Baza wiedzy

Poniżej przedstawiamy listę terminów powszechnie związanych z tematyką ochrony danych osobowych.

Nie jest to wyczerpująca lista wszystkich terminów związanych z ochroną danych osobowych, ale ułatwi ona ogólne rozeznanie i zrozumienie terminologii używanej, na co dzień.

 

Urząd Ochrony Danych Osobowych (UODO) przed zmianą Generalny Inspektor Ochrony Danych Osobowych (GIODO) – organ właściwy ds. ochrony danych osobowych a także organ nadzorczy w rozumieniu RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych).

Główne zadania Prezesa UODO to m.in.: prowadzenie współpracy międzynarodowej, podejmowanie działań certyfikacyjnych, podejmowanie działań edukacyjnych, prowadzenie postępowań w sprawach o naruszenie przepisów o ochronie danych, nadzór nad wykonywaniem RODO i dyrektywy policyjnej, opiniowanie założeń i projektów aktów prawnych dotyczących ochrony danych osobowych, coroczne przedstawianie sprawozdań ze swojej działalności.

Prezes UODO jest powoływany i odwoływany przez Sejm za zgodą Senatu na wniosek Prezesa Rady Ministrów.

 

Administrator Danych Osobowych (ADO) – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Zobowiązany jest przetwarzać dane osobowe zgodnie z wytycznymi RODO. Do jego zadań należy m. in. dbanie o właściwy sposób zabezpieczania i przetwarzania zgromadzonych danych, dbanie o interesy osób, których dane dotyczą i respektowanie ich praw np. poprzez spełnienie obowiązku informacyjnego. Dodatkowo powinien, (jeśli prawo nie stanowi inaczej) prowadzić rejestr czynności przetwarzania danych osobowych oraz wyznaczyć i zgłosić w UODO Inspektora Ochrony Danych (IOD).

Obowiązki:

    • wykazanie zgodności przetwarzania danych z RODO, czyli realizacja zasady rozliczalności,
    • wypełnianie obowiązków informacyjnych wobec osób, których dane przetwarza,
    • przestrzeganie praw osób, których dane dotyczą, oraz ułatwianie realizacji tych praw,
    • generalny obowiązek zabezpieczenia przetwarzanych danych,
    • przetwarzanie danych zgodnie z zasadami privacy by design i privacy by default,
    • prowadzenie rejestru czynności przetwarzania danych,
    • współpraca z organem nadzorczym,
    • zgłaszanie naruszeń organowi nadzorczemu,
    • zawiadamianie podmiotów danych o naruszeniach,
    • przeprowadzanie analizy ryzyka oraz w razie konieczności opracowanie oceny skutków dla ochrony danych.

 

Inspektor ochrony danych (IOD) – to osoba, która z upoważnienia administratora danych osobowych przestrzega, aby stosowanie środków technicznych i organizacyjnych zapewniało ochronę przetwarzanych danych osobowych w sposób odpowiedni od zagrożeń. IOD może zostać zarejestrowany w bazie Urzędu Ochrony Danych Osobowych, co zwalnia przedsiębiorstwo z obowiązku rejestracji zbiorów danych osobowych.

Urząd Ochrony Danych Osobowych wymaga inspektora danych osobowych w następujących scenariuszach:

    • Organy lub podmioty publiczne (z wyjątkiem sądów), RODO wskazuje także, że inspektora ochrony danych powinny powoływać także podmioty prywatne, realizujące zadania publiczne, np. dostarczanie energii, wody itp.
    • Administratorzy, których działalność opiera się na operacjach przetwarzania danych, które z uwagi na swój charakter, cele lub zakres wymagają monitorowania osób, których dotyczą. W tej kategorii znajdą się zarówno podmioty przetwarzające dane, jak i te, których działalność jest nierozerwalnie związana z ich przetwarzaniem.
    • Administratorzy, których działalność opiera się na operacjach przetwarzania danych osobowych szczególnych kategorii osób, a więc danych wrażliwych. Ta kategoria może odnosić się do danych dotyczących naruszeń prawa lub wyroków skazujących.

 

Dane osobowe – to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Danymi osobowymi będą, zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, są łatwe do ustalenia.

Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

 

Przetwarzanie danych osobowych – to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach teleinformatycznych. System teleinformatyczny – to urządzenia oraz oprogramowanie wzajemnie ze sobą współpracujące zapewniając przy tym przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne.

 

Przetwarzanie danych osobowych jest zgodne z prawem gdy:

    • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych;
    • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
    • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
    • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą;
    • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
    • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

 

Privacy by design – takie projektowanie procesu przetwarzania danych osobowych (np. w zakresie doboru środków technicznych) by chronić prawa osób, których dane dotyczą.

 

Privacy by default - domyślnie przetwarzane mają być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania.

 

System informatyczny – to zbiór urządzeń i programów, które służą do przetwarzania danych przy użyciu techniki komputerowej. Możemy zaliczyć do systemów informatycznych m.in.: komputery, urządzenia do gromadzenia i przechowywania danych, urządzenia służące do komunikacji pomiędzy ludźmi i komputerami, oprogramowanie, drukarki itp.

 

Polityka bezpieczeństwa – jest to dokument, który opisuje założenia dotyczące systemu bezpieczeństwa informacji obowiązującego w organizacji. Dokument ten zawiera zbiór spójnych, precyzyjnych reguł oraz procedur, dot. zarządzania zasobami, systemami informatycznymi i informacjami w celu ochrony danych w tym danych osobowych.

 

Instrukcja zarządzania systemem informatycznym – dokument ten jest częścią polityki bezpieczeństwa. Określa sposób zarządzania systemem informatycznym, wykorzystywanym do przetwarzania danych osobowych.

 

Polityka prywatności –to dokument informacyjny, umieszczany zwykle na stronie internetowej, pomagający zrozumieć, w jaki sposób chronione są dane osobowe użytkowników korzystających z danego serwisu. Dokument taki zawiera mi.in. informacje na temat sposobów zbierania danych od użytkowników, ich zabezpieczania i udostępniania, późniejszego wykorzystywania czy też sposobów ich zmiany i usuwania, itp.

 

Obowiązek informacyjny – powinien zawierać następujące informacje związane z przetwarzaniem danych osobowych:

    • dobrowolność lub obowiązek podania danych osobowych;
    • tożsamość administratora i dane kontaktowe;
    • cel przetwarzania danych;
    • podstawa prawna przetwarzania;
    • okres przetwarzania danych osobowych;
    • informacje o odbiorcach danych osobowych;
    • informacje o prawie dostępu do danych;
    • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);
    • informacje o zautomatyzowanym podejmowaniu decyzji (gdy ma to zastosowanie);
    • informacje o prawie do cofnięcia zgody (gdy ma to zastosowanie);
    • dane kontaktowe IOD (gdy ma to zastosowanie);
    • prawo do wniesienia skargi do organu nadzorczego;

 

Umowa powierzenia danych osobowych – polega na tym, że administrator danych powierza w drodze pisemnej umowy ich przetwarzanie w całości lub w części innemu podmiotowi. Obligatoryjne elementy umowy powierzenia to:

    • przedmiot przetwarzania
    • czas trwania przetwarzani
    • charakter przetwarzania
    • cel przetwarzania
    • rodzaj danych osobowych
    • kategorię osób, których dane dotyczą
    • obowiązki i prawa administratora

 

Upoważnienia do przetwarzania danych osobowych – jest to dokument, którym powinny się legitymować osoby, które zajmują się przetwarzaniem danych osobowych w imieniu administratora danych.