniom chroni膮cym dane osobowe i inne prawa podstawowe 鈥 je偶eli uzasadnia to interes publiczny, w szczeg贸lno艣ci polegaj膮cy na przetwarzaniu danych osobowych w dziedzinie prawa pracy, prawa zabezpieczenia spo艂ecznego, w tym emerytur, oraz do cel贸w bezpiecze艅stwa, monitorowania i ostrzegania zdrowotnego, zapobiegania chorobom zaka藕nym i innym powa偶nym zagro偶eniom zdrowotnym. Taki wyj膮tek mo偶e by膰 przewidziany ze wzgl臋du na cele zdrowotne, w tym zwi膮zane ze zdrowiem publicznym oraz zarz膮dzaniem us艂ugami opieki zdrowotnej, w szczeg贸lno艣ci zapewnianiem jako艣ci i ekonomiczno艣ci procedur stosowanych do rozstrzygania roszcze艅 w sprawie 艣wiadcze艅 i us艂ug w ramach systemu ubezpiecze艅 zdrowotnych, lub ze wzgl臋du na cele archiwalne w interesie publicznym, cele bada艅 naukowych lub historycznych lub cele statystyczne. Nale偶y tak偶e przewidzie膰 wyj膮tek pozwalaj膮cy przetwarza膰 takie dane osobowe, je偶eli jest to niezb臋dne do ustalenia, dochodzenia lub obrony roszcze艅 w post臋powaniu s膮dowym, administracyjnym lub te偶 innym post臋powaniu pozas膮dowym.

(52) Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure.

(53) Szczeg贸lne kategorie danych osobowych zas艂uguj膮ce na wi臋ksz膮 ochron臋 powinny by膰 przetwarzane do cel贸w zdrowotnych wy艂膮cznie w przypadkach, gdy jest to niezb臋dne do realizacji tych cel贸w z korzy艣ci膮 dla os贸b fizycznych i og贸艂u spo艂ecze艅stwa, w szczeg贸lno艣ci w kontek艣cie zarz膮dzania us艂ugami i systemami opieki zdrowotnej i zabezpieczenia spo艂ecznego, w tym przetwarzania takich danych przez organy zarz膮dcze i centralne krajowe organy ds. zdrowia do cel贸w kontroli jako艣ci, pozyskiwania informacji zarz膮dczych oraz og贸lnego krajowego i lokalnego nadzoru nad systemem opieki zdrowotnej i zabezpieczenia spo艂ecznego oraz zapewniania ci膮g艂o艣ci opieki zdrowotnej lub zabezpieczenia spo艂ecznego oraz transgranicznej opieki zdrowotnej lub do cel贸w bezpiecze艅stwa, monitorowania i ostrzegania zdrowotnego lub do cel贸w archiwalnych w interesie publicznym, do cel贸w bada艅 naukowych lub historycznych lub do cel贸w statystycznych, kt贸re maj膮 podstaw臋 w prawie Unii lub prawie pa艅stwa cz艂onkowskiego i s艂u偶膮 interesowi publicznemu, a tak偶e na potrzeby analiz prowadzonych w interesie publicznym w dziedzinie zdrowia publicznego. Niniejsze rozporz膮dzenie powinno zatem przewidywa膰 zharmonizowane warunki przetwarzania szczeg贸lnych kategorii danych osobowych dotycz膮cych zdrowia, ze wzgl臋du na szczeg贸lne potrzeby, w szczeg贸lno艣ci gdy dane takie s膮 przetwarzane w okre艣lonych celach zdrowotnych przez osoby podlegaj膮ce prawnemu obowi膮zkowi zachowania tajemnicy zawodowej. Prawo Unii lub prawo pa艅stwa cz艂onkowskiego powinny przewidywa膰 konkretne, odpowiednie 艣rodki chroni膮ce prawa podstawowe i dane osobowe os贸b fizycznych. Pa艅stwa cz艂onkowskie powinny m贸c zachowa膰 lub wprowadzi膰 dalsze warunki, w tym ograniczenia, przetwarzania danych genetycznych, danych biometrycznych lub danych dotycz膮cych zdrowia. Warunki te nie powinny jednak utrudnia膰 swobodnego przep艂ywu danych osobowych w Unii, je偶eli odnosz膮 si臋 do transgranicznego przetwarzania takich danych.

(53) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data.

(54) Niezb臋dne z uwagi na wzgl臋dy interesu publicznego w dziedzinie zdrowia publicznego mo偶e by膰 przetwarzanie szczeg贸lnych kategorii danych osobowych bez zgody osoby, kt贸rej dane dotycz膮. Przetwarzanie takie powinno podlega膰 konkretnym, odpowiednim 艣rodkom chroni膮cym prawa i wolno艣ci os贸b fizycznych. W tym kontek艣cie 鈥瀦drowie publiczne鈥 nale偶y interpretowa膰 zgodnie z definicj膮 z rozporz膮dzenia Parlamentu Europejskiego i Rady (WE) nr 1338/2008 [11], czyli jako wszystkie elementy zwi膮zane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalno艣膰 i niepe艂nosprawno艣膰, czynniki warunkuj膮ce stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane us艂ugi opieki zdrowotnej i powszechny dost臋p do nich, wydatki na opiek臋 zdrowotn膮 i spos贸b jej finansowania oraz przyczyny zgon贸w. Przetwarzanie danych dotycz膮cych zdrowia z uwagi na wzgl臋dy interesu publicznego nie powinno skutkowa膰 przetwarzaniem danych osobowych do innych cel贸w przez strony trzecie, takie jak pracodawcy, czy zak艂ady ubezpiecze艅 i banki.

(54) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, 鈥榩ublic health鈥 should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council聽[11], namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies.

[11] Rozporz膮dzenie Parlamentu Europejskiego i Rady (WE) nr 1338/2008 z dnia 16 grudnia 2008 r. w sprawie statystyk Wsp贸lnoty w zakresie zdrowia publicznego oraz zdrowia i bezpiecze艅stwa w pracy (Dz.U. L 354 z 31.12.2008, s. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

[11] Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC

(55) Przetwarzanie danych osobowych przez organy publiczne do cel贸w 鈥 okre艣lonych w prawie konstytucyjnym lub prawie mi臋dzynarodowym publicznym 鈥 oficjalnie uznanych zwi膮zk贸w wyznaniowych odbywa si臋 w interesie publicznym.

(55) Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest.

(56) Je偶eli w ramach dzia艂a艅 zwi膮zanych z wyborami funkcjonowanie systemu demokratycznego w pa艅stwie cz艂onkowskim wymaga zbierania przez partie polityczne danych osobowych dotycz膮cych pogl膮d贸w politycznych obywateli, mo偶na zezwoli膰 na przetwarzanie tych danych z uwagi na wzgl臋dy interesu publicznego pod warunkiem ustanowienia odpowiednich zabezpiecze艅.

(56) Where in the course of electoral activities, the operation of the democratic system in a Member聽State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.

Wytyczne & Case Law zostaw komentarz
[js-disqus]