Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Bezpieczeństwo
Bezpieczeństwo

Art. 9 ust. 1 RODO — poradnik praktyczny 2026

Art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 — znanego powszechnie jako RODO — ustanawia generalny zakaz przetwarzania szczególnyc

17 min czytania·Zaktualizowano dzisiaj

Czym jest art. 9 ust. 1 RODO i dlaczego ma znaczenie w 2026 roku

Art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 — znanego powszechnie jako RODO — ustanawia generalny zakaz przetwarzania szczególnych kategorii danych osobowych. Są to dane, które ze swojej natury są szczególnie wrażliwe i których nieuprawnione ujawnienie lub wykorzystanie może prowadzić do poważnych konsekwencji dla osób fizycznych. Przepis ten brzmi jednoznacznie: zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także danych genetycznych, biometrycznych przetwarzanych w celu jednoznacznej identyfikacji osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej.

W 2026 roku ten przepis nabrał szczególnego znaczenia. Po pierwsze, organy nadzorcze — w Polsce Prezes Urzędu Ochrony Danych Osobowych — prowadzą coraz intensywniejsze kontrole i nakładają dotkliwe kary administracyjne. W latach 2024–2025 odnotowano wzrost liczby postępowań związanych z naruszeniem art. 9 RODO o ponad 40% w skali Unii Europejskiej. Po drugie, rozwój technologii, w szczególności sztucznej inteligencji i systemów biometrycznych, sprawia, że granica między legalnym przetwarzaniem a naruszeniem art. 9 ust. 1 staje się coraz cieńsza. Każdy administrator danych — od małej przychodni medycznej po dużą korporację korzystającą z narzędzi AI — musi dziś rozumieć, gdzie przebiega ta granica i jak uniknąć jej przekroczenia.

Warto też pamiętać, że naruszenie art. 9 ust. 1 RODO podlega administracyjnej karze pieniężnej w wysokości do 20 milionów euro, a w przypadku przedsiębiorstwa — do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. To najwyższy wymiar sankcji przewidziany w rozporządzeniu, co podkreśla wagę, jaką prawodawca europejski przywiązuje do ochrony danych wrażliwych.

Zakres danych wrażliwych objętych zakazem

Katalog szczególnych kategorii danych wymienionych w art. 9 ust. 1 RODO jest zamknięty, ale jednocześnie niezwykle szeroki. Obejmuje on dane, które w praktyce biznesowej pojawiają się znacznie częściej, niż mogłoby się wydawać. Pracodawca, który pyta kandydata o przynależność związkową, przychodnia rejestrująca pacjenta bez odpowiedniej podstawy prawnej, aplikacja fitness zbierająca dane o tętnie bez wyraźnej zgody — wszystkie te sytuacje dotykają bezpośrednio art. 9 RODO.

Dane dotyczące zdrowia to kategoria, która w 2026 roku sprawia najwięcej problemów. Definicja tych danych jest bardzo szeroka i obejmuje wszelkie informacje o stanie zdrowia fizycznego i psychicznego osoby, w tym o korzystaniu z usług opieki zdrowotnej. Co istotne, Europejska Rada Ochrony Danych konsekwentnie podkreśla, że do danych o zdrowiu zalicza się również informacje pozornie neutralne, jeśli można z nich wywnioskować coś o stanie zdrowia — na przykład informację o diecie, częstotliwości wizyt w siłowni czy zakupie określonych leków.

Dane biometryczne przetwarzane w celu jednoznacznej identyfikacji osoby fizycznej to kolejna kategoria, która w erze powszechnego stosowania czytników linii papilarnych, skanerów twarzy i systemów rozpoznawania głosu stała się codziennym wyzwaniem. Warto podkreślić kluczowe rozróżnienie: nie każde przetwarzanie danych biometrycznych podlega art. 9 RODO — jedynie takie, które służy jednoznacznej identyfikacji. Zdjęcie zamieszczone na legitymacji pracowniczej, które nie jest poddawane obróbce biometrycznej, pozostaje poza zakresem tego przepisu. Jednak już system kontroli dostępu oparty na skanowaniu odcisku palca z pewnością wymaga spełnienia warunków art. 9 ust. 2.

Dane genetyczne z kolei stały się gorącym tematem w kontekście rosnącej popularności komercyjnych testów DNA i aplikacji analizujących predyspozycje zdrowotne. Każda firma oferująca tego typu usługi na terenie Unii Europejskiej musi wykazać się podstawą prawną z art. 9 ust. 2, a praktyka Prezesa UODO z ostatnich lat pokazuje, że organ ten szczególnie wnikliwie bada właśnie sektor badań genetycznych.

Wyjątki od zakazu — kiedy można legalnie przetwarzać dane wrażliwe

Art. 9 ust. 2 RODO przewiduje dziesięć wyjątków od generalnego zakazu. To właśnie one stanowią praktyczny rdzeń przepisu, ponieważ w rzeczywistości niemal każda organizacja, która przetwarza dane wrażliwe, musi oprzeć się na jednym z tych wyjątków. Poniżej omawiam najważniejsze z nich w kontekście 2026 roku.

Wyraźna zgoda osoby, której dane dotyczą (art. 9 ust. 2 lit. a), to najczęściej wybierana, ale też najbardziej ryzykowna podstawa. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. W 2026 roku organy nadzorcze szczególnie rygorystycznie podchodzą do dobrowolności zgody w relacji pracodawca–pracownik. Prezes UODO w jednym ze swoich niedawnych stanowisk podkreślił, że zgoda pracownika na przetwarzanie danych biometrycznych w celu ewidencji czasu pracy jest co do zasady nieskuteczna ze względu na nierównowagę stron — chyba że pracodawca zapewni alternatywną, równie wygodną metodę ewidencji, która nie wymaga przetwarzania danych wrażliwych.

Niezbędność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej (art. 9 ust. 2 lit. b) to wyjątek często stosowany przez działy kadr. Pracodawca może przetwarzać dane o stanie zdrowia pracownika, jeśli wynika to wprost z przepisów prawa pracy — na przykład przy kierowaniu na badania profilaktyczne czy przy prowadzeniu rejestru wypadków przy pracy. Kluczowe jest jednak, aby przetwarzanie było rzeczywiście niezbędne i wynikało z konkretnego przepisu prawa, a nie jedynie z wewnętrznej polityki pracodawcy.

Ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (art. 9 ust. 2 lit. c) ma zastosowanie w sytuacjach nadzwyczajnych, gdy osoba jest fizycznie lub prawnie niezdolna do wyrażenia zgody. Ten wyjątek znalazł szersze zastosowanie w czasie pandemii COVID-19, jednak po 2023 roku jego interpretacja wróciła do wąskiego zakresu. Dziś stosuje się go głównie w nagłych wypadkach medycznych.

Przetwarzanie w ramach uprawnionej działalności fundacji, stowarzyszeń lub innych organizacji non-profit (art. 9 ust. 2 lit. d) pozwala partiom politycznym, związkom zawodowym i organizacjom wyznaniowym na przetwarzanie danych swoich członków, pod warunkiem odpowiednich zabezpieczeń i braku udostępniania danych poza organizację.

Szczególnie warto zwrócić uwagę na art. 9 ust. 2 lit. g, dotyczący przetwarzania ze względu na ważny interes publiczny, oraz lit. h, dotyczący przetwarzania w celach medycznych. Te dwa wyjątki są fundamentem funkcjonowania systemu ochrony zdrowia i administracji publicznej, ale również wymagają spełnienia dodatkowych warunków określonych w prawie krajowym. W Polsce kluczowe znaczenie ma tu ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, która w art. 13–24 doprecyzowuje zasady przetwarzania danych wrażliwych przez podmioty publiczne. W 2025 roku weszła w życie nowelizacja tej ustawy, która między innymi rozszerzyła obowiązki dokumentacyjne przy przetwarzaniu danych wrażliwych w jednostkach samorządu terytorialnego — warto, aby administratorzy z sektora publicznego zweryfikowali, czy ich procedury są zgodne z nowymi wymogami.

Praktyczne konsekwencje dla biznesu — co musisz wdrożyć

Przetwarzanie danych wrażliwych w organizacji pociąga za sobą nie tylko konieczność wskazania właściwej podstawy prawnej, ale również szereg dodatkowych obowiązków organizacyjnych i technicznych. W 2026 roku można już mówić o ukształtowanej praktyce organów nadzorczych, która precyzyjnie wskazuje, czego oczekują od administratorów.

Pierwszym i najważniejszym wymogiem jest przeprowadzenie oceny skutków dla ochrony danych (DPIA — Data Protection Impact Assessment). Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych, przetwarzanie danych wrażliwych na dużą skalę automatycznie uruchamia obowiązek sporządzenia DPIA. Co oznacza “duża skala”? EROD wskazuje tu kilka kryteriów: liczbę osób, których dane są przetwarzane, zakres danych, okres przetwarzania oraz geograficzny zasięg przetwarzania. Przykładowo, szpital przetwarzający dokumentację medyczną tysięcy pacjentów z pewnością mieści się w tej kategorii; mały gabinet stomatologiczny z kartoteką kilkuset pacjentów może, ale nie musi, w zależności od szczegółowej analizy.

Drugim filarem jest wdrożenie odpowiednich środków technicznych i organizacyjnych. Dla danych wrażliwych standardy bezpieczeństwa muszą być wyższe niż dla zwykłych danych osobowych. Szyfrowanie danych w spoczynku i w tranzycie, pseudonimizacja, rygorystyczna kontrola dostępu oparta na rolach, rejestrowanie każdego przypadku dostępu do danych — to minimum, które organy nadzorcze uznają za niezbędne. Warto też rozważyć rozwiązania techniczne ułatwiające zarządzanie zgodami i wycofywaniem zgód, zwłaszcza jeśli zgoda jest podstawą przetwarzania.

Trzecim obszarem jest dokumentacja. Administrator musi być w stanie wykazać — nie tylko deklarować — że spełnia wszystkie warunki art. 9 RODO. Oznacza to prowadzenie rejestru czynności przetwarzania ze szczególnym uwzględnieniem danych wrażliwych, przechowywanie dowodów udzielenia zgody, dokumentowanie analiz prawnych uzasadniających wybór podstawy przetwarzania oraz protokołowanie wszelkich incydentów bezpieczeństwa. Prezes UODO w postępowaniach kontrolnych regularnie żąda właśnie tych dokumentów, a ich brak lub niekompletność stanowią samoistną podstawę do nałożenia kary.

Nie można też zapomnieć o obowiązku wyznaczenia inspektora ochrony danych (IOD). Przetwarzanie danych wrażliwych na dużą skalę jest jedną z przesłanek obligatoryjnego powołania IOD. W 2026 roku na rynku pracy coraz trudniej o doświadczonych inspektorów, co skłania wiele organizacji do poszukiwania zewnętrznych usług outsourcingu IOD. Niezależnie od formy, kluczowe jest, aby IOD był realnie zaangażowany w procesy decyzyjne dotyczące danych wrażliwych — organy nadzorcze nie akceptują powołania inspektora jedynie formalnego.

Art. 9 RODO a nowe technologie — AI, biometria i monitoring

Rok 2026 przyniósł dynamiczny rozwój technologii, które bezpośrednio ingerują w sferę danych wrażliwych. Sztuczna inteligencja, a zwłaszcza modele generatywne i systemy uczenia maszynowego, coraz częściej przetwarzają dane, które pośrednio lub bezpośrednio ujawniają wrażliwe informacje o osobach fizycznych.

Największym wyzwaniem jest zjawisko inferencji — wyciągania wniosków o danych wrażliwych z danych neutralnych. Europejska Rada Ochrony Danych w swoich wytycznych z 2024 roku potwierdziła, że dane wywnioskowane, które ujawniają informacje o stanie zdrowia, poglądach politycznych czy orientacji seksualnej, podlegają ochronie art. 9 RODO, nawet jeśli same dane źródłowe nie były danymi wrażliwymi. Dla twórców systemów AI oznacza to obowiązek analizy nie tylko danych treningowych, ale również tego, co model może wywnioskować o użytkownikach.

AI Act, który w 2025 roku wszedł w pełni w życie i ma swoje okresy przejściowe rozłożone do 2027 roku, wprowadził dodatkowe obowiązki nakładające się na reżim RODO. Systemy biometrycznej kategoryzacji osób na podstawie danych wrażliwych co do zasady są zakazane, a systemy AI wysokiego ryzyka wykorzystujące dane wrażliwe muszą spełniać rygorystyczne wymogi dotyczące zarządzania danymi, transparentności i nadzoru ludzkiego.

Monitoring wizyjny to kolejny obszar, w którym art. 9 RODO znajduje zastosowanie. Coraz więcej firm wdraża inteligentne systemy monitoringu, które nie tylko rejestrują obraz, ale także analizują zachowanie, rozpoznają emocje czy identyfikują konkretne osoby. Każda taka funkcjonalność, która sięga do analizy danych biometrycznych, wymaga spełnienia warunków art. 9 ust. 2. W Polsce w 2025 roku Prezes UODO wydał kilka decyzji dotyczących nielegalnego stosowania monitoringu biometrycznego w miejscach publicznych i w zakładach pracy, nakładając kary o łącznej wartości przekraczającej 3 miliony złotych.

Praktyczna rada dla organizacji planujących wdrożenie nowych technologii: przed zakupem jakiegokolwiek systemu AI czy biometrycznego należy przeprowadzić wstępną analizę ryzyka pod kątem art. 9 RODO. Zbyt często firmy nabywają zaawansowane narzędzia, a dopiero IOD na etapie wdrożenia odkrywa, że ich legalne uruchomienie jest praktycznie niemożliwe bez gruntownej przebudowy procesów i gromadzenia dodatkowych zgód.

Konsekwencje naruszenia art. 9 ust. 1 RODO — kary i odpowiedzialność

Sankcje za naruszenie art. 9 ust. 1 RODO należą do najsurowszych przewidzianych w całym rozporządzeniu. Administracyjna kara pieniężna może sięgnąć 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa — w zależności od tego, która kwota jest wyższa. W praktyce oznacza to, że dla międzynarodowych korporacji kary mogą iść w setki milionów euro.

Polski organ nadzorczy aktywnie korzysta ze swoich uprawnień. W 2025 roku Prezes UODO nałożył kilkanaście kar za naruszenia związane z danymi wrażliwymi, a najwyższa z nich przekroczyła 2,7 miliona złotych i dotyczyła nielegalnego przetwarzania danych o stanie zdrowia pracowników przez dużą sieć handlową. To pokazuje, że organy nie ograniczają się do upomnień — sięgają po realne, dotkliwe sankcje.

Należy jednak pamiętać, że kara administracyjna to nie jedyna konsekwencja. Osoba, której dane zostały naruszone, ma prawo dochodzić odszkodowania na drodze cywilnej za poniesioną szkodę majątkową lub krzywdę niemajątkową. Roszczenia zbiorowe stają się w Europie coraz popularniejsze, a sądy coraz śmielej przyznają odszkodowania za naruszenia RODO. Co więcej, naruszenie art. 9 RODO może skutkować odpowiedzialnością karną, jeśli towarzyszy mu działanie umyślne — art. 107 ustawy o ochronie danych osobowych przewiduje za to karę grzywny, ograniczenia wolności albo pozbawienia wolności do lat trzech, na przykład za nielegalne udostępnienie danych wrażliwych osobom nieuprawnionym.

Istotną konsekwencją, często niedocenianą przez przedsiębiorców, jest również ryzyko reputacyjne. Wyciek danych wrażliwych, nawet jeśli nie zakończy się dotkliwą karą finansową, może zniszczyć zaufanie klientów i doprowadzić do utraty kontraktów, zwłaszcza w sektorach regulowanych, gdzie bezpieczeństwo danych jest warunkiem kontraktowym.

Najczęstsze błędy przy wdrażaniu art. 9 RODO

Wieloletnie kontrole i postępowania organów nadzorczych ujawniły powtarzające się schematy błędów popełnianych przez administratorów. Ich znajomość pozwala uniknąć kosztownych pomyłek.

Błąd pierwszy: przekonanie, że zgoda rozwiązuje wszystko. Administratorzy często traktują wyraźną zgodę jako uniwersalny wytrych, nie analizując, czy w danej sytuacji może być ona rzeczywiście dobrowolna i skuteczna. Zgoda pracownika na przetwarzanie danych wrażliwych jest niemal zawsze nieskuteczna, podobnie jak zgoda osoby, która nie ma realnej alternatywy wobec usługi.

Błąd drugi: brak świadomości, że dane są danymi wrażliwymi. Wiele organizacji gromadzi dane o stanie zdrowia (na przykład informacje o diecie, alergiach, schorzeniach przewlekłych) w zwykłych formularzach marketingowych czy ankietach satysfakcji, nie zdając sobie sprawy, że podlega to reżimowi art. 9 RODO. Adnotacja o alergii pokarmowej przy rejestracji na firmowe szkolenie to już przetwarzanie danych wrażliwych, wymagające odpowiedniej podstawy i zabezpieczeń.

Błąd trzeci: przetwarzanie na wyrost. Administratorzy zbierają więcej danych wrażliwych, niż jest to potrzebne do celu — na przykład żądając szczegółowej dokumentacji medycznej przy zwolnieniu lekarskim, podczas gdy pracodawcy przysługuje jedynie informacja o niezdolności do pracy i jej przewidywanym czasie trwania.

Błąd czwarty: niedostateczne zabezpieczenia techniczne. Przechowywanie danych wrażliwych w niezaszyfrowanych plikach, przesyłanie ich zwykłym e-mailem, udostępnianie szerokiemu gronu pracowników “na wszelki wypadek” — to wszystko stanowi naruszenie zasady integralności i poufności.

Błąd piąty: ignorowanie obowiązku DPIA. Wiele mniejszych organizacji nie zdaje sobie sprawy, że przetwarzanie danych wrażliwych — nawet na stosunkowo niewielką skalę — może wymagać przeprowadzenia oceny skutków, zwłaszcza gdy dotyczy osób szczególnie podatnych na zagrożenia, takich jak dzieci, pacjenci czy pracownicy.

Art. 9 RODO w sektorze publicznym i ochronie zdrowia

Sektor publiczny i ochrona zdrowia to obszary, w których przetwarzanie danych wrażliwych jest codziennością i nieodłącznym elementem działalności. Paradoksalnie, właśnie tu występuje najwięcej złożonych problemów interpretacyjnych.

Podmioty publiczne — urzędy gmin, starostwa, jednostki organizacyjne samorządu — opierają swoje przetwarzanie danych wrażliwych przede wszystkim na przesłance ważnego interesu publicznego (art. 9 ust. 2 lit. g). Przepis ten wymaga jednak wyraźnej podstawy w prawie Unii lub prawie państwa członkowskiego oraz proporcjonalności przetwarzania. W praktyce oznacza to, że urząd nie może powoływać się na interes publiczny w sposób blankietowy — musi wskazać konkretny przepis prawa materialnego, który nakłada na niego obowiązek lub upoważnia go do przetwarzania danych wrażliwych. W 2025 roku Naczelny Sąd Administracyjny wydał wyrok, w którym jednoznacznie stwierdził, że ogólne przepisy kompetencyjne nie są wystarczającą podstawą do przetwarzania danych sensytywnych — potrzebny jest przepis szczególny.

W ochronie zdrowia kluczowe znaczenie ma ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta oraz ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Te akty prawne doprecyzowują, kto i w jakim zakresie może przetwarzać dokumentację medyczną, jak długo należy ją przechowywać i w jaki sposób udostępniać. W 2026 roku trwają prace nad dalszą nowelizacją przepisów o dokumentacji medycznej w kierunku jej pełnej cyfryzacji, co stworzy nowe wyzwania w zakresie zabezpieczenia danych i kontroli dostępu.

Ważnym zagadnieniem jest też przetwarzanie danych wrażliwych w badaniach naukowych (art. 9 ust. 2 lit. j). Uniwersytety, instytuty badawcze i firmy farmaceutyczne muszą stosować dodatkowe zabezpieczenia — pseudonimizację, ograniczenie dostępu, a przede wszystkim uzyskać pozytywną opinię komisji etycznej, która jest warunkiem sine qua non legalności badania z udziałem ludzi.

Częste pytania

Czy każda informacja o stanie zdrowia pracownika to dane wrażliwe?

Tak. Wszelkie dane dotyczące zdrowia fizycznego lub psychicznego — od zaświadczenia lekarskiego, przez informację o alergii, po adnotację o ciąży pracownicy — są danymi wrażliwymi w rozumieniu art. 9 ust. 1 RODO. Pracodawca może je przetwarzać wyłącznie wtedy, gdy ma ku temu wyraźną podstawę prawną, na przykład obowiązek wynikający z Kodeksu pracy.

Czy mogę przetwarzać dane wrażliwe za zgodą pracownika?

Teoretycznie tak, ale w praktyce zgoda w stosunkach pracy jest uznawana za nieskuteczną ze względu na nierównowagę sił między pracodawcą a pracownikiem. Prezes UODO i Europejska Rada Ochrony Danych stoją na stanowisku, że zgoda pracownika na przetwarzanie danych wrażliwych może być uznana za dobrowolną jedynie w wyjątkowych okolicznościach, gdy odmowa zgody nie wiąże się z żadnymi negatywnymi konsekwencjami.

Czy zdjęcie w aktach osobowych to dane biometryczne podlegające art. 9?

Nie każde zdjęcie jest danymi biometrycznymi w rozumieniu art. 9 RODO. Staje się nimi dopiero wtedy, gdy jest przetwarzane specjalnymi metodami technicznymi umożliwiającymi jednoznaczną identyfikację osoby — na przykład w systemie automatycznego rozpoznawania twarzy. Zwykłe zdjęcie w aktach osobowych nie jest danymi biometrycznymi podlegającymi art. 9, choć nadal pozostaje daną osobową podlegającą ogólnym zasadom RODO.

Jakie kary grożą za naruszenie art. 9 RODO w małej firmie?

Skala kary nie zależy od wielkości firmy, ale od charakteru i wagi naruszenia. Dla małych przedsiębiorstw górny pułap 4% rocznego obrotu może oznaczać niższą kwotę nominalną, ale proporcjonalnie równie dotkliwą sankcję. Ponadto małe firmy często nie mają zasobów, aby pokryć nawet kilkudziesięciotysięczną karę, nie mówiąc już o kosztach obsługi prawnej i odszkodowaniach cywilnych.

Czy dane o przynależności związkowej można przetwarzać bez zgody?

Tak, ale tylko w zakresie, w jakim jest to niezbędne do realizacji obowiązków pracodawcy wynikających z prawa pracy i układów zbiorowych. Typowym przykładem jest potrącanie składek związkowych z wynagrodzenia pracownika — tu podstawą jest art. 9 ust. 2 lit. b RODO w związku z przepisami Kodeksu pracy. Pracodawca nie może jednak gromadzić danych o przynależności związkowej “na zapas” lub wykorzystywać ich do celów innych niż ściśle ustawowe.

Co zrobić, gdy odkryję, że nielegalnie przetwarzam dane wrażliwe?

Należy niezwłocznie zaprzestać przetwarzania, zabezpieczyć dane przed dalszym dostępem, przeprowadzić analizę ryzyka naruszenia i rozważyć, czy konieczne jest zgłoszenie incydentu do Prezesa UODO (w ciągu 72 godzin). Jeśli naruszenie może skutkować wysokim ryzykiem dla praw i wolności osób, należy również zawiadomić te osoby. Następnie trzeba usunąć dane lub — jeśli jest to niemożliwe — znaleźć dla nich legalną podstawę przetwarzania.

Czy systemy AI mogą legalnie przetwarzać dane wrażliwe?

Tak, ale wyłącznie po spełnieniu rygorystycznych warunków. Konieczne jest wskazanie konkretnej podstawy z art. 9 ust. 2 RODO, przeprowadzenie DPIA, wdrożenie odpowiednich zabezpieczeń i zapewnienie transparentności. Szczególnie istotne jest unikanie sytuacji, w których AI wywnioskowuje dane wrażliwe z danych neutralnych bez wyraźnej podstawy prawnej — takie działanie jest nielegalne.

Czy obowiązek DPIA dotyczy każdego przypadku przetwarzania danych wrażliwych?

Nie, ale dotyczy większości przypadków, które mają praktyczne znaczenie biznesowe. Obowiązek oceny skutków powstaje, gdy przetwarzanie — ze względu na swój charakter, zakres, kontekst i cele — może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Przetwarzanie danych wrażliwych na dużą skalę automatycznie uznaje się za obarczone takim ryzykiem. Drobne, incydentalne przypadki przetwarzania (na przykład przechowywanie jednego zaświadczenia lekarskiego) mogą nie wymagać pełnej DPIA, ale zawsze warto to udokumentować.

Jak długo można przechowywać dane wrażliwe?

Zgodnie z ogólną zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO) dane wrażliwe można przechowywać tylko tak długo, jak jest to niezbędne do celów, w których zostały zebrane. Dla dokumentacji medycznej przepisy szczególne — ustawa o prawach pacjenta — określają okres 20 lat (z wyjątkami). Dla innych kategorii danych wrażliwych brak jest sztywnych terminów ustawowych, co oznacza, że administrator musi samodzielnie określić proporcjonalny okres retencji i go udokumentować.

Czy przesyłanie zaświadczenia lekarskiego mailem jest zgodne z art. 9 RODO?

Nie jest to rekomendowana praktyka. Zwykły e-mail bez szyfrowania nie zapewnia odpowiedniego poziomu bezpieczeństwa dla danych wrażliwych. Jeśli pracownik decyduje się przesłać zaświadczenie lekarskie mailem, czyni to na własną odpowiedzialność. Pracodawca powinien zapewnić bezpieczny kanał komunikacji — na przykład szyfrowaną platformę do wymiany dokumentów lub dedykowany system kadrowy z odpowiednimi zabezpieczeniami.

Praktyczne wdrożenie wszystkich wymogów art. 9 RODO bywa złożone i czasochłonne, zwłaszcza dla organizacji bez własnego inspektora ochrony danych. W KluczeSoft oferujemy dedykowany system zarządzania zgodnościami RODO, który automatyzuje kluczowe procesy — od rejestracji zgód, przez prowadzenie rejestru czynności przetwarzania, aż po monitorowanie terminów retencji danych wrażliwych. Dzięki temu administrator może skupić się na swojej podstawowej działalności, mając pewność, że kwestie zgodności z art. 9 RODO są pod kontrolą.

Sprawdź też

Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

Tak. Wszelkie dane dotyczące zdrowia fizycznego lub psychicznego — od zaświadczenia lekarskiego, przez informację o alergii, po adnotację o ciąży pracownicy — są danymi wrażliwymi w rozumieniu art. 9 ust. 1 RODO. Pracodawca może je przetwarzać wyłącznie wtedy, gdy ma ku temu wyraźną podstawę prawną, na przykład obowiązek wynikający z Kodeksu pracy.
Teoretycznie tak, ale w praktyce zgoda w stosunkach pracy jest uznawana za nieskuteczną ze względu na nierównowagę sił między pracodawcą a pracownikiem. Prezes UODO i Europejska Rada Ochrony Danych stoją na stanowisku, że zgoda pracownika na przetwarzanie danych wrażliwych może być uznana za dobrowolną jedynie w wyjątkowych okolicznościach, gdy odmowa zgody nie wiąże się z żadnymi negatywnymi konsekwencjami.
Nie każde zdjęcie jest danymi biometrycznymi w rozumieniu art. 9 RODO. Staje się nimi dopiero wtedy, gdy jest przetwarzane specjalnymi metodami technicznymi umożliwiającymi jednoznaczną identyfikację osoby — na przykład w systemie automatycznego rozpoznawania twarzy. Zwykłe zdjęcie w aktach osobowych nie jest danymi biometrycznymi podlegającymi art. 9, choć nadal pozostaje daną osobową podlegającą ogólnym zasadom RODO.
Skala kary nie zależy od wielkości firmy, ale od charakteru i wagi naruszenia. Dla małych przedsiębiorstw górny pułap 4% rocznego obrotu może oznaczać niższą kwotę nominalną, ale proporcjonalnie równie dotkliwą sankcję. Ponadto małe firmy często nie mają zasobów, aby pokryć nawet kilkudziesięciotysięczną karę, nie mówiąc już o kosztach obsługi prawnej i odszkodowaniach cywilnych.
Tak, ale tylko w zakresie, w jakim jest to niezbędne do realizacji obowiązków pracodawcy wynikających z prawa pracy i układów zbiorowych. Typowym przykładem jest potrącanie składek związkowych z wynagrodzenia pracownika — tu podstawą jest art. 9 ust. 2 lit. b RODO w związku z przepisami Kodeksu pracy. Pracodawca nie może jednak gromadzić danych o przynależności związkowej “na zapas” lub wykorzystywać ich do celów innych niż ściśle ustawowe.
Należy niezwłocznie zaprzestać przetwarzania, zabezpieczyć dane przed dalszym dostępem, przeprowadzić analizę ryzyka naruszenia i rozważyć, czy konieczne jest zgłoszenie incydentu do Prezesa UODO (w ciągu 72 godzin). Jeśli naruszenie może skutkować wysokim ryzykiem dla praw i wolności osób, należy również zawiadomić te osoby. Następnie trzeba usunąć dane lub — jeśli jest to niemożliwe — znaleźć dla nich legalną podstawę przetwarzania.
Tak, ale wyłącznie po spełnieniu rygorystycznych warunków. Konieczne jest wskazanie konkretnej podstawy z art. 9 ust. 2 RODO, przeprowadzenie DPIA, wdrożenie odpowiednich zabezpieczeń i zapewnienie transparentności. Szczególnie istotne jest unikanie sytuacji, w których AI wywnioskowuje dane wrażliwe z danych neutralnych bez wyraźnej podstawy prawnej — takie działanie jest nielegalne.
Nie, ale dotyczy większości przypadków, które mają praktyczne znaczenie biznesowe. Obowiązek oceny skutków powstaje, gdy przetwarzanie — ze względu na swój charakter, zakres, kontekst i cele — może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Przetwarzanie danych wrażliwych na dużą skalę automatycznie uznaje się za obarczone takim ryzykiem. Drobne, incydentalne przypadki przetwarzania (na przykład przechowywanie jednego zaświadczenia lekarskiego) mogą nie wymagać pełnej DPIA, ale zawsze warto to udokumentować.
Zgodnie z ogólną zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO) dane wrażliwe można przechowywać tylko tak długo, jak jest to niezbędne do celów, w których zostały zebrane. Dla dokumentacji medycznej przepisy szczególne — ustawa o prawach pacjenta — określają okres 20 lat (z wyjątkami). Dla innych kategorii danych wrażliwych brak jest sztywnych terminów ustawowych, co oznacza, że administrator musi samodzielnie określić proporcjonalny okres retencji i go udokumentować.
Nie jest to rekomendowana praktyka. Zwykły e-mail bez szyfrowania nie zapewnia odpowiedniego poziomu bezpieczeństwa dla danych wrażliwych. Jeśli pracownik decyduje się przesłać zaświadczenie lekarskie mailem, czyni to na własną odpowiedzialność. Pracodawca powinien zapewnić bezpieczny kanał komunikacji — na przykład szyfrowaną platformę do wymiany dokumentów lub dedykowany system kadrowy z odpowiednimi zabezpieczeniami. --- Praktyczne wdrożenie wszystkich wymogów art. 9 RODO bywa złożone i czasochłonne, zwłaszcza dla organizacji bez własnego inspektora ochrony danych. W KluczeSoft oferujemy dedykowany system zarządzania zgodnościami RODO, który automatyzuje kluczowe procesy — od rejestracji

Czy ten artykuł był pomocny?