SŁOWNIK POJĘĆ
A
Administrator danych osobowych
Osoba lub organ, który samodzielnie lub wraz z innymi osobami lub organami określa cele i środki przetwarzania danych osobowych.
Osoba lub organ, który samodzielnie lub wraz z innymi osobami lub organami określa cele i środki przetwarzania danych osobowych.
B
Blockchain
Rozproszona baza danych, która zawiera stale rosnącą ilość informacji (rekordów) pogrupowanych w bloki i powiąza- nych ze sobą w taki sposób, że każdy następny blok zawiera oznaczenie czasu (timestamp), kiedy został stworzony oraz link do poprzedniego bloku, będący zaszyfrowanym „streszczeniem” jego zawartości.
Rozproszona baza danych, która zawiera stale rosnącą ilość informacji (rekordów) pogrupowanych w bloki i powiąza- nych ze sobą w taki sposób, że każdy następny blok zawiera oznaczenie czasu (timestamp), kiedy został stworzony oraz link do poprzedniego bloku, będący zaszyfrowanym „streszczeniem” jego zawartości.
C
Chmura obliczeniowa
To dostarczanie usług obliczeniowych – w tym serwerów, magazynu, baz danych, sieci, oprogramowania, analizy i inteligencji – za pośrednictwem Internetu („chmura”) w celu zaoferowania szybszych innowacji, elastycznych zasobów i ekonomii skali.
To dostarczanie usług obliczeniowych – w tym serwerów, magazynu, baz danych, sieci, oprogramowania, analizy i inteligencji – za pośrednictwem Internetu („chmura”) w celu zaoferowania szybszych innowacji, elastycznych zasobów i ekonomii skali.
D
Dane osobowe
Wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej zwanej „osobą, której dane dotyczą”. Osoba, której dane dotyczą to osoba fizyczna, którą można bezpośrednio lub pośrednio zidentyfikować.
Dane wrażliwe
Jest to rodzaj danych szczególnie sensytywnych dla podmiotów danych (np. dane o stanie zdrowia). Z przetwarzaniem tych danych wiążę się konieczność dochowania dodatkowych obowiązków w zakresie ich ochrony.
Dyrektywa w sprawie ochrony danych
Dyrektywa nr 95/46/WE, która regulowała dotąd kwestie przetwarzania danych osobowych na terytorium Unii Europejskiej i która zostanie zastąpiona przez RODO.
Wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej zwanej „osobą, której dane dotyczą”. Osoba, której dane dotyczą to osoba fizyczna, którą można bezpośrednio lub pośrednio zidentyfikować.
Dane wrażliwe
Jest to rodzaj danych szczególnie sensytywnych dla podmiotów danych (np. dane o stanie zdrowia). Z przetwarzaniem tych danych wiążę się konieczność dochowania dodatkowych obowiązków w zakresie ich ochrony.
Dyrektywa w sprawie ochrony danych
Dyrektywa nr 95/46/WE, która regulowała dotąd kwestie przetwarzania danych osobowych na terytorium Unii Europejskiej i która zostanie zastąpiona przez RODO.
E
EOG
Europejski Obszar Gospodarczy obejmuje 28 państw członkowskich UE oraz Islandię, Liechtenstein i Norwegię. Nie obejmuje natomiast Szwajcarii.
Europejski Obszar Gospodarczy obejmuje 28 państw członkowskich UE oraz Islandię, Liechtenstein i Norwegię. Nie obejmuje natomiast Szwajcarii.
G
Grupa Robocza Art. 29
W skład Grupy Roboczej Art. 29 („Grupy Roboczej”) wchodzą przedstawiciele organów nadzorczych Państw członkowskich, Europejskiego Inspektora Ochrony Danych („EIOD”) oraz Komisji Europejskiej. Grupa Robocza została przekształcona w Europejską Radę Ochrony Danych o podobnym składzie, jednakże z niezależnym sekretariatem (więcej informacji znajduje się w części poświęconej Europejskiej Radzie Ochrony Danych).
W skład Grupy Roboczej Art. 29 („Grupy Roboczej”) wchodzą przedstawiciele organów nadzorczych Państw członkowskich, Europejskiego Inspektora Ochrony Danych („EIOD”) oraz Komisji Europejskiej. Grupa Robocza została przekształcona w Europejską Radę Ochrony Danych o podobnym składzie, jednakże z niezależnym sekretariatem (więcej informacji znajduje się w części poświęconej Europejskiej Radzie Ochrony Danych).
I
IMEI (International Mobile Equipment Identity)
Indywidualny numer identyfikacyjny telefonu komórkowego GSM lub UMTS.
IMSI (International Mobile Subscriber Identity)
Unikatowy numer przypisany do każdej karty SIM w sieci GSM lub UMTS, jednoznacznie ją identyfikujący
IaaS (Infrastructure as a Service)
Jest to natychmiastowa infrastruktura obliczeniowa, zarządzana i zarządzana przez Internet. Jest to jeden z trzech typów usług w chmurze, wraz z oprogramowaniem jako usługą (SaaS), platformą jako usługą (PaaS).
Inspektor ochrony danych
Inspektor ochrony danych, którego wyznaczenie jest obowiązkowe, gdy (i) przetwarzania dokonuje podmiot publiczny lub gdy (ii) „główna działalność” administratora danych lub podmiotu przetwarzającego wymaga (a) „regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę” lub (b) polega na przetwarzaniu”na dużą skalę” szczególnych kategorii danych lub danych dotyczących wyroków skazujących.
Internet Rzeczy/IoT (Internet of Things)
Koncepcja, wedle której jednoznacznie identyfikowalne przedmioty mogą pośrednio albo bezpośrednio gromadzić, przetwarzać lub wymieniać dane za pośrednictwem instalacji elektrycznej inteligentnej KNX lub sieci komputerowej.
Indywidualny numer identyfikacyjny telefonu komórkowego GSM lub UMTS.
IMSI (International Mobile Subscriber Identity)
Unikatowy numer przypisany do każdej karty SIM w sieci GSM lub UMTS, jednoznacznie ją identyfikujący
IaaS (Infrastructure as a Service)
Jest to natychmiastowa infrastruktura obliczeniowa, zarządzana i zarządzana przez Internet. Jest to jeden z trzech typów usług w chmurze, wraz z oprogramowaniem jako usługą (SaaS), platformą jako usługą (PaaS).
Inspektor ochrony danych
Inspektor ochrony danych, którego wyznaczenie jest obowiązkowe, gdy (i) przetwarzania dokonuje podmiot publiczny lub gdy (ii) „główna działalność” administratora danych lub podmiotu przetwarzającego wymaga (a) „regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę” lub (b) polega na przetwarzaniu”na dużą skalę” szczególnych kategorii danych lub danych dotyczących wyroków skazujących.
Internet Rzeczy/IoT (Internet of Things)
Koncepcja, wedle której jednoznacznie identyfikowalne przedmioty mogą pośrednio albo bezpośrednio gromadzić, przetwarzać lub wymieniać dane za pośrednictwem instalacji elektrycznej inteligentnej KNX lub sieci komputerowej.
M
Adres MAC
Jest to fizyczny adres karty sieciowej.
Jest to fizyczny adres karty sieciowej.
O
Ocena skutków dla ochrony danych
RODO nakłada na administratora danych i podmioty przetwarzające dane nowy obowiązek przeprowadzenia oceny skutków dla ochrony danych (zwanej również oceną skutków dla prywatności) przed podjęciem operacji przetwarzania danych, która – ze względu na swój charakter, zakres lub cele – może nieść za sobą wysokie ryzyko dla prywatności. Rozdział IV Sekcja 3 zawiera niewyczerpujące wyliczenie kategorii przetwarzania danych, objętych zakresem zastosowania tego przepisu.
Usługi OTT (over-the-top)
To usługa polegającą na dostarczaniu zawartości, usług lub aplikacji za pośrednictwem sieci Internet bez bezpo- średniego zaangażowania dostawcy usługi dostępu do Internetu.
Organ nadzorczy/organ wiodący
Organy nadzorcze to krajowe organy właściwe w sprawach ochrony danych, do których kompetencji należy za- pewnienie przestrzegania RODO w danym państwie członkowskim.
Jeśli przedsiębiorca ma jednostki organizacyjne w więcej niż jednym państwie członkowskim, „organ wiodący” wyznacza się ze względu na położenie jego głównej jednostki organizacyjnej w Unii. Pewne funkcje regulacyjne może wykonywać także organ nadzorczy niebędący organem wiodącym, np. w przypadku, gdy przetwarzanie oddziałuje na sytuację osób, których dane dotyczą, w państwie, w którym działa ten organ.
RODO nakłada na administratora danych i podmioty przetwarzające dane nowy obowiązek przeprowadzenia oceny skutków dla ochrony danych (zwanej również oceną skutków dla prywatności) przed podjęciem operacji przetwarzania danych, która – ze względu na swój charakter, zakres lub cele – może nieść za sobą wysokie ryzyko dla prywatności. Rozdział IV Sekcja 3 zawiera niewyczerpujące wyliczenie kategorii przetwarzania danych, objętych zakresem zastosowania tego przepisu.
Usługi OTT (over-the-top)
To usługa polegającą na dostarczaniu zawartości, usług lub aplikacji za pośrednictwem sieci Internet bez bezpo- średniego zaangażowania dostawcy usługi dostępu do Internetu.
Organ nadzorczy/organ wiodący
Organy nadzorcze to krajowe organy właściwe w sprawach ochrony danych, do których kompetencji należy za- pewnienie przestrzegania RODO w danym państwie członkowskim.
Jeśli przedsiębiorca ma jednostki organizacyjne w więcej niż jednym państwie członkowskim, „organ wiodący” wyznacza się ze względu na położenie jego głównej jednostki organizacyjnej w Unii. Pewne funkcje regulacyjne może wykonywać także organ nadzorczy niebędący organem wiodącym, np. w przypadku, gdy przetwarzanie oddziałuje na sytuację osób, których dane dotyczą, w państwie, w którym działa ten organ.
P
PaaS (Platform as a service)
Platforma jako usługa (PaaS) to kompletne środowisko deweloperskie i środowisko wdrażania w chmurze obej- mujące zasoby umożliwiające dostarczanie dowolnego rozwiązania, od prostych aplikacji opartych na chmurze po złożone aplikacje dla przedsiębiorstw korzystające z chmury.
Przetwarzanie
Przetwarzanie zostało zdefiniowane szeroko jako jakakolwiek operacja lub zespół operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Przykładami przetwarzania jest zbieranie, utrwalanie, organizowanie, przechowywanie, wykorzystywanie i niszczenie danych osobowych.
Pseudonimizacja
Technika polegająca na przetwarzaniu danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są prze- chowywane osobno i zostały poddane zabezpieczeniom technicznymi i organizacyjnymi uniemożliwiającymi ich ponowne przypisanie tej osobie.
Prawo do usunięcia danych / prawo do bycia zapominanym
Dotychczasowe prawo do usunięcia danych osobowych, przyznane osobie, której dane dotyczą, zostało rozszerzone zgodnie z przepisami Rozdziału III Sekcji 3 RODO.
Prawo do bycia zapomnianym
Prawo osoby, której dane są przetwarzane do żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, w tym danych upublicznionych przez administratora. Administrator zobowiązany jest – w przy- padku upublicznienia danych – do poinformowania innych administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Prawo dostępu
Jest to uprawnienie osoby, której dane dotyczą, do żądania od administratora udzielenia określonych informacji dotyczących przetwarzania jej danych osobowych zgodnie z przepisami Rozdziału III Sekcji 2 RODO.
Privacy by Design
Sposób projektowania aplikacji / systemów, który już w tej fazie bierze pod uwagę oraz wdraża metody i środki by chronić dane osobowe oraz prywatność osób, których te dane dotyczą. Ważne jest, by ochrona tych informacji była od samego początku.
Ochrona danych jest zaimplementowana w dany system i nie ma potrzeby użycia zewnętrznych dodatków czy modułów.
Privacy by Default
Mówi, że domyślnie prywatność użytkownika jest priorytetem. Systemy i aplikacje powinny mieć tak skonfiguro- wane ustawienia, by udostępniać ich tylko minimalną ilość. Rozszerzenie zakresu udostępnianych danych, powinno nastąpić po zmianach dokonanych przez samego użyt- kownika. Dotyczyć to będzie zarówno aplikacji końcowych (np. sieci społecznościowe), jak i pośredniczących (np. przeglądarki internetowe).
Processor (Podmiot przetwarzający)
Podmiot, który przetwarza dane osobowe w imieniu administratora danych.
Przekazanie
Przekazanie danych osobowych do państw spoza EOG lub do organizacji międzynarodowych, poddane obo- strzeniom przewidzianym w Rozdziale V RODO. Podobnie jak pod rządami dyrektywy w sprawie ochrony danych, przekazanie danych nie wymaga ich fizycznego przemieszczenia. Przekazaniem danych, dla celów RODO, jest już samo uzyskanie wglądu do danych przechowywanych w innej lokalizacji.
Przedsiębiorca
Pojęcie to pojawia się w RODO w rozmaitych kontekstach, najczęściej w odniesieniu do podmiotu prawnego prowadzącego „działalność gospodarczą”. Pojęcie to ma szczególne znaczenie w kontekście przepisów RODO o karach finansowych. Przedsiębiorca podlega karom finansowym, obliczonym jako procent osiągniętego przezeń całkowitego rocznego światowego obrotu za poprzedni rok obrotowy. W tym kontekście pojęcie przedsiębiorcy nawiązuje do dorobku unijnego prawa ochrony konkurencji.
Platforma jako usługa (PaaS) to kompletne środowisko deweloperskie i środowisko wdrażania w chmurze obej- mujące zasoby umożliwiające dostarczanie dowolnego rozwiązania, od prostych aplikacji opartych na chmurze po złożone aplikacje dla przedsiębiorstw korzystające z chmury.
Przetwarzanie
Przetwarzanie zostało zdefiniowane szeroko jako jakakolwiek operacja lub zespół operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Przykładami przetwarzania jest zbieranie, utrwalanie, organizowanie, przechowywanie, wykorzystywanie i niszczenie danych osobowych.
Pseudonimizacja
Technika polegająca na przetwarzaniu danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są prze- chowywane osobno i zostały poddane zabezpieczeniom technicznymi i organizacyjnymi uniemożliwiającymi ich ponowne przypisanie tej osobie.
Prawo do usunięcia danych / prawo do bycia zapominanym
Dotychczasowe prawo do usunięcia danych osobowych, przyznane osobie, której dane dotyczą, zostało rozszerzone zgodnie z przepisami Rozdziału III Sekcji 3 RODO.
Prawo do bycia zapomnianym
Prawo osoby, której dane są przetwarzane do żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, w tym danych upublicznionych przez administratora. Administrator zobowiązany jest – w przy- padku upublicznienia danych – do poinformowania innych administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
Prawo dostępu
Jest to uprawnienie osoby, której dane dotyczą, do żądania od administratora udzielenia określonych informacji dotyczących przetwarzania jej danych osobowych zgodnie z przepisami Rozdziału III Sekcji 2 RODO.
Privacy by Design
Sposób projektowania aplikacji / systemów, który już w tej fazie bierze pod uwagę oraz wdraża metody i środki by chronić dane osobowe oraz prywatność osób, których te dane dotyczą. Ważne jest, by ochrona tych informacji była od samego początku.
Ochrona danych jest zaimplementowana w dany system i nie ma potrzeby użycia zewnętrznych dodatków czy modułów.
Privacy by Default
Mówi, że domyślnie prywatność użytkownika jest priorytetem. Systemy i aplikacje powinny mieć tak skonfiguro- wane ustawienia, by udostępniać ich tylko minimalną ilość. Rozszerzenie zakresu udostępnianych danych, powinno nastąpić po zmianach dokonanych przez samego użyt- kownika. Dotyczyć to będzie zarówno aplikacji końcowych (np. sieci społecznościowe), jak i pośredniczących (np. przeglądarki internetowe).
Processor (Podmiot przetwarzający)
Podmiot, który przetwarza dane osobowe w imieniu administratora danych.
Przekazanie
Przekazanie danych osobowych do państw spoza EOG lub do organizacji międzynarodowych, poddane obo- strzeniom przewidzianym w Rozdziale V RODO. Podobnie jak pod rządami dyrektywy w sprawie ochrony danych, przekazanie danych nie wymaga ich fizycznego przemieszczenia. Przekazaniem danych, dla celów RODO, jest już samo uzyskanie wglądu do danych przechowywanych w innej lokalizacji.
Przedsiębiorca
Pojęcie to pojawia się w RODO w rozmaitych kontekstach, najczęściej w odniesieniu do podmiotu prawnego prowadzącego „działalność gospodarczą”. Pojęcie to ma szczególne znaczenie w kontekście przepisów RODO o karach finansowych. Przedsiębiorca podlega karom finansowym, obliczonym jako procent osiągniętego przezeń całkowitego rocznego światowego obrotu za poprzedni rok obrotowy. W tym kontekście pojęcie przedsiębiorcy nawiązuje do dorobku unijnego prawa ochrony konkurencji.
R
RODO
Rozporządzenie ogólne o ochronie danych osobowych uchwalone ostatecznie 27 kwietnia 2016 r. jako Rozporzą- dzenie (UE) 2016/679. Niniejsze wydanie Przewodnika uwzględnia wytyczne opublikowane przez Grupę Roboczą w grudniu 2016 r.
Rozporządzenie o e-Prywatności
Ma to być komplementarny w stosunku do RODO akt prawny, regulujący wykorzystanie danych osobowych po- zyskanych w związku ze świadczeniem usług łączności elektronicznej. Rozporządzenie to będzie miało charakter regulacji szczególnej wobec RODO, co ma istotne znaczenie dla dostawców usług łączności elektronicznej. W chwili obecnej na poziomie Unii Europejskiej trwają jeszcze prace nad ostateczną wersją Rozporządzenia o e-Prywatności.
Rozporządzenie ogólne o ochronie danych osobowych uchwalone ostatecznie 27 kwietnia 2016 r. jako Rozporzą- dzenie (UE) 2016/679. Niniejsze wydanie Przewodnika uwzględnia wytyczne opublikowane przez Grupę Roboczą w grudniu 2016 r.
Rozporządzenie o e-Prywatności
Ma to być komplementarny w stosunku do RODO akt prawny, regulujący wykorzystanie danych osobowych po- zyskanych w związku ze świadczeniem usług łączności elektronicznej. Rozporządzenie to będzie miało charakter regulacji szczególnej wobec RODO, co ma istotne znaczenie dla dostawców usług łączności elektronicznej. W chwili obecnej na poziomie Unii Europejskiej trwają jeszcze prace nad ostateczną wersją Rozporządzenia o e-Prywatności.
S
SaaS (Software as a Service)
Oprogramowanie jako usługa (SaaS) zapewnia użytkownikom możliwość łączenia się z aplikacjami opartymi na chmu- rze za pośrednictwem Internetu i korzystania z nich
Oprogramowanie jako usługa (SaaS) zapewnia użytkownikom możliwość łączenia się z aplikacjami opartymi na chmu- rze za pośrednictwem Internetu i korzystania z nich
V
VOIP (Voice over Internet Protocol)
Technologia, dzięki której możliwe jest prowadzenie rozmów telefonicznych – przesyłanie dźwięków mowy – za pośrednictwem połączenia internetowego bądź sieci korzystającej z protokołu IP – tzw. telefonia internetowa.
Technologia, dzięki której możliwe jest prowadzenie rozmów telefonicznych – przesyłanie dźwięków mowy – za pośrednictwem połączenia internetowego bądź sieci korzystającej z protokołu IP – tzw. telefonia internetowa.
7 Zasad RODO*
1. Zasada zgodności z prawem, przejrzystości i rzetelności. (art. 5 ust. 1 pkt a) RODO):
Dane osobowe muszą być:
przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Zbieranie danych osobowych musi mieć określoną podstawę prawną (zgoda osoby, przepis prawa).
Prawidłowa realizacja obowiązków informacyjnych jest warunkiem niezbędnym dla osiągnięcia zgodności z zasadą rzetelności i przejrzystości.
2. Zasada ograniczenia celu przetwarzania (art. 5 ust. 1 lit. b) RODO):
Dane osobowe muszą być:
zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”); Cel zbierania danych musi być czytelnie zakomunikowany osobie, której dane dotyczą jeszcze przed faktycznym zebraniem od niej danych osobowych. Danych zebranych w określonym celu nie można przetwarzać w innym bez zgody osoby.
3. Zasada minimalizacji danych (art. 5 ust. 1 lit. c) RODO):
Dane osobowe muszą być: (...)
adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimali- zacja danych”);
Zakres przetwarzanych danych powinien być taki jaki jest niezbędny do osiągnięcia określonego celu przetwarzania danych.
4. Zasada prawidłowości danych (art. 5 ust. 1 lit. d) RODO):
Dane osobowe muszą być: (...)
prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”); Przestrzeganie zasady prawidłowości danych sprowadza się do tego, aby stworzone zostały odpowiednie roz- wiązania techniczne oraz organizacyjne umożliwiające korygowanie nieprawidłowych lub nieaktualnych danych.
5. Zasada ograniczenia przechowywania danych (art. 5 ust. 1 lit. e) RODO):
Dane osobowe muszą być:
przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
Realizacja tej zasady jest możliwa poprzez wdrożenie odpowiednich procedur wyznaczających terminy przecho- wania danych lub procedur określających terminy okresowych przeglądów danych.
6. Zasada integralności i poufności (art. 5 ust. 1 lit. f) RODO):
Dane osobowe muszą być:
przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodze- niem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Realizacja zasady integralności i poufności danych polega na wdrożeniu odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo danych. „Odpowiednie środki” będą zawsze pojęciem niedo- określonym. Najprawdopodobniej zostaną w pewnym zakresie doprecyzowane w drodze dobrych praktyk, które ma wydać regulator – Prezes Urzędu Ochrony Danych Osobowych
7. Zasada rozliczalności (art. 5 ust. 2 RODO):
Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Dane osobowe muszą być:
przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Zbieranie danych osobowych musi mieć określoną podstawę prawną (zgoda osoby, przepis prawa).
Prawidłowa realizacja obowiązków informacyjnych jest warunkiem niezbędnym dla osiągnięcia zgodności z zasadą rzetelności i przejrzystości.
2. Zasada ograniczenia celu przetwarzania (art. 5 ust. 1 lit. b) RODO):
Dane osobowe muszą być:
zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”); Cel zbierania danych musi być czytelnie zakomunikowany osobie, której dane dotyczą jeszcze przed faktycznym zebraniem od niej danych osobowych. Danych zebranych w określonym celu nie można przetwarzać w innym bez zgody osoby.
3. Zasada minimalizacji danych (art. 5 ust. 1 lit. c) RODO):
Dane osobowe muszą być: (...)
adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimali- zacja danych”);
Zakres przetwarzanych danych powinien być taki jaki jest niezbędny do osiągnięcia określonego celu przetwarzania danych.
4. Zasada prawidłowości danych (art. 5 ust. 1 lit. d) RODO):
Dane osobowe muszą być: (...)
prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”); Przestrzeganie zasady prawidłowości danych sprowadza się do tego, aby stworzone zostały odpowiednie roz- wiązania techniczne oraz organizacyjne umożliwiające korygowanie nieprawidłowych lub nieaktualnych danych.
5. Zasada ograniczenia przechowywania danych (art. 5 ust. 1 lit. e) RODO):
Dane osobowe muszą być:
przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
Realizacja tej zasady jest możliwa poprzez wdrożenie odpowiednich procedur wyznaczających terminy przecho- wania danych lub procedur określających terminy okresowych przeglądów danych.
6. Zasada integralności i poufności (art. 5 ust. 1 lit. f) RODO):
Dane osobowe muszą być:
przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodze- niem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). Realizacja zasady integralności i poufności danych polega na wdrożeniu odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo danych. „Odpowiednie środki” będą zawsze pojęciem niedo- określonym. Najprawdopodobniej zostaną w pewnym zakresie doprecyzowane w drodze dobrych praktyk, które ma wydać regulator – Prezes Urzędu Ochrony Danych Osobowych
7. Zasada rozliczalności (art. 5 ust. 2 RODO):
Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
* Źródło: Analizy Deloitte, 2017 https://www2.deloitte.com/pl/pl/pages/doradztwo-prawne/articles/ochrona-danych-osobowych/RODO-zmiany-w-zasadach-przetwarzania-danych-osobowych.html