Słownik RODO

Słownik RODO

„Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określa­jących fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

„Przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie

„Ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania.

„Profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

„Pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

„Zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

„Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

„Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

„Odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

„Strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe.

„Zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

„Naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

„Dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.

„Dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

„Dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

„Główna jednostka organizacyjna” oznacza:

  • jeżeli chodzi o administratora posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii, a jeżeli decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej tego administratora w Unii i ta jednostka organizacyjna ma prawo nakazać wykonanie takich decyzji, to za główną jednostkę organi­zacyjną uznaje się jednostkę organizacyjną, w której zapadają takie decyzje;
  • jeżeli chodzi o podmiot przetwarzający posiadający jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii lub, w przypadku gdy podmiot przetwarzający nie ma centralnej administracji w Unii – jednostkę organizacyjną podmiotu przetwarza­jącego w Unii, w której odbywają się główne czynności przetwarzania w ramach działalności jednostki organiza­cyjnej podmiotu przetwarzającego, w zakresie w jakim podmiot przetwarzający podlega szczególnym obowiązkom na mocy niniejszego rozporządzenia.

„Przedstawiciel” oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z RODO.

„Przedsiębiorca” oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą.

„Grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane.

„Wiążące reguły korporacyjne” oznaczają polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarza­jącemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą.

„Organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 RODO.

„Organ nadzorczy, którego sprawa dotyczy” oznacza organ nadzorczy, którego dotyczy przetwarzanie danych osobowych, ponieważ:

  • administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkow­skiego tego organu nadzorczego;
  • przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego; lub
  • wniesiono do niego skargę.

„Transgraniczne przetwarzanie” oznacza:

  • przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiada­jącego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
  • przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organi­zacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.

„Mający znaczenie dla sprawy i uzasadniony sprzeciw” oznacza sprzeciw wobec projektu decyzji dotyczącej tego, czy doszło do naruszenia niniejszego rozporządzenia lub czy planowane działanie wobec administratora lub podmiotu przetwarzającego jest zgodne z niniejszym rozporządzeniem, który to sprzeciw musi jasno wskazywać wagę wynikającego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolności osób, których dane dotyczą, oraz gdy ma to zastosowanie – wagę ryzyka zakłócenia swobodnego przepływu danych osobowych w Unii.

„Usługa społeczeństwa informacyjnego” oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535.

„Organizacja międzynarodowa” oznacza organizację i organy jej podlegające działające na podstawie prawa między­narodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy.

 

Zasady RODO

Zasady RODO

Legalność –  dane osobowe muszą być przetwarzane zgodnie z prawem. Dla każdego rodzaju danych i każdego celu przetwarzania administrator danych musi zatem wykazać, że owo przetwarzanie spełnia przynajmniej jeden warunek:

  • jest niezbędne do zawarcia lub wykonania umowy, której stroną jest osoba, której dane dotyczą;
  • osoba, której dane dotyczą, wyraziła na to (jednoznaczną i dobrowolną) zgodę;
  • jest niezbędne do wypełnienia obowiązku wynikającego z prawa UE lub państwa członkowskiego (które jest niezbędnym i proporcjonalnym środkiem, zapewniającym realizację ważnych celów leżących w interesie publicznym);
  • jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej;
  • ma podstawę w prawnie uzasadnionym interesie administratora lub strony trzeciej, chyba że nad tym interesem przeważają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (jest to oceniane w kontekście rozsądnych oczekiwań osób, których dane dotyczą, i ich powiązań z administratorem).

Ograniczenie celem – dane osobowe mogą być przetwarzane tylko w konkretnym, wyraźnie określonym i zgodnym z prawem celu. Administrator musi ten cel określić, zanim pozyska dane, i nie może go jednostronnie modyfikować. Raz pozyskanych danych nie można przetwarzać w celach niezgodnych z pierwotnie określonym (np. danych zebranych w celu realizacji umowy wykorzystać do marketingu).

Adekwatność, niezbędność i minimalizacja – dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są przetwarzane. To kryterium przekłada się na rodzaj i zakres danych. Nie można zatem zbierać danych osobowych, które nie mają związku z celem przetwarzania (np. dane na temat zdrowia w kontekście usług finansowych), są bezużyteczne dla jego realizacji albo nadmiarowe. Mówiąc najprościej wolno zbierać tylko to, co jest rzeczywiście niezbędne.

Prawidłowość – przetwarzane dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane. Administrator powinien niezwłocznie usunąć albo sprostować dane, które okazały się nieprawidłowe w świetle celów ich przetwarzania. W praktyce ta zasada oznacza, że nie warto zbierać danych, które szybko się starzeją lub pochodzą z niepewnych źródeł, ponieważ mogą się okazać dla organizacji większym ciężarem niż korzyścią.

Maksymalny czas przetwarzania – dane osobowe można przetwarzać nie dłużej, niż to niezbędne do celów, w których te dane są przetwarzane. W szczególności chodzi tu o dane umożliwiające identyfikację osoby, której dotyczą. Na przykład granicą przechowywania archiwalnych danych o transakcjach z klientami powinien być moment przedawnienia roszczeń lub wygaśnięcia obowiązków prawnych. Granicą dla przetwarzania aktualnych danych o zakupach klientów w celach marketingowych (uzasadniony interes administratora) jest moment, w którym te dane tracą aktualność  lub cel marketingowy zostaje zrealizowany.

Poufność i integralność – dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo o poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu  oraz przed nieuprawnionym ich wykorzystaniem. W praktyce ta zasada oznacza nie tylko konieczność zabezpieczenia systemów informatycznych, ale też wprowadzenia procedur, które ograniczą ryzyko związane z tzw. czynnikiem ludzkim.