Umów się na spotkanie: +48 535 202 564
Umów się na spotkanie: +48 535 202 564
Autor: Malgorzata Cwynar pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 9 marca 2024
W kilku najbliższych odcinkach newsletteru kontynuowana będzie rozpoczęta w poprzednim miesiącu seria dotycząca podstawowych pojęć, które zostały przez prawodawcę unijnego zdefiniowane w art. 4 RODO. Tym razem przybliżone zostaną dwie kolejne definicje, tj. „przetwarzanie” i „ograniczenie przetwarzania”, które bardzo często używane są w przepisach RODO.
Zgodnie z art. 4 pkt. 2 RODO przetwarzanie „oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.
Jak wynika z definicji operacje mogą być wykonywane na danych w sposób zautomatyzowany lub niezautomatyzowany. Operacje zautomatyzowane to takie, w których czynności przetwarzania wykonywane są z wykorzystaniem urządzeń pozwalających na ograniczenie udziału człowieka. Przykładem może być przetwarzanie danych przy wykorzystaniu algorytmów informatycznych.
Z kolei niezautomatyzowane przetwarzanie danych polega na wykonywaniu na danych różnego rodzaju działań metodami tradycyjnymi (przez człowieka) bez wykorzystywania do tego narzędzi umożliwiających automatyzację. Z uwagi na postęp techniczny coraz trudnej jest dokonać rozróżnienia pomiędzy zautomatyzowanym i niezautomatyzowanym przetwarzaniem danych. Niektóre z programów komputerowych umożliwiają przetwarzanie danych na oba te sposoby. Przykładem może być wykonywanie czynności w programie Excel. Samo wpisanie i przechowywanie danych w arkuszu będzie niezautomatyzowanym przetwarzaniem danych, natomiast wykonywanie obliczeń lub sortowanie danych przy użyciu narzędzi tego oprogramowania to operacje zautomatyzowane.
W definicji prawodawca unijny przytoczył przykładowe czynności wchodzące w zakres pojęcia przetwarzania. Rola tego wyliczenia sprowadza się do zobrazowania kategorii operacji, które uznane zostały za stanowiące „przetwarzanie danych”. Nie budzi więc wątpliwości, że czynności wskazane w przedmiotowych przepisie wchodzą w zakres definicji prawnej, chociaż potoczne rozumienie tego pojęcia jest węższe.
Należy również pamiętać, że katalog czynności wchodzących w skład „przetwarzania danych” ma charakter otwarty (dzięki użyciu sformułowania „takie jak”). Wynika to z tego, że nie jest możliwe przewidzenie wszystkich operacji, które można wykonywać na danych osobowych.
Zgodnie z art. 4 pkt. 3 RODO ograniczenie przetwarzania to „oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania”. Mówiąc prościej, ograniczenie przetwarzania oznaczać będzie czynność zawężenia sposobów przetwarzania, jakie może podejmować administrator danych. Może to dotyczyć zarówno zakresu przetwarzanych informacji oraz celów dla jakich są one wykorzystywane. Zdaniem dr Marleny Sakowskiej – Baryła „Ograniczenie przetwarzania podejmowane z woli administratora będzie najczęściej pochodną dążenia do obniżenia ryzyk, jakie wiążą się z procesem przetwarzania”.
Czynności, które pozwalają ograniczyć przetwarzanie danych osobowych przybliżone zostały w motywie (67) preambuły RODO:
„Wśród metod pozwalających ograniczyć przetwarzanie danych osobowych mogą się znaleźć między innymi: czasowe przeniesienie wybranych danych osobowych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do wybranych danych, lub czasowe usunięcie opublikowanych danych ze strony internetowej. W zautomatyzowanych zbiorach danych przetwarzanie należy zasadniczo ograniczyć środkami technicznymi w taki sposób, by dane osobowe nie podlegały dalszemu przetwarzaniu ani nie mogły być zmieniane. Fakt ograniczenia przetwarzania danych osobowych należy wyraźnie zaznaczyć w systemie”.
Powyższy katalog ma również charakter otwarty i służy jedynie przykładowemu przedstawieniu czynności, które pozwalają ograniczyć przetwarzanie danych.
Z pojęciem „ograniczenia przetwarzania” ściśle wiąże się jedno z praw, które przysługują podmiotowi danych na gruncie przepisów RODO. Mowa tu o prawie do ograniczenia przetwarzania danych, które uregulowane zostało w art. 18 RODO. Kluczowym elementem tego uprawienia jest zakaz wykonywania na danych osobowych innych operacji niż przechowywanie. Więcej informacji dotyczących tego uprawnienia będzie można przeczytać w newsletterze poświęconym temu prawu, który okaże się za jakiś czas. Natomiast już teraz odsyłam zainteresowanych do artykułu na ten temat.