Dane osobowe przetwarzane przez podmioty świadczące usługi SPA & Wellness - cz. I

Prawne ramy obrotu danymi osobowymi oraz reguły, jakie należy stosować przy przetwarzaniu danych osobowych określa ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych[1]. O ile przepisy regulujące przedmiotową materię obowiązują w polskim systemie prawnym od 1998 roku, to niezmiennie kwestia ochrony danych osobowych budzi wśród przedsiębiorców wiele wątpliwości. Wdrożeniu zasad prawidłowego przetwarzania danych osobowych nie sprzyja złożoność zagadnienia, częste nowelizacje przepisów, a także niewielka liczba pełnomocników specjalizujących się w tej materii. Tymczasem konsekwencje niezachowania właściwych zasad ochrony danych osobowych mogą być bardzo dotkliwe, nie tylko z punktu widzenia renomy przedsiębiorstwa, ale przede wszystkim z uwagi na grożące przedsiębiorcy sankcje finansowe oraz karne. Wprowadzenie stosownych procedur oraz zapewnienie zgodnego z prawem przetwarzania danych osobowych jest szczególnie istotne w dynamicznie rozwijającej się branży Beauty. Obiekty SPA & Wellness stanowią osobliwą grupę przedsiębiorstw, w których oprócz danych osobowych pracowników czy kontrahentów przetwarzane są dane osobowe gości korzystających z usług tego typu obiektów.

Wyjaśnienia wymaga, jakiego rodzaju informacje stanowią dane osobowe. Na definicję tego terminu wskazują wprost przepisy ustawy o ochronie danych osobowych. Zgodnie z ustawową definicją, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 ustawy). Ponadto w myśl ustawy osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Natomiast do czynników określających cechy osoby należy zaliczyć takie elementy jak wizerunek osoby, właściwości jej ciała, status majątkowy, poglądy polityczne, a nawet grupę krwi, kod genetyczny czy linie papilarne. Posłużenie się przez ustawodawcę sformułowaniem ,,wszelkie informacje” uznać należy za celowy zabieg, objęcia ochroną nie tylko informacji, które występując samodzielnie pozwalają na określenie tożsamości osoby, ale również takich które dopiero w zestawieniu z innymi danym pozwalają na jej identyfikację.

Jednocześnie, jak wskazuje ustawa, informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 ustawy). Wobec powyższego daną osobową jest taka informacja, która pozwala na ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł[2]. Ponadto warto podkreślić, że ustawę stosuje się tylko do danych, obejmujących informacje dotyczące osób fizycznych. Tym samym informacje dotyczące podmiotów innych niż osoby fizyczne, a więc osób prawnych i innych jednostek organizacyjnych nie podlegają ochronie ustawowej.

Należy również mieć na uwadze, że informacje stanowiące dane osobowe mogą przybierać różną formę. Charakter danych osobowych możemy przypisać nie tylko informacjom wyrażonym w formie pisemnej (zbiór nazwisk, adresów), ale również informacjom utrwalonym za pomocą obrazu lub dźwięku, także w formie zdjęć, filmów, zarejestrowanych głosów. Jednocześnie danych osobowych nie stanowią pojedyncze informacje, charakteryzujące się dużym stopniem ogólności. Jednak nawet pojedyncza informacja, jak nazwa ulicy czy numer mieszkania w zestawieniu z innymi danymi stanowi dane osobowe[3]. Natomiast przykładem jednostkowej informacji stanowiącej daną osobową jest numer PESEL, który jednoznacznie identyfikuje osobę fizyczną. Ponadto, nawet adres e-mail może stanowić daną osobową, jeśli zawiera informacje, na podstawie których bez znaczących kosztów, działań i czasu osoba fizyczna może zostać zidentyfikowana (np. imię i nazwisko).

Ustawa o ochronie danych osobowych oprócz danych osobowych zwykłych, wyróżnia dane podlegające szczególnej ochronie, tzw. dane sensytywne (wrażliwe). O ile ustawa nie definiuje terminu ,,dane wrażliwe”, to jednak art. 27 ust. 1 określa w sposób wyczerpujący informacje, które stanowią dane sensytywne. Należą do nich informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Jak można zauważyć, powyższy katalog tworzą informacje o szczególnym charakterze, bowiem dotyczą sfery prywatnej osób fizycznych, a nawet intymnej. Należy jednocześnie mieć na uwadze, iż za dane wrażliwe nie mogą być uznawane informacje o charakterze społecznie drażliwym, czyli informacje dotyczące wieku, stanu cywilnego czy majątkowego.

Przenosząc powyższe na praktykę i funkcjonowanie podmiotów świadczących usługi SPA & Wellness należy zwrócić uwagę, że przetwarzane informacje oprócz danych zwykłych pozyskiwanych w celu identyfikacji gości, obejmują informacje o sensytywnym charakterze. Powyższe związane jest z szerokim zakresem usług świadczonych przez podmioty z branży Beauty. Nie ulega wątpliwości, że poprawne wykonanie szeregu zabiegów kosmetycznych wymaga pozyskania wielu informacji obejmujących między innymi dane o stanie zdrowia, przebytych chorobach czy przyjmowanych lekach. Ponadto zaznaczyć należy, iż poprawna identyfikacja gości obiektów SPA & Wellness jest istotna z uwagi na konieczność prawidłowego rozliczenia usług oraz możliwości dochodzenia ewentualnych roszczeń na drodze postępowania sądowego. Warto mieć na uwadze, iż niezasadna jest praktyka kopiowania dowodów osobistych należących do gości korzystających z oferowanych usług obiektów SPA. Przedsiębiorcy – administratorzy danych zobowiązani są przetwarzać jedynie informacje niezbędne do prowadzenia bieżącej działalności. Zatem ośrodek SPA uprawniony jest do pozyskiwania jedynie tych danych, które są konieczne dla identyfikacji gości i realizacji usługi. Wskazane jest zatem ograniczenie praktyki kopiowania dowodów osobistych na rzecz okazywania przez gości przedmiotowych dokumentów.

Rozróżnienie danych zwykłych i wrażliwych przez podmioty świadczące usługi SPA & Wellness jest niezwykle istotne, bowiem w odniesieniu do tych różnych rodzajów danych obowiązują odmienne zasady postępowania oraz szczególne przesłanki legalizujące ich przetwarzanie. O szczególnej ochronie danych sensytywnych w polskim systemie prawnym świadczyć mogą, chociażby zaostrzone wymagania związane z zapewnieniem środków bezpieczeństwa przetwarzania danych wrażliwych, a także rygorystyczne procedury rejestracji zbiorów takich danych do Generalnego Inspektora Ochrony Danych Osobowych.

Podsumowując, każda z pozoru neutralna informacja może stanowić daną osobową, jeżeli można takiej informacji przypisać charakter identyfikujący, bez znaczenia dla formy i sposobu jej wyrażenia. Tym samym, to na przedsiębiorcy – administratorze tych danych spoczywa obowiązek dokonania zindywidualizowanej oceny i rozstrzygnięcia, jakie informacje stanowią dane osobowe, a w konsekwencji wdrożenie właściwych procedur przetwarzania przedmiotowych informacji w sposób zgodny z literą prawa.

[1] Dz. U. 1997 Nr 133, poz. 883 tj. Dz. U. z 2016 r. poz. 922,

[2] Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 29 sierpnia 2013 roku, sygn. DIS/DEC-884/13/55242, Legalis,

[3] Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 21 października 2009 roku, sygn. akt DOLiS/DEC-1049/09, Legalis.