Słownik pojęć

  P

Przetwarzanie danych osobowych

Przetwarzaniem danych osobowych są wszelkie działania związane z używaniem danych osobowych od momentu ich pozyskania do momentu ich usunięcia.

Zgodnie z definicją legalną przetwarzania danych osobowych zawartą w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”), „przetwarzanie” oznacza "operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie".

Z uwagi na dość szerokie zdefiniowanie przetwarzania danych osobowych, należy każdy przypadek rozpoznawać kazuistycznie, a w przypadku wątpliwości zakładać, że ma się do czynienia z przetwarzaniem danych osobowych. Pomocne w tym zakresie może być nadal jeszcze kształtujące się orzecznictwo. Przykładowo, w wyroku z dnia 11 grudnia 2014 r., sygn. akt C-212/13, Trybunał Sprawiedliwości orzekł, że „wykorzystywanie systemu kamer przechowującego zapis obrazu osób na sprzęcie nagrywającym w sposób ciągły, takim jak dysk twardy, zainstalowanego przez osobę fizyczną na jej domu rodzinnym w celu ochrony własności, zdrowia i życia właścicieli domu, który to system monitoruje również przestrzeń publiczną, nie stanowi przetwarzania danych w trakcie czynności o czysto osobistym lub domowym charakterze w rozumieniu tego przepisu.”

Cele i sposoby przetwarzania danych osobowych określa administrator danych osobowych. Administratorem danych osobowych są np. szpitale, przychodnie lub lekarze przyjmujący w prywatnych gabinetach. Z kolei dane przetwarza już podmiot przetwarzający, czyli taki, który przetwarza dane w imieniu administratora danych osobowych.

Przetwarzanie danych osobowych musi być zgodne z następującymi zasadami ustanowionymi w RODO:

  • Zasadą zgodności z prawem;
  • Zasadą rzetelności;
  • Zasadą przejrzystości;
  • Zasadą ograniczenia celu;
  • Zasadą minimalizacji;
  • Zasadą prawidłowości;
  • Zasadą ograniczenia przechowywania;
  • Zasadą integralności i poufności;
  • Zasadą rozliczalności.

Terminem tym objęte są takie działania, jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, łączenie, zestawianie, wywoływanie, udostępnianie, rozpowszechnianie, przesyłanie, usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Każde z powyższych działań jest przetwarzaniem danych, nawet operacja inna niż wymieniona w tym przepisie, mająca za przedmiot dane osobowe, aby należało uznać, że dochodzi do przetwarzania danych, co otwiera drogę do stosowania regulacji zawartej w omawianej ustawie. 

Zgodnie z treścią dyrekywy 95/46/WE, w której zamieszczono podobnie szeroką definicję pojęcia przetwarzania danych (processing of personal data, processing), można wnioskować, iż pojęciem przetwarzania zamierzano objąć też operacje wewnątrz przedsiębiorstwa czy innej jednostki organizacyjnej, a więc np. przekazywanie danych innym pracownikom jednostki. Za udostępnianie danych należy w każdym razie uznać także ich przekazanie innym zakładom, przedsiębiorstwom należącym do struktur przedsiębiorstwa (przedsiębiorstwo wielozakładowe, koncern czy holding)[1].

Przetwarzanie danych nie jest czynnością prawną, lecz czynnością realną (materialno-techniczną) przybierającą postać czynności niezautomatyzowanej albo zautomatyzowanej całkowicie lub częściowo. Nie wyklucza to jednak, że mogą wypływać z niej konsekwencje prawne.

Należy podkreślić, że stwierdzenie ustawodawcy, że przetwarzaniem danych są zwłaszcza operacje wykonywane w systemach informatycznych, ma chyba za zadanie jedynie podkreślić rangę problematyki przetwarzania danych z wykorzystaniem nowoczesnej techniki informatycznej i przypomnieć o potrzebie poddania tej sfery ocenie prawnej z punktu widzenia właściwej ustawy. Nie ma żadnych podstaw - wbrew sugestii, jaka wypływać może z wykładni semantycznej - aby zwrot "a zwłaszcza" interpretować w kierunku przyznania przetwarzaniu danych osobowych w systemach informatycznych wyższego poziomu ochrony lub specjalnego traktowania.

--

Stan prawny na dzień: 30.03.2021 r.

Źródła:

[1] Barta J., Fajgielski P., Markiewicz R. Ochrona danych osobowych. Komentarz. LEX, 2011

Podstawa prawna:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych.

Zobacz także: