Kategorię danych osobowych szczególnie chroniony potocznie określamy mianem „danych wrażliwych”. Jest to grupa danych, które zawierają intymne informacje o osobie fizycznej. Do kategorii danych szczególnie chronionych zaliczmy:
- informacje o stanie zdrowia;
- dane biometryczne np. odcisk palca, wizerunek twarzy, siatkówka oka;
- informacje o kodzie genetycznym;
- przynależność wyznaniowa, związkowa, partyjna;
- pochodzenie rasowe lub etniczne;
- dane nałogach lub życiu seksualnym;
- dane dotyczące skazań;
- dane dot. orzeczeń o ukaraniu i mandaty karne;
- a także inne orzeczenia wydane w postępowaniu
sądowym lub administracyjnym.
Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności, które przysługują osobie fizycznej. Naruszenie ochrony danych szczególnie chroniony jest przyczyną poważnych konsekwencji dla osoby pokrzywdzonej takich jak kradzież tożsamości, strata finansowa, dyskryminacja czy wykluczenie społeczne.
Naruszenie ochrony danych szczególnie chroniony powinno zostać przeanalizowanie pod kontem zgłoszenia do organu nadzorczego oraz obowiązku poinformowania osób pokrzywdzonych o incydencie.
Administrator danych przetwarzający dane wrażliwe jest zobowiązany do wdrożenia odpowiednich środków zabezpieczających na podstawie wcześniej przeprowadzonej analizy ryzyka.
Administrator danych, którego główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO jest zobowiązany wyznaczyć Inspektora ochrony danych, zgodnie z art. 37 RODO.