Przetwarzanie danych osobowych to szereg działań wykonywanych na informacjach o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Obejmuje ono kompleksowy zakres operacji wykonywanych zarówno w sposób zautomatyzowany, jak i niezautomatyzowany. W artykule wyjaśnimy, jakie konkretnie czynności wchodzą w zakres przetwarzania danych osobowych zgodnie z obowiązującymi przepisami.
Definicja przetwarzania danych osobowych
Przetwarzanie danych osobowych to każda operacja lub zestaw operacji wykonywanych na danych osobowych. Definicja ta jest niezwykle szeroka i obejmuje praktycznie wszystkie możliwe działania związane z danymi osobowymi [1]. Zgodnie z przepisami, przetwarzanie danych rozpoczyna się już w momencie ich zbierania i trwa aż do momentu ich całkowitego usunięcia lub zniszczenia [4].
Warto podkreślić, że przetwarzanie danych osobowych nie ogranicza się wyłącznie do działań zautomatyzowanych, ale dotyczy również operacji wykonywanych w sposób tradycyjny, bez użycia systemów informatycznych [1]. Oznacza to, że nawet ręczne zapisywanie danych osobowych na kartce papieru stanowi ich przetwarzanie w rozumieniu przepisów.
Jak wskazują eksperci, niemal każde działanie związane z danymi osobowymi można zakwalifikować jako przetwarzanie. To bardzo istotne z punktu widzenia obowiązków administratorów danych, którzy muszą zapewnić zgodność wszystkich tych operacji z przepisami o ochronie danych osobowych [3].
Katalog czynności uznawanych za przetwarzanie danych
Przepisy RODO wymieniają szereg czynności, które uznawane są za przetwarzanie danych osobowych. Do najważniejszych z nich należą:
Zbieranie i utrwalanie danych
Zbieranie danych osobowych to początkowy etap ich przetwarzania. Obejmuje on pozyskiwanie informacji bezpośrednio od osób, których dane dotyczą, lub z innych źródeł [1]. Już na tym etapie administrator musi zapewnić zgodność z zasadami przetwarzania danych, w tym posiadać odpowiednią podstawę prawną.
Utrwalanie danych polega na zapisywaniu ich w sposób, który umożliwia późniejsze odtworzenie. Może to być zapis cyfrowy w bazie danych lub w systemie informatycznym, ale również utrwalenie w formie papierowej [3].
Organizowanie, porządkowanie i przechowywanie
Organizowanie i porządkowanie danych to czynności związane z ich systematyzacją. Mogą one obejmować grupowanie danych według określonych kryteriów, tworzenie struktur baz danych czy katalogowanie informacji [1].
Przechowywanie danych osobowych to jeden z najczęstszych procesów przetwarzania. Obejmuje ono utrzymywanie danych w sposób umożliwiający dostęp do nich przez określony czas [4]. Przechowywanie może odbywać się w formie elektronicznej lub papierowej i podlega określonym zasadom, w tym zasadzie ograniczenia przechowywania danych [2].
Adaptowanie, modyfikowanie i pobieranie
Adaptowanie i modyfikowanie danych odnosi się do wszelkich zmian wprowadzanych w już zebranych danych osobowych. Może to być aktualizacja informacji, ich korekta lub przetworzenie do innego formatu [3].
Pobieranie danych polega na uzyskiwaniu dostępu do informacji przechowywanych w bazie danych lub innym zbiorze. Jest to czynność, która również podlega regułom przetwarzania danych osobowych i wymaga odpowiedniej podstawy prawnej [1].
Przeglądanie i wykorzystywanie
Przeglądanie danych osobowych to zapoznawanie się z ich treścią. Nawet samo odczytywanie danych, bez ich modyfikowania czy kopiowania, stanowi formę przetwarzania [4].
Wykorzystywanie danych obejmuje wszelkie działania, w których dane osobowe są używane do osiągnięcia określonych celów. Może to być np. wykorzystanie danych klientów do celów marketingowych czy wykorzystanie danych pracowników do celów kadrowo-płacowych [3].
Ujawnianie poprzez przesłanie i rozpowszechnianie
Ujawnianie danych poprzez przesłanie polega na przekazywaniu danych osobowych innym podmiotom. Może to być udostępnienie danych innej firmie, instytucji publicznej lub przekazanie danych do państwa trzeciego [2].
Rozpowszechnianie danych to forma ujawniania, w której dane są przekazywane szerszemu kręgowi odbiorców. Przykładem może być publikacja danych w Internecie, która stanowi jedną z form przetwarzania danych osobowych [1].
Dopasowywanie, łączenie i ograniczanie
Dopasowywanie i łączenie danych to operacje polegające na zestawianiu danych pochodzących z różnych źródeł lub zbiorów. Mogą one służyć do tworzenia bardziej kompleksowych profili osób lub do weryfikacji poprawności danych [3].
Ograniczanie przetwarzania to szczególna forma przetwarzania danych, polegająca na czasowym ograniczeniu możliwości wykonywania na nich określonych operacji. Osoba, której dane dotyczą, ma prawo żądać ograniczenia przetwarzania w określonych przypadkach, np. gdy kwestionuje prawidłowość danych [1].
Usuwanie i niszczenie danych
Usuwanie danych osobowych polega na ich trwałym usunięciu z systemów informatycznych lub zbiorów papierowych. Jest to końcowy etap cyklu życia danych osobowych [4].
Niszczenie danych to fizyczna likwidacja nośników zawierających dane osobowe lub nieodwracalne usunięcie danych z tych nośników. Proces ten powinien gwarantować, że dane nie będą mogły zostać odtworzone [3].
Podstawy prawne przetwarzania danych osobowych
Aby przetwarzanie danych osobowych było zgodne z prawem, musi opierać się na jednej z podstaw prawnych określonych w przepisach. Podstawy prawne przetwarzania to niezwykle istotny element całego systemu ochrony danych osobowych [2].
Wśród najważniejszych podstaw prawnych przetwarzania danych osobowych wymienia się:
– Zgodę osoby, której dane dotyczą – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli [2]
– Niezbędność do wykonania umowy lub podjęcia działań przed zawarciem umowy [3]
– Wypełnienie obowiązku prawnego ciążącego na administratorze [2]
– Ochronę żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej [3]
– Wykonanie zadania w interesie publicznym lub w ramach sprawowania władzy publicznej [2]
– Prawnie uzasadniony interes administratora lub strony trzeciej [3]
Wybór odpowiedniej podstawy prawnej ma kluczowe znaczenie dla zgodności przetwarzania z przepisami. Administrator danych musi określić ją przed rozpoczęciem przetwarzania i poinformować o niej osoby, których dane dotyczą [2].
Związek przetwarzania danych z prawami osób
Przetwarzanie danych osobowych jest nierozerwalnie związane z prawami osób, których te dane dotyczą. Prawa podmiotów danych stanowią istotny element całego systemu ochrony danych osobowych i wymagają od administratorów odpowiednich procedur i mechanizmów [1].
Do najważniejszych praw związanych z przetwarzaniem danych należą:
– Prawo dostępu do danych – możliwość uzyskania informacji o przetwarzanych danych [1]
– Prawo do sprostowania – możliwość żądania poprawienia nieprawidłowych danych [2]
– Prawo do usunięcia danych (prawo do bycia zapomnianym) – możliwość żądania usunięcia danych w określonych przypadkach [1]
– Prawo do ograniczenia przetwarzania – możliwość żądania czasowego wstrzymania określonych operacji przetwarzania [1]
– Prawo do przenoszenia danych – możliwość otrzymania danych w ustrukturyzowanym formacie i przekazania ich innemu administratorowi [2]
– Prawo do sprzeciwu – możliwość wyrażenia sprzeciwu wobec przetwarzania danych w określonych sytuacjach [1]
Administratorzy danych muszą zapewnić realizację tych praw poprzez wdrożenie odpowiednich procedur i narzędzi. Jest to jeden z kluczowych obowiązków wynikających z przepisów o ochronie danych osobowych [2].
Przetwarzanie danych w różnych procesach biznesowych
Przetwarzanie danych osobowych odbywa się w ramach różnorodnych procesów biznesowych i operacyjnych organizacji. Warto zaznaczyć, że w zależności od charakteru działalności, procesy te mogą się znacząco różnić [3].
Do najczęstszych procesów biznesowych obejmujących przetwarzanie danych osobowych należą:
– Działania marketingowe – obejmujące zbieranie, analizowanie i wykorzystywanie danych do celów promocyjnych [3]
– Zarządzanie relacjami z klientami – przetwarzanie danych klientów na potrzeby obsługi, komunikacji i budowania relacji [4]
– Procesy kadrowo-płacowe – przetwarzanie danych pracowników na potrzeby zatrudnienia i wynagradzania [3]
– Realizacja umów i świadczenie usług – przetwarzanie danych niezbędnych do wykonania umowy z klientem [4]
– Wypełnianie obowiązków prawnych – przetwarzanie danych wymagane przepisami prawa, np. na potrzeby księgowości czy podatków [3]
W każdym z tych procesów administrator danych musi zapewnić zgodność przetwarzania z zasadami ochrony danych osobowych, w tym zasadą minimalizacji danych, przejrzystości i rozliczalności [4].
Podsumowanie
Przetwarzanie danych osobowych to bardzo szeroki zakres czynności obejmujący praktycznie wszystkie operacje wykonywane na danych, od momentu ich zebrania aż do usunięcia. Jak wynika z przedstawionych informacji, katalog tych czynności jest niezwykle rozbudowany i obejmuje zarówno operacje zautomatyzowane, jak i niezautomatyzowane [1].
Dla prawidłowego funkcjonowania organizacji przetwarzających dane osobowe kluczowe jest zrozumienie, że niemal każde działanie podejmowane w stosunku do tych danych stanowi ich przetwarzanie i podlega odpowiednim regulacjom prawnym [3]. Administratorzy muszą zadbać o zgodność wszystkich tych czynności z przepisami, w tym o posiadanie odpowiedniej podstawy prawnej oraz realizację praw osób, których dane dotyczą [2].
Warto pamiętać, że prawidłowe przetwarzanie danych osobowych to nie tylko obowiązek prawny, ale również element budowania zaufania klientów i innych podmiotów, z którymi organizacja współpracuje [4].
Źródła:
[1] https://gdpr.pl/artykuly/co-to-jest-przetwarzanie-danych-osobowych
[2] https://pl.wikipedia.org/wiki/Przetwarzanie_danych_osobowych
[3] https://poradnikprzedsiebiorcy.pl/-czym-jest-przetwarzanie-danych-osobowych
[4] https://korolko.pl/blog/przetwarzanie-danych-osobowych-w-rozumieniu-rodo/
Kim-Tech.pl to nowoczesny portal ogólnotematyczny, dostarczający sprawdzone informacje i eksperckie porady z różnych dziedzin życia. Łączymy technologię z codziennymi inspiracjami, tworząc przestrzeń dla świadomych czytelników poszukujących wartościowych treści.