W poprzednim wpisie poświęconym RODO omówiłem definicję danych osobowych na gruncie unijnego rozporządzenia. Kolejne opracowanie poświęcone będzie przetwarzaniu tych danych.

Ustawodawca unijny podzielił definicję przetwarzania z art. 4 pkt 2 na dwie części – ogólną, zawierającą cechy przetwarzania, oraz szczególną podającą przykłady czynności wchodzących w zakres zdefiniowanego pojęcia.

Przetwarzanie to w myśl przytoczonego przepisu operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Wszystkie trzy przesłanki muszą zostać spełnione łącznie, by można było mówić o przetwarzaniu danych.

Operacje lub ich zestawy to działania zmierzające do wykonania określonego celu. W grę wchodzą wyłącznie operacje wykonywane przez człowieka – albo bezpośrednio (na przykład wpinanie CV kandydatów do pracy w odpowiednie miejsca segregatora), albo za pośrednictwem technologii. W tym drugim przypadku wystarczy, że działanie będzie zależne od decyzji człowieka. Przykładowo, przeniesienie danych na inny nośnik wykonywane jest przez odpowiednie oprogramowanie, ale dopiero wtedy, gdy człowiek wyda programowi takie polecenie. Ciekawą kwestią jest przetwarzanie danych przez sztuczną inteligencję, która posiada możliwość samodzielnej nauki. Autorzy komentarzy przyjmują, że jej operacje i tak, choć pośrednio, będą traktowane jako zależne od woli człowieka.

Co oczywiste, operacje powinny być wykonywane na danych osobowych lub ich zestawach. O ile jednak sam fakt zainicjowania operacji musi być świadomą decyzją człowieka, o tyle spełnienie drugiej przesłanki przetwarzania nie jest w żaden sposób powiązane z umyślnością lub jej brakiem. Istotne jest wyłącznie to, by operacja była wykonywana na danych osobowych – świadomość osoby przetwarzającej dane nie ma w tym aspekcie żadnego znaczenia.

Wreszcie wykonywanie operacji musi odbywać się w sposób zautomatyzowany lub niezautomatyzowany. Podkreśla się, że to pozornie nic nie wnoszące do sprawy rozróżnienie miało na celu uwydatnienie roli automatycznego przetwarzania danych i usunięcie wszelkich ewentualnych problemów interpretacyjnych na tym polu.

W drugiej części art. 4 pkt 2 RODO wskazuje przykłady przetwarzania, do których zaliczono:

  1. utrwalanie – rejestrowanie lub zapisywanie danych osobowych na nośniku;
  2. zbieranie – pozyskiwanie danych osobowych w sposób inny niż utrwalanie (np. otrzymanie już utrwalonych danych);
  3. porządkowanie – nadawanie danym osobowym struktury na podstawie określonych kryteriów;
  4. organizowanie – inne niż porządkowanie operacje na danych, które zmierzają do usprawnienia pracy z nimi (np. tagowanie);
  5. przechowywanie – przetrzymywanie danych na nośniku w taki sposób, by można było je odczytać;
  6. modyfikowanie – każda zmiana danych osobowych;
  7. adaptowanie – zmiana danych osobowych zmierzająca do dopasowania danych do konkretnych okoliczności;
  8. pobieranie – odczytanie informacji z danych osobowych znajdujących się na nośniku;
  9. przeglądanie – zapoznawanie się z treścią danych osobowych jedna po drugiej;
  10. wykorzystywanie – użycie danych osobowych w konkretnym celu;
  11. ujawnianie – uczynienie danych osobowych jawnymi, może nastąpić poprzez:
    1. przesłanie – wysłanie danych konkretnemu adresatowi (np. pocztą);
    2. rozpowszechnianie – publiczne udostępnienie danych;
    3. innego rodzaju udostępnianie
  12. dopasowywanie – weryfikowanie tożsamości i spójności danych w różnych zbiorach;
  13. łączenie – scalanie ze sobą danych wielu lub jednego podmiotu;
  14. ograniczanie – oznaczanie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;
  15. usuwanie – kasowanie danych z nośnika;
  16. niszczenie – destrukcja nośnika.

Na szczególną uwagę zasługuje stwierdzenie, że w ramach przechowywania danych osobowych przetwarzaniem będzie także trzymanie ich w chmurze. Niezależnie bowiem od sposobu udostępnienia tej usługi administratorowi danych, ma on możliwość odczytania danych osobowych z nośnika, na którym się znajdują. Nie ma znaczenia, czy nośnik lub infrastruktura należą do niego.

Na marginesie wskazać należy, że wymienione w art. 4 pkt 2 przykłady przetwarzania danych nie są jedynymi zauważonymi przez ustawodawcę. W dalszych punktach tego artykułu zdefiniowano jeszcze ograniczenie przetwarzania, profilowanie i pseudonimizację. Z uwagi na doniosłą rolę w procesie stosowania RODO, pojęcia te otrzymały własne jednostki redakcyjne i koniecznym będzie ich omówienie w ramach odrębnych wpisów.

Zachęcam do dyskusji i podsyłania propozycji na kolejne opracowania związane z RODO!

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. A. Dmochowska, M. Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, C.H. Beck, 2016;
  3. M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, C.H. Beck, 2016;
  4. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018