Podmiot przetwarzający (ang. procesor) jest podmiotem prawnie odrębnym od administratora danych, który na podstawie umowy, w imieniu administratora danych i na jego rzecz przetwarza dane osobowe. Zgodnie bowiem z art. 31 ust. 1 uodo administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
Kolejną przesłanką wskazaną w art. 23 ust. 1 pkt 2) jest realizacja uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przesłanka uległa zmianie wskutek nowelizacji ustawy z dnia 22 stycznia 2004 r. W pierwotnym brzmieniu przesłanka ta uznawała dopuszczalność przetwarzania danych osobowych, gdy zezwalały na to przepisy prawa. Analizując polską ustawę pod kątem zgodności z dyrektywą 95/46/WE, Komisja Europejska oceniła, że wskazana przesłanka ujęta została zbyt szeroko[1].
Przesłanki przetwarzania danych osobowych zwykłych ustawodawca umieścił w art. 23 Ustawy. Nazywa się je ogólnymi materialnymi przesłankami przetwarzania danych osobowych[1] Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz"; odmiennie kształtują się jedynie przesłanki usprawiedliwiające przetwarzanie danych wrażliwych (zob. art. 27 ust.
Zasada merytorycznej poprawności, jak wskazuje GIODO w swoich wytycznych, oznacza, że dane powinny być zgodne z prawdą, pełne (kompletne) i aktualne. W celu zapewnienia merytorycznej poprawności danych konieczne jest aby w procesie przetwarzania danych administrator danych:
· każdorazowo oceniał wiarygodność źródła pozyskania danych,
· wypracował tryb weryfikowania prawdziwości danych (w zależności od tego, czy dane są zwykłe czy szczególnie chronione) oraz
Jak wskazuje art 7 pkt 2) Ustawy przez przetwarzanie danych osobowych należy rozumieć jakiekolwiek informacje wykonywane na tych danych, takiej jak zbieranie, utrwalanie, przechowywanie, opracowanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Ustawa o ochronie danych osobowych wyróżnia dwa rodzaje danych, dane zwykłe i dane wrażliwe (zwane także danymi sensytywnymi). Zgodnie z art. 6 „za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Zgodnie z brzmieniem artykułu 6 ust 1 Ustawy o ochronie danych osobowych dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Powyższa definicja wymaga wyjaśnienia kilku pojęć w niej zawartych tj. informacji, osoby fizycznej, identyfikowalności.