Czy posiadając bazę e-mail lub nr telefonów lub jakąkolwiek inną zawierającą dane osobowe, tych danych nie przetwarzasz? Skoro do nikogo nie wysyłasz e-maili, nie dzwonisz, to przecież nie przetwarzasz tych danych? Otóż przetwarzasz. Obecne przepisy dotyczące ochrony danych osobowych jasno tłumaczą, czym jest przetwarzanie danych.
Definicja przetwarzania wg RODO
Przyjrzyjmy się definicji przetwarzania danych osobowych. Zgodnie z artykułem 4 pkt 2 RODO*:
„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie
Uwaga! Artykuł jest długi – wybierz z niego i przeczytaj to, co Cię interesuje lub… przeczytaj całość (do czego oczywiście gorąco zachęcam 🙂 ).
Przetwarzanie danych krok po kroku
A teraz rozpracujmy tą definicję krok po kroku.
1.
…w sposób zautomatyzowany lub niezautomatyzowany…
czyli przetwarzasz dane przy pomocy jakiegoś systemu (sposób zautomatyzowany) np. system wysyłkowy FreshMail do wysyłania e-maili lub SMSów do swojej bazy, lub spisujesz dane na kartce papieru np. przeprowadzając ankietę wśród przechodniów (sposób niezautomatyzowany).
2.
…zbieranie (danych osobowych)…
czyli każdy możliwy sposób pozyskania danych – może to być na przykład wspomniane wyżej przeprowadzanie ankiety, w której ktoś musi podać swoje dane czy też zapis do newslettera (który umieścisz na swoim blogu) czy w końcu zbieranie danych na tak zwanych Landing Page. Niezależnie od tego, czy zbierasz sam adres e-mail czy wszystkie dane o osobie łącznie z miejscem zamieszkania, nr PESEL, nr dowodu osobistego i jakimikolwiek innymi danymi – to wszystko to zbieranie danych osobowych.
3.
…utrwalanie (danych osobowych)…
czyli zapisanie pozyskanych danych – na przykład na papierze (w notatniku, na kartce papieru, w kalendarzu, na wspomnianej wyżej ankiecie), na pendrive, w pamięci komputera, w chmurze czy nawet na zdjęciu – wszędzie gdziekolwiek dane da się zapisać. Może to być równie dobrze drewniana deska 🙂
4.
…organizowanie (danych osobowych)…
to takie operacje na zbiorze danych, które usprawniają nam korzystanie z tego zbioru jak na przykład dodanie kategorii do posiadanych danych czy otagowaniu ich dodatkowym parametrem np. kobieta / mężczyzna.
5.
…porządkowanie (danych osobowych)…
czyli posortowanie danych w tabeli czy pogrupowanie wg województwa, płci, roku urodzenia itp. To wszystko to, co pomaga nam w analizie tych danych i ich dalszej „obróbce”. W systemie wysyłkowym Freshmail odpowiada to segmentowaniu bazy odbiorców.
6.
…przechowywanie (danych osobowych)…
i to jest najważniejszy punkt programu! Większość osób nie zdaje sobie sprawy, że już samo przechowywanie danych osobowych to ich przetwarzanie. Możesz mieć bazę danych (czy to bazę z samym adresem e-mail, czy z numerem telefonu, czy z pełnymi danymi osoby) i w tym momencie nic z nią nie robić (nie porządkować, nie organizować, nie zbierać, nie usuwać, nawet możesz jej nie przeglądać – po prostu ją masz), a to i tak będzie przetwarzanie danych. A jeśli jeszcze Twoim celem jest zmonetyzowanie tej bazy, czyli przetwarzanie jej w celach zarobkowych, to RODO obowiązuje również Ciebie – stajesz się Administratorem danych osobowych wg definicji zawartej w Rozporządzeniu.
7.
…adaptowanie (danych osobowych)…
czyli aktualizacja treści do bieżących wartości czy inaczej – dopasowanie danych osobowych do bieżących warunków. Przykładowo, jeśli w naszej bazie mamy taki parametr jak wiek, to co roku powinien on być aktualizowany, ponieważ z każdym rokiem jesteśmy starsi 🙂
8.
…modyfikowanie (danych osobowych)…
to pojęcie trochę szersze niż adaptowanie, ponieważ chodzi tutaj o zmianę treści danych, jakie posiadamy w swojej bazie – na przykład gdy ktoś zmienia nazwisko, to w bazie powinniśmy je zaktualizować, lub gdy ktoś zmienia adres e-mail czy numer telefonu.
9.
…pobieranie (danych osobowych)…
to skopiowanie danych np na swój komputer, pendrive, telefon czy inny nośnik.
10.
…przeglądanie (danych osobowych)…
czyli samo już „zapoznanie się z treścią danych”, które gdzieś mamy. Możemy z tymi danymi nic innego nie robić, tylko je przeglądać i na gruncie RODO to już będzie przetwarzanie danych. Pamiętaj jednak – jak już wspominałam wcześniej – że aby Rozporządzenie Cię obowiązywało, należy dodatkowo być Administratorem danych wg RODO.
11.
…wykorzystywanie (danych osobowych)…
kiedy korzystasz z tych danych do ustalonego przez siebie celu, np. do zarabiania poprzez wysyłanie informacji handlowych/newsletterów do posiadanej bazy e-mail.
11.
…ujawnianie (danych osobowych) poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie…
oznacza przekazanie danych innym osobom, instytucjom czy przedsiębiorstwom – czy to w formie przesłania danych np. poprzez e-mail, pocztą tradycyjną, kurierem, jakikolwiek komunikator internetowy czy interfejs API. Może to być również podanie danych do wiadomości publicznej, np udostępnienie ich na stronie internetowej czy na forum internetowym, gdzie do tych danych dostęp będą mieli wszyscy użytkownicy przeglądający stronę czy forum. A jeszcze inny przykład to taki, gdzie dane umieścisz np. na przydrożnej reklamie (billboard) czy na przystanku autobusowym. Możliwości jest naprawdę wiele i każda z nich to przetwarzanie danych osobowych zgodnie z RODO.
12.
…dopasowywanie lub łączenie (danych osobowych)…
dopasowywanie ma miejsce wówczas, gdy masz na przykład dwie bazy danych i sprawdzasz czy dane z jednej bazy znajdują się w drugiej bazie, a łączenie, gdy chcesz te dane z tych dwóch baz połączyć ze sobą.
13.
…ograniczanie (przetwarzania danych osobowych)…
osoba, której dane przetwarzasz, ma prawo do ograniczenia przetwarzania swoich danych osobowych, a Ty jako administrator zarządzający posiadaną bazą danych po takim zgłoszeniu od tej osoby, oznaczasz dane, których przetwarzanie należy ograniczyć.
14.
… usuwanie lub niszczenie (danych osobowych)…
usuwanie ma miejsce, gdy usuwasz same dane bez niszczenia nośnika – np. usuwasz czyjeś dane z dysku swojego komputera, ale nie niszczysz przy tym dysku (skakając po nim czy coś 🙂 ). Natomiast niszczenie danych to już faktyczna destrukcja nośnika tych danych np. potraktowanie dokumentów papierowych czy płyt CD niszczarką czy oddanie dysku komputera do firmy zajmującej się niszczeniem (która to firma powinna nam wystawić oczywiście protokół zniszczenia).
Kogo dotyczy RODO?
Pamiętaj, że przytoczona powyżej definicja przetwarzania, jak i RODO nie dotyczy danych, które przetwarzamy w celach osobistych (prywatnych). Jednocześnie ważne jest to, że RODO nie dotyczy tylko firm, a dotyczy wszystkich, którzy przetwarzają lub chcą przetwarzać dane w celach komercyjnych (zarobienia pieniędzy na ich przetwarzaniu).
*Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w skrócie RODO).
