Ustawa o ochronie danych osobowych (Dz. U. z 2014r., poz. 1182 z zm.) w artykule 27 § 1 wskazuje, które informacje na nasz temat należą do grupy tak zwanych sensytywnych. Ustawodawca stworzył katalog tematów, które mogą być przyczyną dyskryminacji lub innego niesprawiedliwego traktowania, kierując się bezpieczeństwem podmiotów, których dotyczą.
Należą do nich:
• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub filozoficzne,
• przynależność wyznaniowa, partyjna lub związkowa,
• stan zdrowia,
• kod genetyczny,
• nałogi,
• życie seksualne,
• skazania, orzeczenia o ukaraniu i mandatach karnych, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym.
Udostępnianie informacji z wyżej wymienionych grup jest co do zasady zabronione. Jednak w drugiej części omawianego przepisu wskazano dziesięć wyjątków od tej reguły. Oznacza to, że w niektórych przypadkach ochrona nie działa, a dane intymne mogą być przekazywane i podlegać dalszemu wykorzystaniu.
Ponieważ dane dotyczą konkretnej osoby, nie można pozbawić jej możliwości udzielenia zgody na przetwarzanie informacji na swój temat, także tych wrażliwych. Pierwszą przesłanką jest więc pisemna aprobata zainteresowanego na wykorzystanie danych.
Również w przypadku upublicznienia danych przez osobę, której dotyczą ich dalsze wykorzystywanie jest dozwolone.
Jeżeli jest to sytuacja nadzwyczajna, gdy przetworzenie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej, a zainteresowany nie jest fizycznie lub prawnie zdolny do wyrażenia zgody. Zwolnienie z zakazu obowiązuje tylko do czasu ustanowienia opiekuna prawnego lub kuratora, który będzie podejmował decyzje w imieniu uprawnionego.
Czwarty wyjątek to sytuacje, gdy przepisy szczególne rangi ustawowej zezwalają na obrót danymi bez zgody zainteresowanego. Przepis nakłada na wykorzystującego obowiązek stworzenia pełnych gwarancji ochrony.
Zwolnienie ma miejsce gdy dane te są niezbędne podczas dochodzenia praw w postępowaniu sądowym. A także jeśli przetwarzanie jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
Siódmy punkt dotyczy wykonywania zadań administratora danych w zakresie zatrudniania pracowników i innych osób. Zakres przetwarzania nie jest pełny, wskazuje go ustawa.
Także podmioty takie jak: kościoły, związki wyznaniowe, stowarzyszenia, fundacje oraz inne organizacje i instytucje o charakterze niezarobkowym, posiadające cele polityczne, naukowe, religijne, filozoficzne, związkowe mają prawo do korzystania z danych osobowych swoich członków oraz osób utrzymujących z nimi stałe kontakty. O ile relacje dotyczą prowadzonej przez te podmioty działalności i zostaną zapewnione pełen gwarancje ochrony przetwarzanych danych.
Zakaz przetwarzania nie dotyczy działań w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych. W tym przypadku także odpowiedni podmiot musi stworzyć pełne gwarancje ochrony informacji.
Ostatnim dopuszczalnym odstępstwem jest sytuacja badań naukowych. Między innymi podczas przygotowań do rozprawy naukowej, w szczególności uzyskania dyplomu uczelni wyższej. Ustawodawca zastrzegł, że przedstawiane wyniki badań nie mogą zdradzać tożsamości posiadacza danych oraz pozwalać na jego identyfikację.