Wykorzystywanie (przetwarzanie) danych osobowych wrażliwych jest zakazane, o ile nie jest spełniona jedna z przesłanek wskazanych w art. 9 ust. 3 RODO, m.in.:
osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego UE przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu,
przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego UE lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego UE, przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.
Dane wrażliwe w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowychedytuj kod
Nieobowiązująca już ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wskazywała w art. 27 kategorie danych osobowych, wymagające szczególnej ochrony[6]. Były to dane:
ujawniające pochodzenie rasowe lub etniczne,
ujawniające poglądy polityczne,
ujawniające przekonania religijne lub filozoficzne,
ujawniające przynależność wyznaniową, partyjną lub związkową,
o stanie zdrowia,
o kodzie genetycznym,
o nałogach,
o życiu seksualnym,
dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym