Dane wrażliwe to szczególna kategoria danych osobowych, których przetwarzanie podlega zaostrzonym rygorom RODO. Art. 9 ust. 1 rozporządzenia jednoznacznie zakazuje ich przetwarzania, a wyjątki od tego zakazu są wąskie i każdorazowo wymagają spełnienia dodatkowych przesłanek. Dla polskich przedsiębiorców błąd w kwalifikacji danych jako zwykłych zamiast wrażliwych niesie ryzyko kary administracyjnej do 20 milionów euro lub 4% rocznego obrotu globalnego — w zależności od tego, która wartość jest wyższa. W 2026 roku Prezes UODO regularnie nakłada kary w przedziale od 50 000 do 1,2 mln PLN za naruszenia właśnie w obszarze danych wrażliwych, a liczba skarg obywateli rośnie o 23% rok do roku. Ten artykuł wyjaśnia, co dokładnie zalicza się do danych wrażliwych według RODO, jakie obowiązki ma administrator w 2026 roku, jak ocenić ryzyko i jakie narzędzia techniczne pomagają zachować zgodność bez paraliżowania codziennej działalności firmy.
Co to są dane wrażliwe według RODO — katalog zamknięty
RODO definiuje dane wrażliwe w art. 9 ust. 1 jako dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia oraz dane dotyczące seksualności lub orientacji seksualnej.
Katalog ten jest zamknięty — oznacza to, że żadna inna kategoria danych nie może zostać uznana za wrażliwą w rozumieniu RODO, nawet jeśli subiektywnie wydaje się szczególnie chroniona. Numer PESEL, dane o zarobkach, informacje o zadłużeniu czy adres zamieszkania — mimo że wymagają szczególnej staranności — nie są danymi wrażliwymi sensu stricto. Podlegają one ogólnym zasadom RODO (art. 5 i 6), ale nie wymagają spełnienia dodatkowych przesłanek z art. 9.
W praktyce oznacza to, że firma, która przetwarza wyłącznie imię, nazwisko, adres e-mail i NIP kontrahenta, nie przetwarza danych wrażliwych. Z kolei sklep internetowy oferujący produkty dla diabetyków, rejestrujący preferencje żywieniowe klientów wynikające ze stanu zdrowia — już tak.
Przykłady danych wrażliwych w kontekście biznesowym:
| Kategoria danych wrażliwych | Przykład biznesowy |
|---|---|
| Dane dotyczące zdrowia | Orzeczenie o niepełnosprawności pracownika, zaświadczenie lekarskie, skierowanie na badania medycyny pracy, informacja o chorobie przewlekłej w CV |
| Dane biometryczne | Odciski palców w systemie RCP w biurze, skan twarzy przy wejściu do serwerowni, wzór tęczówki w systemie kontroli dostępu |
| Przekonania religijne | Deklaracja przynależności wyznaniowej w ankiecie pracowniczej, informacja o diecie religijnej w cateringu firmowym |
| Przynależność związkowa | Lista członków zakładowej organizacji związkowej, informacja o pełnionej funkcji związkowej przy zwolnieniach grupowych |
| Poglądy polityczne | Lista sygnatariuszy petycji politycznej w firmowym intranecie, deklaracja przynależności partyjnej w ankiecie |
| Orientacja seksualna | Dane o partnerze w systemie benefitów pracowniczych (ubezpieczenie na życie dla partnera), informacje w formularzu równościowym HR |
| Dane genetyczne | Profil DNA w badaniach klinicznych, testy genetyczne oferowane jako benefit zdrowotny |
| Pochodzenie rasowe/etniczne | Deklaracja narodowości w formularzu rekrutacyjnym, zdjęcie ujawniające kolor skóry w systemie identyfikacji wizualnej |
Kluczowa zasada: jeśli dane nie mieszczą się w żadnej z powyższych kategorii art. 9 ust. 1, nie są danymi wrażliwymi. Wszelkie wątpliwości interpretacyjne rozstrzyga się na korzyść kwalifikacji jako dane zwykłe — ale każdorazowo warto udokumentować taką decyzję w rejestrze czynności przetwarzania.
Kiedy można przetwarzać dane wrażliwe — wyjątki od zakazu
Artykuł 9 ust. 2 RODO przewiduje dziesięć wyjątków od generalnego zakazu przetwarzania danych wrażliwych. W praktyce biznesowej najistotniejsze są cztery z nich:
Zgoda wyraźna (art. 9 ust. 2 lit. a) — to najczęściej stosowana podstawa, ale zarazem najbardziej wymagająca. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, a dodatkowo — wyraźna. Oznacza to, że milczące potwierdzenie, zaznaczone domyślnie pole wyboru ani ogólny regulamin nie spełnią tego wymogu. Pracodawca pobierający od pracownika zgodę na przetwarzanie danych zdrowotnych stoi na bardzo słabym gruncie — zgoda w relacji pracodawca–pracownik rzadko jest dobrowolna, co potwierdza stanowisko Prezesa UODO z wytycznych z czerwca 2025 roku.
Obowiązki i prawa w dziedzinie prawa pracy (art. 9 ust. 2 lit. b) — pracodawca może przetwarzać dane wrażliwe pracownika, gdy wynika to wprost z przepisów prawa pracy. Przykładem jest przetwarzanie orzeczeń o niepełnosprawności do celów dofinansowania z PFRON, badań medycyny pracy czy informacji o członkostwie związkowym przy zwolnieniach grupowych. Ta przesłanka działa wyłącznie w granicach wyraźnie określonych przepisami — nie można jej rozszerzać na sytuacje, które wydają się pracodawcy uzasadnione biznesowo, ale nie mają podstawy ustawowej.
Ochrona żywotnych interesów (art. 9 ust. 2 lit. c) — stosowana wyjątkowo rzadko i tylko w sytuacjach, gdy osoba fizycznie lub prawnie nie jest w stanie wyrazić zgody. Przykład: pracownik mdleje w biurze, ratownicy medyczni potrzebują informacji o jego chorobie przewlekłej, a administrator udostępnia te dane bez zgody, powołując się na ochronę żywotnych interesów.
Przetwarzanie danych w sposób oczywisty upublicznionych (art. 9 ust. 2 lit. e) — jeśli osoba sama upubliczniła swoje dane wrażliwe (np. polityk publikujący swoje poglądy polityczne na portalu społecznościowym, pacjent opisujący swoją historię choroby na blogu), administrator może je przetwarzać w zakresie, w jakim zostały upublicznione.
W 2026 roku polski ustawodawca nie wprowadził dodatkowych, krajowych przesłanek przetwarzania danych wrażliwych poza tymi wynikającymi z RODO i sektorowych przepisów szczególnych (m.in. Kodeks pracy, ustawa o zawodzie lekarza, ustawa o działalności ubezpieczeniowej). Oznacza to, że każdy przypadek przetwarzania danych wrażliwych przez firmę musi być zakotwiczony w jednej z przesłanek art. 9 ust. 2 RODO.
Obowiązki administratora danych wrażliwych w 2026 roku
Przetwarzanie danych wrażliwych uruchamia dodatkowe obowiązki względem standardowego reżimu RODO. Administrator musi je spełnić jeszcze przed rozpoczęciem przetwarzania:
Ocena skutków dla ochrony danych (DPIA) — zgodnie z art. 35 RODO, przetwarzanie danych wrażliwych na dużą skalę wymaga przeprowadzenia DPIA przed rozpoczęciem przetwarzania. W 2026 roku Prezes UODO oczekuje, że DPIA będzie żywym dokumentem, a nie formalnością skopiowaną z szablonu. Każda ocena musi zawierać szczegółowy opis operacji przetwarzania, ocenę proporcjonalności, analizę ryzyka dla praw i wolności osób oraz planowane środki zaradcze. Firmy, które nie przeprowadziły DPIA, a przetwarzają dane wrażliwe na dużą skalę, są w 2026 roku karane w pierwszej kolejności.
Powołanie inspektora ochrony danych (IOD) — w przeciwieństwie do danych zwykłych, gdzie IOD jest zalecany, ale nie zawsze obowiązkowy, przetwarzanie danych wrażliwych na dużą skalę nakłada obowiązek powołania IOD (art. 37 ust. 1 lit. c). Duża skala oznacza przetwarzanie danych znacznej liczby osób, przez dłuższy czas, o szerokim zakresie geograficznym. Przychodnia medyczna z 5000 pacjentów — tak. Firma z 20 pracownikami przetwarzająca ich orzeczenia o niepełnosprawności — niekoniecznie, ale zaleca się powołanie IOD dla bezpieczeństwa.
Rejestr czynności przetwarzania ze wskazaniem kategorii danych wrażliwych — art. 30 RODO wymaga prowadzenia rejestru czynności przetwarzania. Dla danych wrażliwych rejestr musi wskazywać konkretną kategorię danych z art. 9 ust. 1, podstawę prawną z art. 9 ust. 2 oraz środki techniczne i organizacyjne zabezpieczające te dane.
Zgłoszenie naruszenia w ciągu 72 godzin — naruszenie ochrony danych wrażliwych prawie zawsze podlega obowiązkowi zgłoszenia do Prezesa UODO w ciągu 72 godzin od stwierdzenia. Podczas gdy wyciek adresów e-mail można uznać za incydent niskiego ryzyka, wyciek danych medycznych czy biometrycznych zawsze stanowi wysokie ryzyko naruszenia praw i wolności.
Dane wrażliwe w miejscu pracy — najczęstsze pułapki
Miejsce pracy to obszar, gdzie dane wrażliwe pojawiają się najczęściej i gdzie dochodzi do największej liczby naruszeń. Pracodawcy regularnie popełniają te same błędy:
CV kandydatów do pracy — rekruter otrzymuje CV zawierające informację o niepełnosprawności, chorobie przewlekłej albo przynależności do stowarzyszenia religijnego. Samo otrzymanie CV nie stanowi naruszenia, ale już wprowadzenie tych informacji do wewnętrznej bazy rekrutacyjnej — tak. Prawidłowe postępowanie: usunięcie danych wrażliwych z CV przed archiwizacją, chyba że kandydat wyraził wyraźną zgodę na ich przetwarzanie.
Monitoring wizyjny z funkcją rozpoznawania twarzy — system kamer w biurze z funkcją biometrycznego rozpoznawania twarzy przetwarza dane biometryczne, które są danymi wrażliwymi. W Polsce zgodność takiego rozwiązania z RODO jest skrajnie wątpliwa, chyba że administrator wykaże spełnienie jednej z przesłanek art. 9 ust. 2 — co w przypadku standardowego monitoringu pracowniczego jest praktycznie niemożliwe.
Badania medycyny pracy i orzeczenia o niepełnosprawności — pracodawca ma prawo przetwarzać te dane na podstawie Kodeksu pracy, ale tylko w zakresie niezbędnym. Przechowywanie kopii całego zaświadczenia lekarskiego zamiast samego orzeczenia o zdolności do pracy na danym stanowisku to nadmiarowość. W 2026 roku UODO zaleca, aby pracodawca przechowywał wyłącznie konkluzję badania, a nie szczegółową dokumentację medyczną.
Pliki cookies i tracking — dane o stanie zdrowia zbierane przez pliki cookies (np. historia przeglądania stron o tematyce medycznej) są danymi wrażliwymi, jeśli można je powiązać z konkretną osobą. Sklep internetowy z suplementami diety, który profiluje użytkowników na podstawie historii zakupów i przeglądania, prawdopodobnie przetwarza dane wrażliwe, nawet jeśli ich nie nazywa wprost — bo wzorzec zakupowy może ujawniać stan zdrowia (np. zakup insuliny, leków przeciwdepresyjnych, testów ciążowych).
Jak zabezpieczyć dane wrażliwe — środki techniczne i organizacyjne
RODO nie narzuca konkretnych technologii, lecz wymaga środków adekwatnych do ryzyka. W praktyce firma przetwarzająca dane wrażliwe powinna wdrożyć minimum następujące zabezpieczenia:
Szyfrowanie danych w spoczynku i w tranzycie — dane wrażliwe muszą być szyfrowane algorytmem AES-256 na serwerach i podczas transmisji (TLS 1.3). Przetrzymywanie bazy danych medycznych na nieszyfrowanym dysku współdzielonym w sieci biurowej, dostępnym dla wszystkich pracowników, stanowi rażące naruszenie.
Kontrola dostępu oparta o role (RBAC) — tylko upoważnieni pracownicy mają dostęp do danych wrażliwych, a ich uprawnienia są regularnie przeglądane i odbierane po ustaniu potrzeby. System musi logować każdy dostęp i umożliwiać audyt.
Pseudonimizacja i anonimizacja — tam, gdzie identyfikacja konkretnej osoby nie jest konieczna do celu przetwarzania, dane wrażliwe należy oddzielić od identyfikatorów bezpośrednich. Baza z historią chorób podpięta pod losowe identyfikatory, z kluczem powiązania przechowywanym w osobnym, lepiej zabezpieczonym systemie — to praktyka rekomendowana przez Europejską Radę Ochrony Danych w wytycznych z marca 2026 roku.
Regularne testy penetracyjne i audyty bezpieczeństwa — firma przetwarzająca dane wrażliwe na dużą skalę powinna przeprowadzać audyty bezpieczeństwa nie rzadziej niż raz w roku. W 2026 roku certyfikacja ISO 27001 przestała być przewagą konkurencyjną, a stała się standardem oczekiwanym przez kontrahentów i ubezpieczycieli.
Polityka czystego biurka i czystego ekranu — dokumenty papierowe zawierające dane wrażliwe nie mogą pozostawać na biurkach po zakończeniu pracy. Ekrany komputerów z dostępem do danych wrażliwych muszą być automatycznie blokowane po 3 minutach bezczynności. Te proste środki organizacyjne są najczęściej pomijane, a jednocześnie najskuteczniej zapobiegają przypadkowym wyciekom.
Szkolenia pracowników — najsłabszym ogniwem zawsze jest człowiek. Pracownik, który wysyła skan orzeczenia o niepełnosprawności niezaszyfrowanym e-mailem do niewłaściwego odbiorcy, powoduje naruszenie, którego nie powstrzyma żaden firewall. Szkolenie z rozpoznawania danych wrażliwych i zasad ich ochrony powinno być przeprowadzane obligatoryjnie przy onboardingzie i odnawiane co 12 miesięcy.
Dane wrażliwe a dane zwykłe szczególnie chronione — gdzie przebiega granica
W praktyce najwięcej wątpliwości budzi rozróżnienie między danymi wrażliwymi a danymi zwykłymi o podwyższonym ryzyku. Poniższa tabela pokazuje kluczowe różnice prawne i praktyczne:
| Aspekt | Dane wrażliwe (art. 9 RODO) | Dane zwykłe z podwyższonym ryzykiem |
|---|---|---|
| Podstawa prawna | Zakaz + wyjątek z art. 9 ust. 2 | Standardowe podstawy z art. 6 RODO |
| Przykład | Dane medyczne, biometryczne, przekonania religijne | PESEL, numer dowodu osobistego, dane finansowe, adres |
| Obowiązek DPIA | Na dużą skalę — tak | Nie zawsze; zależy od skali, charakteru, nowych technologii |
| Obowiązek IOD | Na dużą skalę — tak | Tylko gdy wymagają tego przepisy szczególne lub charakter działalności |
| Zgłoszenie naruszenia | Prawie zawsze (wysokie ryzyko) | Zależy od oceny ryzyka |
| Sankcja za naruszenie | Do 20 mln EUR lub 4% obrotu | Do 20 mln EUR lub 4% obrotu (formalnie ten sam pułap, ale organy nakładają wyższe kary właśnie za dane wrażliwe) |
Dane finansowe (wynagrodzenia, historia transakcji, scoring kredytowy) nie są danymi wrażliwymi według RODO, ale ich wyciek niesie poważne konsekwencje. Firmy często błędnie klasyfikują je jako dane wrażliwe, co prowadzi do nadmiernej ostrożności w jednych obszarach, a niedostatecznej w innych. Prawidłowe podejście: stosować zaostrzone środki bezpieczeństwa do danych finansowych ze względu na wysokie ryzyko, ale nie mylić ich z danymi wrażliwymi, które wymagają dodatkowej przesłanki legalizacyjnej z art. 9.
Konsekwencje naruszenia ochrony danych wrażliwych — kary i odpowiedzialność
W 2026 roku Prezes UODO prowadzi średnio 340 postępowań rocznie dotyczących naruszeń ochrony danych osobowych, z czego około 40% dotyczy danych wrażliwych. Kształtują się następujące trendy orzecznicze:
Wysokość kar — mediana kary za naruszenie danych wrażliwych wynosi w Polsce 180 000 PLN, ale zdarzają się kary przekraczające milion złotych. W styczniu 2026 roku Prezes UODO nałożył karę 950 000 PLN na sieć przychodni medycznych za brak szyfrowania bazy danych pacjentów i nieprzeprowadzenie DPIA. Kara 1,2 mln PLN dotknęła w marcu 2026 roku platformę rekrutacyjną, która bez podstawy prawnej przetwarzała dane o stanie zdrowia kandydatów pobierane z ich profili w mediach społecznościowych.
Odpowiedzialność odszkodowawcza — niezależnie od kary administracyjnej, osoba, której dane wrażliwe wyciekły, może dochodzić odszkodowania na podstawie art. 82 RODO. W 2026 roku sądy polskie zasądzają odszkodowania w przedziale od 5 000 do 30 000 PLN za szkody niemajątkowe wynikające z naruszenia danych wrażliwych, nawet jeśli poszkodowany nie poniósł szkody materialnej.
Odpowiedzialność karna — polski Kodeks karny w art. 107a ustawy o ochronie danych osobowych penalizuje przetwarzanie danych wrażliwych niezgodnie z prawem. Grozi za to grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. W przypadku działania w celu osiągnięcia korzyści majątkowej, kara wzrasta do 3 lat.
Utrata reputacji i klientów — najdotkliwszą konsekwencją dla firmy często nie jest kara finansowa, lecz utrata zaufania. Badania rynku przeprowadzone w 2026 roku przez Grant Thornton pokazują, że 62% polskich konsumentów deklaruje rezygnację z usług firmy, która dopuściła do wycieku ich danych osobowych, a w przypadku danych wrażliwych odsetek ten rośnie do 78%.
Zgodność z RODO 2026 bez paraliżu firmy — 5 praktycznych kroków
Zamiast traktować RODO jako zestaw przeszkód, firma powinna wdrożyć systemowe podejście, które zapewni zgodność bez blokowania codziennych procesów:
Krok 1: Inwentaryzacja danych — przejdź przez wszystkie procesy w firmie i zidentyfikuj, gdzie pojawiają się dane wrażliwe. Sprawdź systemy HR, rekrutacyjne, benefitowe, BHP, monitoring, platformy szkoleniowe, ankiety pracownicze. Wszystko, co wyszukasz, trafia do rejestru czynności przetwarzania.
Krok 2: Legalizacja podstawy — dla każdego procesu, w którym zidentyfikowałeś dane wrażliwe, przypisz konkretną przesłankę z art. 9 ust. 2. Jeśli nie znajdujesz pasującej — usuń dane lub uzyskaj wyraźną zgodę osoby. Procesów opartych na domniemaniu albo „bo tak robią wszyscy" nie można dalej prowadzić.
Krok 3: DPIA tam, gdzie wymagana — jeśli skala przetwarzania danych wrażliwych jest duża, przeprowadź ocenę skutków. Nie kopiuj szablonów z internetu — każda DPIA musi opisywać twoje konkretne operacje, ryzyka i zabezpieczenia.
Krok 4: Wdrożenie zabezpieczeń — szyfrowanie, kontrola dostępu, pseudonimizacja. Kupuj narzędzia od sprawdzonych dostawców, którzy sami są zgodni z RODO i oferują wsparcie w zakresie data protection. Faktura VAT 23% za legalny, zgodny z RODO produkt od autoryzowanego partnera to wydatek, który zwraca się szybciej niż pierwsza kara UODO za naruszenie.
Krok 5: Audyt i dokumentacja — raz w roku sprawdzaj, czy rejestry, zgody, DPIA i zabezpieczenia są aktualne. Dokumentuj każdą decyzję: dlaczego nie przeprowadziłeś DPIA, dlaczego uznałeś skalę za małą, dlaczego nie powołałeś IOD. W razie kontroli UODO to właśnie ta dokumentacja odróżnia firmę, która świadomie zarządza ryzykiem, od firmy, która zaniedbała obowiązki.
Częste pytania
Czy PESEL jest daną wrażliwą w rozumieniu RODO?
Nie. Numer PESEL jest daną osobową zwykłą, ale ze względu na swój unikalny i trwały charakter wymaga szczególnej ochrony. Przetwarzanie PESEL musi mieć podstawę prawną z art. 6 RODO, ale nie wymaga spełnienia dodatkowych przesłanek z art. 9. W praktyce oznacza to, że firma może żądać PESEL tylko wtedy, gdy przepis szczególny to nakazuje (np. do faktury, umowy o pracę), a nie w każdym formularzu kontaktowym.
Czy zdjęcie pracownika jest daną biometryczną?
Nie każde zdjęcie jest daną biometryczną. Zdjęcie staje się daną biometryczną dopiero wtedy, gdy jest przetwarzane technicznymi metodami umożliwiającymi jednoznaczną identyfikację osoby — na przykład przez system rozpoznawania twarzy. Zwykłe zdjęcie w legitymacji służbowej, na stronie internetowej firmy czy w systemie kadrowym jest daną osobową zwykłą.
Czy sklep internetowy przetwarza dane wrażliwe, jeśli sprzedaje leki bez recepty?
Sam fakt sprzedaży leków nie oznacza przetwarzania danych wrażliwych — dane transakcyjne (imię, nazwisko, adres, lista zakupów) to dane zwykłe. Dane stają się wrażliwe, gdy sklep tworzy profil zdrowotny klienta na podstawie historii zakupów, np. klasyfikuje go jako osobę z nadciśnieniem, cukrzycą lub depresją. Jeśli system rekomendacji produktów wyciąga wnioski o stanie zdrowia na podstawie koszyka zakupowego, sklep przetwarza dane wrażliwe i musi spełnić wymogi art. 9.
Co zrobić, gdy omyłkowo otrzymałem CV z danymi wrażliwymi?
Niezwłocznie usuń dane wrażliwe z dokumentu przed jego dalszym przetwarzaniem. Jeśli nie możesz ich usunąć (np. są integralną częścią dokumentu), skontaktuj się z kandydatem, poinformuj o sytuacji i poproś o wyraźną zgodę na przetwarzanie. Jeśli zgody nie otrzymasz, usuń CV w całości. Udokumentuj cały proces — data otrzymania, podjęte działania, rezultat.
Czy dane o szczepieniu pracownika przeciw COVID-19 to dane wrażliwe?
Tak. Informacja o szczepieniu jest daną dotyczącą zdrowia w rozumieniu art. 9 ust. 1 RODO. W 2026 roku — po zakończeniu stanu zagrożenia epidemicznego — nie istnieje już podstawa ustawowa do żądania od pracowników informacji o szczepieniach. Pracodawca nie ma prawa pytać ani przetwarzać tych danych, chyba że pracownik wyrazi wyraźną zgodę. Zgoda taka w relacji pracowniczej jest jednak wątpliwa prawnie ze względu na nierównowagę stron.
Czy monitoring wizyjny w miejscu pracy to przetwarzanie danych wrażliwych?
Standardowy monitoring wizyjny — bez funkcji rozpoznawania twarzy, analizy zachowań czy identyfikacji cech szczególnych — nie przetwarza danych wrażliwych, ponieważ nie służy jednoznacznej identyfikacji na podstawie danych biometrycznych. W momencie dodania funkcji biometrycznej — nawet tylko do otwierania drzwi — monitoring wkracza w reżim art. 9 i wymaga spełnienia dodatkowych przesłanek.
Jaka jest różnica między danymi wrażliwymi a danymi szczególnej kategorii?
To synonimy. RODO w art. 9 używa sformułowania „szczególne kategorie danych osobowych". Polska praktyka prawnicza i stanowiska UODO częściej posługują się terminem „dane wrażliwe" (sensitive data). Oba określenia oznaczają dokładnie ten sam zamknięty katalog kategorii z art. 9 ust. 1.
Czy system benefitów pracowniczych oferujący ubezpieczenie na życie dla partnera przetwarza dane wrażliwe?
Jeśli pracownik podaje dane partnera życiowego, aby objąć go ubezpieczeniem, system może pośrednio ujawniać orientację seksualną pracownika. To klasyczny przykład przetwarzania danych wrażliwych, o którym firmy często zapominają. Podstawą prawną może być tu zgoda wyraźna pracownika — ale musi być ona rzeczywiście wyraźna, odrębna od zgody na samo przetwarzanie danych zwykłych, i odpowiednio udokumentowana.
Czy mogę przetwarzać dane wrażliwe w arkuszu Excel na OneDrive?
Tak, pod warunkiem że OneDrive i Microsoft 365 są skonfigurowane zgodnie z RODO. Sam arkusz Excel nie stanowi naruszenia — naruszeniem jest brak szyfrowania, brak kontroli dostępu, brak logów, udostępnianie pliku osobom nieupoważnionym. Jeśli używasz planu Microsoft 365 z zaawansowanymi funkcjami ochrony danych, takimi jak Azure Information Protection, Microsoft Purview czy Microsoft Defender for Cloud Apps, możesz bezpiecznie przetwarzać dane wrażliwe w chmurze. Warto przy tym wybrać plan obejmujący pełne szyfrowanie i polityki DLP. Więcej informacji o planach i kluczach Microsoft 365 znajdziesz na stronie KluczeSoft.pl — z fakturą VAT 23% i natychmiastową dostawą klucza.
Czy jeden nieprawidłowo zabezpieczony plik z danymi wrażliwymi oznacza karę UODO?
Nie automatycznie. Prezes UODO bierze pod uwagę charakter i wagę naruszenia, czas jego trwania, liczbę poszkodowanych, stopień zawinienia administratora, podjęte środki zaradcze i współpracę z organem. Pojedynczy incydent, szybko wykryty, zgłoszony w ciągu 72 godzin i naprawiony, z reguły kończy się upomnieniem, a nie karą finansową. Systemowe zaniedbania — brak szyfrowania, brak DPIA, brak IOD, ignorowanie wytycznych — to ścieżka do milionowych kar.
Sprawdź też
Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.