Zgodnie z definicją umieszczoną w art. 4 pkt 2 RODO, przetwarzanie oznacza: „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.
Rozporządzenie wymienia więc szereg rozmaitych działań, które, w związku z wszelkiego rodzaju danymi osobowymi, mogą być uznane za procesy przetwarzania danych osobowych. Mogą, bo w rzeczywistości każdą czynność należy oceniać indywidualnie, na podstawie konkretnego przypadku i w oparciu o to zaliczać ją do operacji przetwarzania. Warto jednak zwrócić uwagę, że zakres tak sformułowanego pojęcia jest bardzo szeroki, obejmuje on bowiem różnorodne czynności od momentu pozyskania danych aż do chwili ich usunięcia. Co ciekawe w skład tak rozumianej operacji przetwarzania wchodzi również samo przechowywanie danych osobowych, co oznacza, że administrator nie musi wykonywać żadnych faktycznych działań na danych, a jedynie posiadać je w swoim systemie informatycznym lub bazie danych, aby podlegać przepisom rozporządzenia.
W praktyce, przy prowadzeniu codziennej działalności gospodarczej, warto kierować się domniemaniem, zgodnie z którym w sytuacji spornej, przy wystąpieniu jakichkolwiek wątpliwości, konkretna czynność powinna zostać uznana za operację przetwarzania danych osobowych. W niektórych przypadkach bowiem ta prosta zasada może uchronić przedsiębiorcę przed stresem związanym koniecznością dokonania kwalifikacji danej czynności, a także przed potencjalnymi negatywnymi skutkami niewywiązywania się z RODO.
Definicja zaproponowana przez autorów zwraca też uwagę na sposób w jaki dane osobowe mogą być przetwarzane wymieniając metody zautomatyzowane lub niezautomatyzowane. Rozróżnienie to wydaje się jednak bezużyteczne, bo choć wyraźnie podzielono omawiane czynności na dwie kategorie, to obie z nich i tak zaliczone zostały do zakresu operacji przetwarzania, a więc nie ma znaczenia, z którą z nich mamy do czynienia, bo w praktyce wszystkie czynności będą spełniały wymogi tak sformułowanego pojęcia. Dla formalności trzeba jednak wskazać, że większość autorów uznaje, że przetwarzanie zautomatyzowane (tu bez znaczenia czy mówimy o zautomatyzowaniu całkowitym czy częściowym) oznacza przetwarzanie przy użyciu komputerów i z wykorzystaniem technologii komputerowych, a niezautomatyzowane to przetwarzanie wykonywane przez człowieka, ręcznie, pozbawione jakichkolwiek wątków technologicznych.
Aby lepiej zrozumieć czym są omawiane operacje przetwarzania, warto prześledzić konkretne przykłady. Komisja Europejska wskazuje na, jej zdaniem, najczęściej występujące z nich. Są to:
– zarządzanie personelem i administracja kadrowo-płacowa;
– dostęp/wgląd do bazy kontaktów zawierających dane osobowe;
– przesyłanie promocyjnych wiadomości e-mail;
– niszczenie dokumentów zawierających dane osobowe;
– publikowanie/umieszczanie fotografii osoby fizycznej na stronie internetowej;
– przechowywanie adresów IP lub MAC;
– zapis obrazu wideo (CCTV).
Jak widać więc w skład czynności przetwarzania wchodzić mogą rozmaite działania, których nie sposób wyliczyć w obrębie jednego artykułu. Zagadnienie to nie jest jednak tak skomplikowane jak mogłoby się wydawać na pierwszy rzut oka i, pomimo naprawdę obszernego zakresu pojęcia „przetwarzania”, bez większego wysiłku można opanować najważniejsze kwestie z nim związane i wywiązać się z zadań, które stawia przed przedsiębiorcami RODO. Trzeba jednak pamiętać, aby przetwarzanie pozostawało w zgodzie z zasadami ustanowionymi w rozporządzeniu. Nimi jednak zajmiemy się w części trzeciej.
