(+ 48) 22 463 47 70

Artykuł

Przetwarzanie danych osobowych w rozumieniu RODO

Przetwarzanie danych osobowych w rozumieniu RODO

Jak pokazałem w artykule “Definicja danych osobowych w świetle RODO”, po wejściu w życie Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO, znaczenie pojęcia “dane osobowe” praktycznie nie ulegnie zmianie. Czy tak samo jest w przypadku “przetwarzania”?

Porównanie definicji

Definicja przetwarzania w ustawie o ochronie danych osobowych była niezbyt skomplikowana: “rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”. W RODO definicja została trochę rozbudowana:

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Przede wszystkim należy wskazać, że zniknęło określenie “jakiekolwiek”. Jak wykazałem w artykule “Przetwarzanie danych osobowych”, słowo “jakiekolwiek” powodowało, że katalog czynności na danych osobowych uznawanych za przetwarzanie był otwarty, a wyliczenie miało jedynie charakter przykładowy. Pod rządami RODO moja interpretacja definicji przetwarzania danych osobowych nieco ulega zmianie  – w tym przypadku wymieniono wszystkie czynności, które należy uznać za przetwarzanie. Czynności nie wskazane w definicji, w mojej ocenie, nie stanowią przetwarzania (chociaż sądowa interpretacja i praktyka w tym zakresie może być inna – czas pokaże). Jest to jednak kwestia drugorzędna, bo katalog czynności przetwarzania został tak rozbudowany, że – przynajmniej ja – nie jestem w stanie znaleźć innej czynności, którą można dokonać na danych osobowych, poza czynnościami wskazanymi w tym przepisie. Aktualne pozostaje więc stwierdzenie, że jakąkolwiek operację wykonywaną na danych osobowych należy uznać za przetwarzanie.

Tomasz Korolko
radca prawny