Właściwie każdy wolałby nie przetwarzać.
Przetwarzanie wymaga bowiem respektowania przepisów prawa w zakresie ochrony danych osobowych, wprowadzenia (i przestrzegania!) procedur ochrony danych, a także środków informatycznych, organizacyjnych i materialnych. Wymaga też tytułu prawnego do danych osobowych, dopełnienia szeregu obowiązków, staranności i respektowania praw, czyli – generalnie – pewnej uważności w obchodzeniu się ze zbiorem danych.
A że „przetwarzanie” kojarzy się z procesem fabryczno-produkcyjnym i w jakiś sposób – w warstwie leksykalnej – błędnie sugeruje, że chodzi tu o skomplikowane procesy adaptowania, modyfikacji czy innego rodzaju przerabiania danych, to nadal są tacy, którzy twierdzą, że żadną miarą nie przetwarzają.
A jednak przetwarzają dane osobowe, ze wszystkimi tego konsekwencjami.
Ustawodawca zdefiniował „przetwarzanie danych” dość szeroko i jasno. W świetle art. 7 pkt. 2) ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (t.j. Dz. U. z 2015 r. poz. 2135 z późn. zm., dalej jako u.o.d.o.) przez przetwarzanie rozumie się „jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te (operacje), które wykonuje się w systemach informatycznych”.
„Przetworzeniem” jest zatem już zebranie danych i ich utrwalenie (chociażby poprzez wpięcie dokumentu do segregatora albo wpisanie danych do rejestru w systemie informatycznym), choć ani jedno, ani drugie nie mieści się w powszechnym rozumieniu słowa „przetwarzanie”. Także czytanie (i każde inne zapoznawanie się z danymi osobowymi) jest ich przetwarzaniem. Nie mówiąc o sporządzaniu tabel czy zestawień. Albo o wysyłaniu korespondencji papierowej czy maili.
Podsumowując – przetwarzaniem danych osobowych są wszystkie operacje na danych, począwszy od ich pozyskania aż do ostatecznego usunięcia (rozumianego, co ważne, jako zniszczenie czy wymazanie danych, ale też jako taka modyfikacja danych, która prowadzi do ich anonimizacji).
W sensie prawnym przetwarzanie danych jest czynnością faktyczną, z której to czynności wypływa szereg konsekwencji prawnych (i która jest uwarunkowana prawnymi obostrzeniami).
A kto może przetwarzać dane osobowe?
Otóż przede wszystkim – administrator danych (tak zwany ADO), czyli podmiot decydujący o celach i środkach przetwarzania danych (art. 7 pkt. 4) u.o.d.o). Przetwarzać dane mogą też – pod warunkiem spełnienia ścisłych wymogów prawa – podmioty, którym ADO powierzył to przetwarzanie.
O tym jednak innym razem.
O tym, jak legalnie przetwarzać – także.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
Formularz komentarza jest w tym momencie niedostępny.