Zrozumienie podstawowych pojęć związanych z ochroną danych osobowych jest kluczowe, aby móc skutecznie zarządzać danymi i zapewnić zgodność z obowiązującymi przepisami. Poniżej znajdziesz definicje najważniejszych terminów.
1. Dane Osobowe
Dane osobowe – oznaczają informację o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Zidentyfikowana osoba fizyczna – jest to osoba, którą możemy bezpośrednio zidentyfikować na podstawie dostępnych informacji;
Możliwa do zidentyfikowania osoba fizyczna – jest to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:
a) imię i nazwisko;
b) numer identyfikacyjny;
c) dane o lokalizacji;
d) identyfikator internetowy
e) jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Ochrona tych danych jest kluczowa zarówno dla osób prywatnych, jak i urzędów oraz firm, które je przetwarzają.
2. Przetwarzanie Danych Osobowych
Przetwarzanie danych osobowych to wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, modyfikowanie, udostępnianie, usuwanie czy niszczenie, niezależnie od tego, czy są one wykonywane automatycznie, czy ręcznie.
Przykłady przetwarzania danych:
- Zbieranie danych osobowych podczas rejestracji w sklepie internetowym
- Przechowywanie danych pracowników w bazie danych firmy
- Udostępnianie danych osobowych firmie zewnętrznej w ramach outsourcingu usług
- Usuwanie danych osobowych po zakończeniu współpracy z klientem.
3. Administrator Danych Osobowych
Administrator danych osobowych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Przykłady administratorów danych:
- Firma, która gromadzi dane klientów do celów marketingowych,
- Instytucja publiczna zarządzająca rejestrem obywateli,
- Organizacja pozarządowa przechowująca dane darczyńców.
4. Podmiot przetwarzający (procesor)
Podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora danych.
Przykłady podmiotów przetwarzających:
- Firma hostingowa przechowująca dane klientów sklepu internetowego
- Zewnętrzna firma księgowa, która przetwarza dane finansowe klientów
- Agencja marketingowa zarządzająca bazą mailingową.
5. Zgoda na Przetwarzanie Danych
Zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Przykłady zgody:
- Zaznaczenie pola wyboru podczas rejestracji online, wyrażające zgodę na przetwarzanie danych osobowych w celach marketingowych,
- Podpisanie zgody na przetwarzanie danych podczas wypełniania formularza papierowego,
- Wyrażenie zgody na nagranie rozmowy telefonicznej w celach szkoleniowych.
6. Pseudonimizacja
Pseudonimizacja to przetwarzanie danych osobowych w taki sposób, że nie można ich już przypisać konkretnej osobie bez użycia dodatkowych informacji, które są przechowywane oddzielnie i są objęte środkami technicznymi i organizacyjnymi zapewniającymi, że nie zostaną przypisane zidentyfikowanej lub możliwej do zidentyfikowania osobie.
Przykłady pseudonimizacji:
- Zamiana imienia i nazwiska osoby na unikalny kod lub numer, a następnie przechowywanie klucza dekodującego w osobnym miejscu,
- Użycie pseudonimów w bazach danych badań naukowych.
7. Anonimizacja
Anonimizacja to proces nieodwracalnego przekształcenia danych osobowych, w wyniku którego nie można zidentyfikować konkretnej osoby na podstawie tych danych, nawet przy użyciu dodatkowych informacji.
Przykłady anonimizacji:
- Usunięcie z bazy danych wszystkich informacji, które mogłyby posłużyć do identyfikacji osoby (np. imienia, nazwiska, adresu),
- Agregacja danych w raportach statystycznych w taki sposób, że nie jest możliwe zidentyfikowanie pojedynczych osób.
8. Szyfrowanie
Szyfrowanie to proces przekształcania danych w taki sposób, że stają się one nieczytelne dla osób nieposiadających specjalnego klucza deszyfrującego. Szyfrowanie jest jednym z podstawowych środków ochrony danych osobowych przed nieautoryzowanym dostępem.
Przykłady szyfrowania:
- Szyfrowanie wiadomości e-mail, aby zabezpieczyć treść przed odczytaniem przez osoby trzecie,
- Szyfrowanie bazy danych zawierającej informacje osobowe klientów.
9. Naruszenie ochrony danych osobowych
Naruszenie ochrony danych osobowych to incydent związany z bezpieczeństwem, który prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieautoryzowanego ujawnienia lub dostępu do danych osobowych.
Przykłady naruszeń:
- Wyciek danych klientów sklepu internetowego na skutek ataku hakerskiego,
- Utrata laptopa zawierającego niezabezpieczone dane osobowe pracowników,
- Błędne wysłanie e-maila z danymi osobowymi do nieuprawnionego odbiorcy.
10. Podmiot danych (osoba, której dane dotyczą)
Podmiot danych to osoba fizyczna, której dane osobowe są przetwarzane przez administratora danych lub podmiot przetwarzający.
Przykłady podmiotów danych:
- Klienci firmy, których dane są przechowywane w jej bazie,
- Pracownicy organizacji, których dane są przetwarzane przez dział HR,
- Użytkownicy aplikacji mobilnej, którzy muszą podać swoje dane, aby z niej korzystać.
Zrozumienie tych pojęć stanowi fundament dla każdego, kto zajmuje się ochroną danych osobowych, niezależnie od tego, czy jest to administrator, pracownik działu IT, czy osoba prywatna. W dalszych rozdziałach e-booka znajdziesz szczegółowe informacje, jak stosować te pojęcia w praktyce.