Przetwarzanie danych osobowych w rozumieniu RODO

W poprzednim wpisie wyjaśniłem jakie dane należy uznać za dane osobowe. Teraz chciałbym skoncentrować się na drugiej definicji z art. 4 RODO^[1]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), wyjaśniającej co stanowi przetwarzanie danych osobowych.

Operacje wykonywane na danych osobowych

Zgodnie z art. 4 p. 2 RODO, przetwarzanie danych osobowych „oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie„.

Tak sformułowana definicja stawia sprawę jasno – wszystkie czynności związane z danymi osobowymi należy uznać za ich przetwarzanie. Katalog tych czynności jest otwarty, na co wskazuje zwrot „taką jak”. Wymienione działania są więc jedynie przykładami, choć trudno sobie wyobrazić inne operacje na danych osobowych. Gdyby jednak ktoś był w stanie wymyślić jakąś inną czynność odnoszącą się do danych osobowych, ona także będzie stanowić przetwarzanie.

Przetwarzanie danych osobowych zaczyna się od ich zbierania (uzyskiwania od użytkowników, klientów lub kontrahentów) i obejmuje wszystko to, co z nimi robi administrator aż do momentu ich usunięcia. Po usunięciu danych osobowych kończy się proces przetwarzania.

Przetwarzanie w sposób zautomatyzowany lub niezautomatyzowany

W definicji zawartej w RODO określono, że przetwarzanie danych osobowych obejmuje czynności zarówno zautomatyzowane, jak i niezautomatyzowane. Nie ma zatem znaczenia czy dane będą wprowadzane i przetwarzane w ramach systemów informatycznych, czy utrwalane wyłącznie w formie papierowej – w każdym przypadku należy stosować zasady określone w RODO.

Przykłady z orzecznictwa

Definicja przetwarzania danych osobowych nie budzi większych wątpliwości. Powyższe rozważania teoretyczne warto jednak uzupełnić praktycznymi przykładami z orzecznictwa sądów. Ponieważ definicja z RODO jest bardzo podobnie skonstruowana do tej z polskiej ustawy o ochronie danych osobowych, która obowiązywała przed RODO, można sięgnąć także do starszych wyroków.

• Żądanie danych osobowych jest czynnością faktyczną, która poprzedza zbieranie danych osobowych. Nie stanowi ono jeszcze przetwarzania danych osobowych, a tym samym nie jest to czynność objęta działaniem ustawy o ochronie danych osobowych. W sytuacji gdy pracodawca, powołując się na regulację zawartą w art. 30 ust. 21 ustawy o związkach zawodowych, występuje do organizacji związkowej o nadesłanie listy imiennej pracowników objętych ochroną i wnioskowane dane nie zostają przekazane, nie dochodzi do przetwarzania jakichkolwiek danych osobowych w rozumieniu art. 7 pkt 2 ustawy o ochronie danych osobowych. – wyrok Naczelnego Sądu Administracyjnego Warszawie z dnia 28 czerwca 2011 r., sygn. I OSK 1264/10.
• Udostępnienie przez wójta na stronie internetowej BIP urzędu gminy imienia i nazwiska osoby, która wywołała postępowanie zakończone wydaniem uchwały przez radę gminy, stanowi przetwarzanie danych osobowych. – wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 24 listopada 2011 r., sygn. II SA/Wa 1828/11.
• Gromadzenie oświadczeń zawierających dane osobowe nabywców oleju opałowego stanowi przetwarzanie danych osobowych. – wyrok Wojewódzkiego Sądu Administracyjnego w Bydgoszczy z dnia 13 lutego 2013 r., sygn. I SA/Bd 1012/12.