Przetwarzanie

Definicja art. 4 pkt 2 RODO

„Przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Inaczej rzecz ujmując, przetwarzanie to operacja lub szereg różnych operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub ręczny.

Przetwarzanie jest jednym z kluczowych, zaraz po pojęciu „danych osobowych”, terminem, który należy znać. Nie powinniśmy jednak ograniczać się jedynie do samej znajomości definicji „przetwarzania”, a powinniśmy zrozumieć na czym owo przetwarzanie polega.

Unijny ustawodawca podzielił definicję na dwie części.

Pierwsza część to „czysta definicja” przetwarzania, które oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.

Przetwarzanie oznacza:

– operacja lub zestaw operacji

– na danych osobowych lub zestawach danych osobowych

– w sposób zautomatyzowany lub niezautomatyzowany

Pojęcie operacji należy utożsamiać z działaniem człowieka zmierzającym do wykonania określonego celu. Zestawem operacji będzie połączenie co najmniej dwóch takich działań, np. ręcznie segregowanie umów zawierających dane osobowe, korzystanie z systemu informatycznego, który co prawda samodzielnie dokonuje działań na danych osobowych, jednak to działanie zostało zainicjowane przez człowieka, np. zaprogramowane).

Operacja lub zestaw operacji muszą być wykonywane na danych osobowych lub ich zestawach. Na temat danych osobowych – zob. Dane osobowe.

Operacja zautomatyzowana to operacja polegająca na wykonywaniu rożnego rodzaju działań z wykorzystaniem urządzeń pozwalających na ograniczenie udziału człowieka w realizowaniu poszczególnych czynności. Celem automatyzacji jest przyspieszenie i poprawa efektywności procesów dokonywanych na danych. Automatyzacja dokonywana jest najczęściej przy pomocy systemów informatycznych lub teleinformatycznych, np. system informatyczny umożliwiający dokonywanie różnego rodzaju działań na danych tj. wyszukiwanie, sortowanie, usuwanie zbiorcze.

Operacja niezautomatyzowana to operacja polegająca na wykonywaniu rożnego rodzaju działań w sposób tradycyjny, czyli inaczej ręcznie czy manualnie, np. ręczne wyszukiwanie, ręcznie układanie (sortowanie), ręczne usuwanie.

Druga część to katalog czynności, które mogą stanowić przetwarzanie. W ramach katalogu wymieniono: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Katalog czynności, które mogą stanowić przetwarzanie jest katalogiem otwartym. Oznacza to, że nie tylko wymienione w tym przepisie przykłady stanowią przetwarzanie. Świadczy o tym użyty przez ustawodawcę unijnego zwrot „taką jak”.

Jakie jeszcze inne czynności mogą stanowić przetwarzanie?

  • Ograniczenie przetwarzania – art. 4 pkt 3 RODO
  • Profilowanie – art. 4 pkt 4 RODO
  • Pseudonimizacja – art. 4 pkt 5 RODO

 

Dlaczego wymienione czynności MOGĄ (czyli nie zawsze muszą) stanowić przetwarzanie w rozumieniu RODO?

Otóż, aby można było mówić o przetwarzaniu należy daną czynność analizować w połączeniu z pierwszą częścią definicji. Inaczej rzecz ujmując, czynności wymienione w części drugiej definicji nie będą oznaczały przetwarzania, jeżeli jednocześnie „operacją lub zestawem operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany”.

Przykład, kiedy nie dochodzi do przetwarzania danych osobowych

  • Zbieranie numerów KRS nie będzie przetwarzaniem danych osobowych.

Dlaczego?

Numer KRS nie jest daną osobową (zajrzyj do wpisu – Dane osobowe), a przecież przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.

 Przykłady przetwarzania

  • zarządzanie personelem i ich danymi
  • administracja kadrowo-płacowa
  • administracja księgowa
  • dostęp do bazy kontaktów zawierających dane osobowe, np. lista subskrybentów usługi newsletter
  • gromadzenie, przechowywanie, archiwizacja czy niszczenie dokumentów zawierających dane osobowe
  • publikowanie fotografii osoby fizycznej na stronie internetowej lub w social mediach
  • zbieranie i przechowywanie adresów IP, np. za pomocą plików cookies
  • usługa wyszukiwania oferowana przez wyszukiwarkę internetową