Ochrona danych osobowych - terminologia


Jeśli nie miałeś do tej pory styku z terminologią w zakresie ochrony danych osobowych, zapoznaj się proszę z umieszczonymi niżej pojęciami to ułatwi Ci zrozumienie tematu.

 

  • Dane osobowe - w rozumieniu RODO za dane osobowe uważa się wszystkie te dane, które przy zastosowaniu "rozsądnych" ( tzn.: uwzględniających takie czynniki jak: czas, koszt oraz technologię)  sposobów, mogą zostać użyte przez administratora danych do identyfikacji osoby fizycznej zarówno w sposób bezpośredni jak i pośredni. Oznacza to tyle, że dane, które wymagają od administratora użycia do identyfikacji osoby fizycznej drogich, kosztownych technologii lub wymagają zużycia bardzo dużych ilości czasu, nie są uznane za dane osobowe.

 

  • Administrator danych osobowych - zgodnie z definicją jest to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Może być nim, zarówno instytucja państwowa, samorządowa, właściciel jednoosobowej działalności gospodarczej jak i spółka z osobowością prawną. Na administratorze ciąży zgodnie z prawem szereg praw i obowiązków związanych z przetwarzaniem danych osobowych.

 

  • Przetwarzanie danych osobowych - to zbiór wszystkich czynności podejmowanych przez administratora związanych z użyciem danych osobowych do realizacji celów przetwarzania danych.

 

  • Cel przetwarzania danych osobowych - cel przetwarzania odpowiada na pytanie: po co administrator danych osobowych przetwarza dane osobowe? Zgodnie z RODO i zasadami ochrony danych osobowych cel nie może być przypadkowy. Cel musi posiadać tzw. podstawę prawną, czyli uzasadnienie w przepisach prawa krajowego, międzynarodowego, kanonicznego, wyznaniowego, które sankcjonuje określone działania. Ważne jest również to, że żeby cel przetwarzania mógł być uznany za dopuszczalny musi operować na danych pozyskanych zgodnie z obowiązującym prawem.

 

  • Anonimizacja danych osobowych - technika, dzięki której pozbawia się nieodwracalnie dane osobowe cech umożliwiających identyfikację konkretnej osoby fizycznej. Dane osobowe po zanonimizowaniu posiadają jednak cechy umożliwiające do zastosowania np.: jako dane statystyczne, wskaźniki trendów.

 

  • Pseudonimizacja danych - jest to technika, polegająca na zmianie części danych w taki sposób, żeby część danych zastąpić danymi uniemożliwiający ustalenie tożsamości osoby fizycznej. Jednak inaczej niż w przypadku anonimizacji danych, dane oryginalne zapisuje się w połączeniu z danymi zastępczymi w innym odseparowanym i zabezpieczonym miejscu, dzięki czemu w przyszłości można będzie odtworzyć oryginalny zestaw danych osobowych.

 

  • Zasada "privacy by default" - ta zasada,  mówi, że  administrator danych osobowych nie może wymuszać na osobie fizycznej, której dane osobowe przetwarzania, zachowań ograniczających prawa w zakresie ochrony danych osobowych. Musi zapewnić osobie fizycznej możliwość nieprzymuszonego podejmowania decyzji w sprawie powierzania, przetwarzania oraz wstrzymywania przetwarzania danych osobowych (o ile nie jest to sprzeczne z przepisami prawa).

 

  • Zasada "privacy by design" - ta zasada mówi, że projektując procesy przetwarzania danych osobowych, musi on kierować się tym, żeby przetwarzany był zawsze minimalny, niezbędny zestaw danych osobowych. Przykładowo, w procesie rekrutacji nowego pracownika na stanowisko kierowcy, nie wolno rekruterowi pytać o stan cywilny, przebyte choroby (pod warunkiem, że  nie wymagają tego przepisy prawa na danym stanowisku), czy poglądy polityczne, ponieważ nie jest to niezbędne do zatrudnienia pracownika na określone stanowisko. Zasada ta wiąże się także z projektowaniem tzw. retencji danych w odniesieniu do danych osobowych

 

  • Retencja danych (osobowych) - termin ten oznacza okres po jakim zaprzestaje się przetwarzania określonych danych i usuwa je trwale z systemów informatycznych, czy archiwów papierowych. Czas retencji danych może być określony w sposób opisowy np.: dane usuwa się po zaraz po zakończeniu procesu rekrutacji. Może być też wyrażony liczbami np.: 5 lat dla danych podatkowych, 50 lat dla danych kadrowych od momentu  zakończenia stosunku pracy itp. . Ma to też zastosowanie w przypadku prawa kanonicznego np.: do celów genealogicznych nie można udostępnić danych z ksiąg parafialnych, dla wpisów młodszych niż 100 lat.

 

  • Dane wrażliwe - taki rodzaj danych osobowych, których przetwarzanie dotyka szczególnie wrażliwych sfer życia osoby fizycznej. Przy czym zakłada się, że w określonych sytuacjach ich ujawnienie może mieć mocno niekorzystne skutki dla osoby, której dotyczą. Do katalogu danych wrażliwych zalicza się: płeć, informacje o stanie zdrowia lub przebytych chorobach, informacje o nałogach, orientacji seksualnej, poglądach politycznych, wyznaniu, stanie cywilnym, przynależności do związków zawodowych, światopoglądzie. Przetwarzanie takich danych z zasady jest zabronione. Od tej zasady są jednak wyjątki, o których napiszemy w innym miejscu.

 

  • Zgoda na przetwarzanie danych osobowych - najprościej ujmując jest to jasne, świadome, konkretne oświadczenie woli osoby fizycznej w sprawie zgody na przetwarzanie danych osobowych. Dlatego też zgoda na przetwarzanie danych osobowych musi być sformułowana tak, żeby umożliwiać wyróżnienie wszystkich celów przetwarzania, na które wyrażamy zgodę. Musi również być jednoznaczna, tzn. potwierdzać, że wyrażamy zgodę na przetwarzanie danych konkretnemu podmiotowi w konkretnym celu. Na podstawie treści zgody musimy być również świadomi, na co i komu wyrażamy zgodę. Zgoda taka musi być zebrana w sposób wykluczający ingerencję administratora w naszą decyzję o wyrażeniu zgody.  Zagadnienie to szeroko opisano w artykule: Zgoda jako podstawa legalnego przetwarzania danych osobowych.

 

  • Profilowanie - budowa modelu zachowania lub prognozowania zachowań  na podstawie analizy decyzji podejmowanych w przeszłości, danych i treści umieszczanych w różnych źródłach np.: forach, mediach społecznościowych, oceny niektórych czynników osobowych (fizycznych i psychicznych), lokalizacji oraz przemieszczania się, preferencji oraz zainteresowań. Odpowiednio zaawansowane profilowanie może doprowadzić do ujawnienia tożsamości osoby fizycznej, która podlega profilowaniu.

 

  • Zautomatyzowane podejmowanie decyzji - podejmowanie decyzji przez systemy komputerowe, bez udziału człowieka, na podstawie danych osobowych oraz danych zebranych w trakcie profilowania, zwykle w oparciu o zaawansowane algorytmy sztucznej inteligencji. Może mieć ono negatywny skutek dla praw i wolności osoby fizycznej zwłaszcza jeśli takie przetwarzanie wywołuje skutki prawne.
Copyright