Zakres normatywnej definicji pojęcia przetwarzania danych osobowych

Pojęcie „przetwarzanie” na gruncie języka prawnego i prawniczego nie pokrywa się ze znaczeniem tego słowa w języku potocznym. Według definicji słownikowej, przetwarzać oznacza „przerabiać, zmieniać coś nadając inny kształt, wygląd, inną postać, formę, przekształcać, przeobrażać”214. Pojęcie przetwarzania danych zostało wyjaśnione przez prawodawcę unijnego i polskiego. Jako pierwszą przytoczyć trzeba definicję z Dyrektywy 95/46/WE, zgodnie z którą przez przetwarzanie rozumiano każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie,

przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie,

wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie (art. 2 lit. b Dyrektywy 95/46/WE). W przepisach UODO z 1997 r. definicja przetwarzania została sformułowana jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 UODO z 1997 r.). Natomiast RODO definiuje przetwarzanie jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO). Wszystkie trzy zacytowane definicje zbudowane są w ten sam sposób. Składają się z części ogólnej, która

80

powtarzalnie wskazuje szeroki zakres operacji na danych osobowych, oraz części szczegółowej, wskazującej rodzaje tych operacji. Wyjaśnienie z osobna wymienionych operacji zostało dokonane na gruncie nauki prawa215

. Przepisy UODO z 1997r. i RODO dodatkowo eksponują sposób przetwarzania, poprzez wskazanie na przetwarzanie w formie zautomatyzowanej lub niezautomatyzowanej.

Czynności przetwarzania zwykle mają charakter aktywnego podejmowania działań, choć są wśród nich również takie, które kojarzą się z zachowaniem biernym jak np. przechowywanie czy gromadzenie. W nauce prawa zwraca się uwagę, że objęcie zakresem pojęcia przetwarzania zarówno tego co wymaga, jak i tego co nie wymaga pracy nad danymi, ma spore znaczenie praktyczne²¹⁶. Warto zwrócić uwagę na specyficzne sytuacje, gdy podmiot zbierał określone dane osobowe do określonych celów działalności, natomiast po pewnym czasie tę działalność zakończył. Jeśli jednakże po zakończeniu działalności podmiot nadal dysponuje danymi (nawet jeśli tylko je przechowuje), to w rozumieniu przepisów prawa nadal je przetwarza. Co za tym idzie, w dalszym ciągu ciążą na nim obowiązki administratora danych217

i nieskuteczne byłoby podnoszenie, że nie wykorzystuje danych w żadnych celach, a jedynie pozostały one w jego zasobach i są tylko przechowywane bez podejmowania jakichkolwiek działań. Błędem byłoby niezwrócenie uwagi na istotną kwestię związaną z tym, że przetwarzanie danych obejmuje swoim zakresem cały cykl istnienia danych, tzn. od momentu ich pozyskania, do momentu ich usunięcia. Usunięcie to zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą (definicja funkcjonowała na gruncie art. 7 pkt 3 UODO z 1997 r., prawodawca w treści RODO nie zdecydował się na sformułowanie definicji usunięcia). Rozumieć z tego należy, że za dane usunięte są uważane dane fizycznie zniszczone lub też dane, które poddano nieodwracalnemu procesowi anonimizacji, pozbawiającego dane osobowego charakteru. Przetwarzaniem będzie więc czynność niszczenia i anonimizacji danych. Ta druga opcja oznacza w praktyce, że podmiot nie przetwarza danych osobowych pomimo faktycznego przechowywania informacji, które wcześniej stanowiły dane osobowe, ale zostały one zmodyfikowane w taki sposób, że nie można ich przypisać do osoby (jedna z form

215 Na temat pojęcia przetwarzania zob. szerzej A. Krasuski, Dane osobowe w obrocie tradycyjnym i

elektronicznym, Warszawa 2012, s.104-109.

216 M. Kuba [w:] T. A. J. Banyś, E. Bielak-Jomaa, M. Kuba, J. Łuczak, Prawo…, op. cit., s. 67.

217 Zgodnie z treścią art. 4 pkt 7 RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

81

usunięcia danych). Z powyższych uwag można zatem wywieść, że kluczowe znaczenie w definicji przetwarzania danych osobowych ma to, by dane, na których wykonywane są operacje, miały osobowy charakter. Dokonywanie tych samych operacji, ale na danych pozbawionych możliwości przypisania ich osobie (po procesie anonimizacji) nie będzie przetwarzaniem w rozumieniu przepisów prawa. W konsekwencji do operacji na takich danych nie będą miały zastosowania przepisy o ochronie danych osobowych. Na marginesie warto dodać, że w ramach przetwarzania danych osobowych wyróżnić można czynności przetwarzania ukierunkowane do wewnątrz, w stosunku do danych będących w dyspozycji przetwarzającego (np. porządkowanie, przeglądanie), jak również czynności ukierunkowane na zewnątrz, w stosunku do innych podmiotów (np. przesyłanie, rozpowszechnianie, udostępnianie).

Katalog działań wymienianych w przepisach prawa jako czynności przetwarzania ma charakter otwarty. Świadczy o tym przede wszystkim literalne brzmienie przepisu i zastosowanie sformułowania „taką jak”, „lub innego rodzaju” czy „jakiekolwiek”. Wynika to również z faktu, że nie jest możliwe określenie z góry wszystkich czynności, które wchodzą lub ewentualnie mogą wchodzić w zakres pojęcia przetwarzania danych

osobowych²¹⁸. Przykładowe wyliczenie operacji przetwarzania można spotkać

w orzecznictwie, gdzie stwierdzono, że każde połączenie skonkretyzowanych danych osobowych z jakimkolwiek działaniem administratora danych, będzie stanowiło ich przetwarzanie²¹⁹. Szeroka definicja i otwarty katalog operacji stanowiących przetwarzanie

danych osobowych niejednokrotnie wymaga doprecyzowania w postaci interpretacji judykatury. Przykładem jest wyrok Sądu Najwyższego, gdzie uznano, że udostępnianie pełnego zapisu przebiegu posiedzenia komisji sejmowej w Systemie Informacyjnym Sejmu, jeżeli zapis ten obejmuje dane osobowe w postaci imienia i nazwiska umieszczonego w kontekście pozwalającym na identyfikację osoby fizycznej, jest

przetwarzaniem danych osobowych220. Oprócz otwartego katalogu czynności

przetwarzania, zwraca uwagę także ustawowa konstrukcja sposobów przetwarzania. Ustawodawca brał pod uwagę wszystkie możliwe sposoby, a podkreślał te wykonywane w systemach informatycznych. Podobnie postąpił prawodawca unijny, który ujął sposoby

218 A. Dmochowska [w:] A Dmochowska, M. Zadrożny (red.), Unijna reforma ochrony danych osobowych.

Analiza zmian, Warszawa 2016, Legalis.

219 Wyrok Wojewódzkiego Sądu Administracyjnego siedziba w Warszawie z dnia 9 października 2015r., II SA/Wa 40/15, Legalis nr 1364248.

220

Wyrok Sądu Najwyższego z dnia 13 kwietnia 2017 roku, I CSK 289/16, dostępny na www.sn.pl/sites/orzecznictwo/orzeczenia3/i%20csk%20289-16-1.pdf.

82

przetwarzania danych równie szeroko, poprzez sformułowanie „w sposób

zautomatyzowany lub niezautomatyzowany”. Jako trafne należy uznać uzasadnienie powyższych sformułowań faktem, że praktycznie nieograniczone są możliwości obiegu informacji w sieci²²¹, dlatego przy przetwarzaniu danych za pomocą systemów informatycznych (środków zautomatyzowanych) istotna jest szczególna troska o bezpieczeństwo danych.

Z punktu widzenia prowadzonych na gruncie rozprawy rozważań, których przedmiotem jest umowa powierzenia przetwarzania danych osobowych, nie sposób nie zauważyć, że ustawodawca wśród operacji przetwarzania nie wymienia powierzenia danych. Trudno znaleźć wyjaśnienie co do intencji i ewentualnego celu nieumieszczenia powierzenia np. obok udostępnienia danych można przyjąć, że taki stan rzeczy potwierdza tezę, że definicja przetwarzania danych osobowych zawiera otwarty katalog operacji na danych. Niemniej jednak nie ulega wątpliwości, że w powierzenie mieści się w zakresie przetwarzania danych osobowych.