Zgodnie z rozporządzeniem RODO, dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W szczególności są to takie dane jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy oraz jeden bądź kilka czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Definicja ta celowo ma bardzo szeroki charakter. Z zasady gromadzenie przetwarzanie danych osobowych jest dozwolone, wymaga jednak spełnienia przesłanek określonych w art. 6 rozporządzenia RODO.
Dzieje się tak na przykład gdy:
– została wyrażona zgoda osoby, której dane dotyczą;
– przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą;
– przetwarzanie jest niezbędne dla wykonania obowiązku prawnego ciążącego na administratorze;
– przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej.
Artykuł 9 rozporządzenia RODO wprowadza jednak pojęcie szczególnych kategorii danych osobowych. Ich gromadzenie i przetwarzanie jest z zasady zakazane.
Ustawodawca wyraźnie wskazał, jakie dane należą do szczególnych kategorii, są to dane ujawniające:
– pochodzenie rasowe bądź etniczne,
– poglądy polityczne,
– przekonania religijne lub światopoglądowe,
– przynależność do związków zawodowych;
– dane genetyczne i biometryczne;
– dotyczące zdrowia, seksualności bądź orientacji seksualnej.
Z założenia, dane wrażliwe to informacje mogące narazić osobę, której dotyczą na naruszenie prywatności lub dyskryminację.
Ustawodawca przewidział jednak liczne wyjątki od zakazu przetwarzania. Najważniejszym z nich jest wyrażenie przez osobę fizyczną, której dane dotyczą, wyraźnej zgody na ich gromadzenie i przetwarzanie. Ponadto może ono być dozwolone między innymi gdy:
– przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą;
– przetwarzanie dokonuje się w ramach uprawnionej działalności przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, religijnych, światopoglądowych, religijnych lub związkowych, jeżeli dotyczy członków tego podmiotu;
– przetwarzanie dotyczy danych w sposób oczywistych upublicznionych przez osobę, której dotyczą;
– przetwarzanie jest niezbędne dla ustalenia i dochodzenia roszczeń lub w ramach wykonywania wymiaru sprawiedliwości;
– jest niezbędne ze względów związanych z ważnym interesem publicznym.