Baza wiedzy

 

Poniżej przedstawiamy listę terminów powszechnie związanych z tematyką ochrony danych osobowych.

 

Nie jest to wyczerpująca lista wszystkich terminów związanych z ochroną danych osobowych, ale ułatwi ona ogólne rozeznanie i zrozumienie terminologii używanej, na co dzień.

 

Urząd Ochrony Danych Osobowych (UODO) przed zmianą Generalny Inspektor Ochrony Danych Osobowych (GIODO)

Organ właściwy ds. ochrony danych osobowych a także organ nadzorczy w rozumieniu RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych).

Główne zadania Prezesa UODO to m.in.:

  • prowadzenie współpracy międzynarodowej,
  • podejmowanie działań certyfikacyjnych,
  • podejmowanie działań edukacyjnych prowadzenie postępowań w sprawach o naruszenie przepisów o ochronie danych,
  • nadzór nad wykonywaniem RODO i dyrektywy policyjnej,
  • opiniowanie założeń i projektów aktów prawnych dotyczących ochrony danych osobowych,
  • coroczne przedstawianie sprawozdań ze swojej działalności.

Prezes UODO jest powoływany i odwoływany przez Sejm za zgodą Senatu na wniosek Prezesa Rady Ministrów.

 

Administrator Danych Osobowych (ADO)

Oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Zobowiązany jest przetwarzać dane osobowe zgodnie z wytycznymi RODO. Do jego zadań należy m. in.:

  • dbanie o właściwy sposób zabezpieczania i przetwarzania zgromadzonych danych,
  • dbanie o interesy osób, których dane dotyczą i respektowanie ich praw np. poprzez spełnienie obowiązku informacyjnego. Dodatkowo powinien, (jeśli prawo nie stanowi inaczej) prowadzić rejestr czynności przetwarzania danych osobowych. Oraz wyznaczyć i zgłosić w UODO Inspektora Ochrony Danych (IOD).

Obowiązki:

    • wykazanie zgodności przetwarzania danych z RODO, czyli realizacja zasady rozliczalności,
    • wypełnianie obowiązków informacyjnych wobec osób, których dane przetwarza,
    • przestrzeganie praw osób, których dane dotyczą, oraz ułatwianie realizacji tych praw,
    • generalny obowiązek zabezpieczenia przetwarzanych danych,
    • przetwarzanie danych zgodnie z zasadami privacy by design i privacy by default,
    • prowadzenie rejestru czynności przetwarzania danych,
    • współpraca z organem nadzorczym,
    • zgłaszanie naruszeń organowi nadzorczemu,
    • zawiadamianie podmiotów danych o naruszeniach,
    • przeprowadzanie analizy ryzyka oraz w razie konieczności opracowanie oceny skutków dla ochrony danych.

 

Inspektor ochrony danych (IOD)

To osoba, która z upoważnienia administratora danych osobowych przestrzega, aby stosowanie środków technicznych i organizacyjnych zapewniało ochronę przetwarzanych danych osobowych w sposób odpowiedni od zagrożeń. IOD może zostać zarejestrowany w bazie Urzędu Ochrony Danych Osobowych, co zwalnia przedsiębiorstwo z obowiązku rejestracji zbiorów danych osobowych.

Urząd Ochrony Danych Osobowych wymaga inspektora danych osobowych w następujących scenariuszach:

    • Organy lub podmioty publiczne (z wyjątkiem sądów). RODO wskazuje także, że inspektora ochrony danych powinny powoływać także podmioty prywatne, realizujące zadania publiczne, np. dostarczanie energii, wody itp.
    • Administratorzy, których działalność opiera się na operacjach przetwarzania danych, które z uwagi na swój charakter, cele lub zakres wymagają monitorowania osób, których dotyczą. W tej kategorii znajdą się zarówno podmioty przetwarzające dane, jak i te, których działalność jest nierozerwalnie związana z ich przetwarzaniem.
    • Administratorzy, których działalność opiera się na operacjach przetwarzania danych osobowych szczególnych kategorii osób, a więc danych wrażliwych. Ta kategoria może odnosić się do danych dotyczących naruszeń prawa lub wyroków skazujących.

 

Dane osobowe

To wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Danymi osobowymi będą, zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, są łatwe do ustalenia.

Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

 

Przetwarzanie danych osobowych

To wykonywanie jakichkolwiek operacji na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach teleinformatycznych. System teleinformatyczny – to urządzenia oraz oprogramowanie wzajemnie ze sobą współpracujące zapewniając przy tym przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne.

 

 

Privacy by design

Takie projektowanie procesu przetwarzania danych osobowych (np. w zakresie doboru środków technicznych) by chronić prawa osób, których dane dotyczą.

 

Privacy by default

Domyślnie przetwarzane mają być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania.

 

System informatyczny

To zbiór urządzeń i programów, które służą do przetwarzania danych przy użyciu techniki komputerowej. Możemy zaliczyć do systemów informatycznych m.in.:

  • komputery,
  • urządzenia do gromadzenia i przechowywania danych,
  • urządzenia służące do komunikacji pomiędzy ludźmi i komputerami,
  • oprogramowanie,
  • drukarki itp.

 

Polityka bezpieczeństwa

Jest to dokument, który opisuje założenia dotyczące systemu bezpieczeństwa informacji obowiązującego w organizacji. Dokument ten zawiera zbiór spójnych, precyzyjnych reguł oraz procedur, dot. zarządzania zasobami, systemami informatycznymi i informacjami w celu ochrony danych w tym danych osobowych.

 

Instrukcja zarządzania systemem informatycznym

Dokument ten jest częścią polityki bezpieczeństwa. Określa sposób zarządzania systemem informatycznym, wykorzystywanym do przetwarzania danych osobowych.

 

Polityka prywatności

To dokument informacyjny, umieszczany zwykle na stronie internetowej, pomagający zrozumieć, w jaki sposób chronione są dane osobowe użytkowników korzystających z danego serwisu. Dokument taki zawiera mi.in. informacje na temat sposobów zbierania danych od użytkowników, ich zabezpieczania i udostępniania, późniejszego wykorzystywania czy też sposobów ich zmiany i usuwania, itp.

 

Obowiązek informacyjny

 

 

Umowa powierzenia danych osobowych

Polega na tym, że administrator danych powierza w drodze pisemnej umowy ich przetwarzanie w całości lub w części innemu podmiotowi. Obligatoryjne elementy umowy powierzenia to:

    • przedmiot przetwarzania
    • czas trwania przetwarzani
    • charakter przetwarzania
    • cel przetwarzania
    • rodzaj danych osobowych
    • kategorię osób, których dane dotyczą
    • obowiązki i prawa administratora

 

Upoważnienia do przetwarzania danych osobowych

Jest to dokument, którym powinny się legitymować osoby, które zajmują się przetwarzaniem danych osobowych w imieniu administratora danych.