RODO nakłada na przedsiębiorców i instytucje szereg obowiązków związanych z ochroną danych osobowych. Jednym z kluczowych pojęć, które pojawia się już na początku rozporządzenia, jest „przetwarzanie danych”. To od jego rozumienia zależy, czy administrator lub podmiot przetwarzający musi stosować przepisy RODO w swojej działalności.
Poniżej wyjaśniam, czym w praktyce jest przetwarzanie danych osobowych, jakie operacje obejmuje, oraz przedstawiam przykłady, które pozwolą Ci sprawdzić, czy w Twojej działalności dochodzi do przetwarzania danych.
Czym jest przetwarzanie danych osobowych?
Zgodnie z art. 4 pkt 2 RODO:
„przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.
Jak widać, katalog ten jest bardzo szeroki i ma charakter przykładowy. Oznacza to, że nawet czynności niewymienione wprost – np. profilowanie czy pseudonimizacja – także stanowią przetwarzanie danych.
Co istotne, pojęcie to obejmuje cały cykl życia danych osobowych – od momentu ich zebrania, aż po ich całkowite usunięcie lub zniszczenie.
Przetwarzanie zautomatyzowane i niezautomatyzowane
Przetwarzanie może mieć formę:
- zautomatyzowaną – np. baza klientów w systemie komputerowym, gdzie dane można szybko sortować i filtrować,
- niezautomatyzowaną – np. ręczne prowadzenie teczek pracowniczych, bez użycia programów komputerowych.
W obu przypadkach decyzja o rozpoczęciu operacji na danych należy do człowieka. Co ważne, RODO nie wymaga, by osoba miała świadomość przetwarzania danych – liczy się sam fakt dokonania operacji.
Praktyczne przykłady operacji przetwarzania danych
Aby lepiej zrozumieć, jak szeroko należy interpretować pojęcie przetwarzania, zobaczmy, jak w praktyce wyglądają poszczególne operacje:
✔ Zbieranie
- formularze zamówień online,
- rejestracja na portalu społecznościowym,
- przyjmowanie CV podczas rekrutacji.
✔ Utrwalanie
- nagranie rozmowy klienta z konsultantem,
- monitoring wizyjny w sklepie.
✔ Organizowanie i porządkowanie
- tworzenie alfabetycznej listy klientów,
- podział bazy danych według kryterium wieku czy miejsca zamieszkania.
✔ Przechowywanie
- zapis bazy klientów w chmurze,
- przechowywanie dokumentacji pracowniczej w segregatorach.
✔ Adaptowanie i modyfikowanie
- aktualizacja numeru telefonu kontrahenta,
- korekta błędnie wpisanego adresu.
✔ Pobieranie i przeglądanie
- analiza historii zamówień w systemie sprzedażowym,
- wgląd lekarza do dokumentacji medycznej pacjenta.
✔ Wykorzystywanie
- wysyłka newslettera do klientów,
- analiza danych kandydatów w procesie rekrutacji,
- wykorzystanie informacji w systemach bezpieczeństwa.
✔ Ujawnianie (przesyłanie, rozpowszechnianie, udostępnianie)
- publikacja zdjęć pracowników na stronie internetowej,
- przekazanie bazy klientów firmie marketingowej.
✔ Dopasowywanie i łączenie
- tworzenie profilu zakupowego klienta sklepu internetowego,
- łączenie danych z różnych systemów w celu analizy preferencji użytkowników.
✔ Ograniczanie, usuwanie, niszczenie
- usunięcie danych z bazy subskrybentów newslettera na ich żądanie,
- fizyczne zniszczenie nośnika zawierającego dane osobowe.
Przykłady z praktyki biznesowej
🔹 Firma kurierska – odbiera dane klientów poprzez formularze online (zbieranie), drukuje etykiety adresowe (utrwalanie), przechowuje historię przesyłek w systemie (przechowywanie), a po upływie określonego czasu usuwa je zgodnie z polityką retencji (usuwanie).
🔹 Przychodnia medyczna – zbiera dane pacjentów podczas rejestracji (zbieranie), prowadzi dokumentację medyczną w formie papierowej i elektronicznej (przechowywanie), lekarze mają wgląd do historii choroby (przeglądanie), a po upływie okresu przechowywania akta są niszczone (niszczenie).
Jak widać, niemal każda działalność gospodarcza w praktyce zawiera elementy przetwarzania danych osobowych, co oznacza obowiązek stosowania RODO.
Podsumowanie
- Przetwarzanie danych osobowych to szerokie pojęcie, które obejmuje niemal każdą operację wykonaną na danych – od ich zebrania, aż po usunięcie.
- Może odbywać się w sposób zautomatyzowany (systemy IT) lub niezautomatyzowany (np. dokumenty papierowe).
- Nawet niepozorne czynności, takie jak aktualizacja adresu e-mail klienta czy uporządkowanie listy kontaktów, są uznawane za przetwarzanie danych.
- Każdy przedsiębiorca, który ma styczność z danymi osób fizycznych, powinien mieć świadomość, że podlega przepisom RODO i musi stosować odpowiednie zasady bezpieczeństwa oraz ochrony prywatności.
Podstawa prawna
- art. 4 pkt 2 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO – ogólne rozporządzenie o ochronie danych).
Tematy porad zawartych w poradniku
- przetwarzanie danych osobowych RODO
- operacje na danych osobowych przykłady
- kiedy dochodzi do przetwarzania danych
- przetwarzanie zautomatyzowane i niezautomatyzowane