Słownik IOD - Portal dla inspektora danych osobowych IOD

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Danymi osobowymi będą: adresy e-mail zawierające w nazwie imię i nazwisko; numery NIP, PESEL, identyfikator IP. Mogą one przybierać różne formy, tzn. mogą to być zdjęcia, filmy, zarejestrowane głosy; katalog jest otwarty.

Dane osobowe szczególnych kategorii to pojęcie z RODO, wcześniej używało się „dane wrażliwe”. Obecnie niektórzy używają ich zamiennie.
Są to dane ujawniające: pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, przekonania światopoglądowe, przynależność do związków zawodowych, dane
dotyczące zdrowia, seksualności, orientacji seksualnej danej osoby, dane genetyczne, biometryczne (umożliwiające jednoznaczne zidentyfikowanie osoby fizycznej).
Przetwarzanie tych danych osobowych jest co do zasady zakazane, chyba że RODO wprost dopuszcza ich przetwarzanie.
Przez dane dotyczące zdrowia rozumie się dane o zdrowiu fizycznym lub psychicznym osoby fizycznej, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające informacje o stanie zdrowia tej osoby.

Zbiór danych to uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów (np. alfabetycznie), niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
Zbiorem danych jest: dokumentacja kadrowa, dokumentacja płacowa, lista kontaktów/ kontrahentów.

Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie
Czynności, dokonywane w ramach przetwarzania danych, to w szczególności:

utrwalanie – zarejestrowanie dźwięku, obrazu na taśmach, płytach czy zapisanie tekstu. Utrwalaniem będzie więc np. zapisywanie nagrań z monitoringu w autobusach czy budynkach szkoły, nagrywanie rozmów, zapisywanie pozyskiwanych danych;
zbieranie – wszystkie inne postaci pozyskiwania danych osobowych niż utrwalanie;
porządkowanie – nadawanie posiadanym danym struktury w oparciu o wyznaczone kryteria, np. porządek alfabetyczny;
organizowanie – każda inna niż porządkowanie operacja (zestaw operacji) na danych osobowych, które powinny wpłynąć na usprawnienie przetwarzania, np. uzupełnienie danych o tagi;
przechowywanie – przetrzymywanie danych na nośniku danych, np. papierze, serwerze, w chmurze, twardym dysku, pen-drivie, płycie CD;
adaptowanie – zmiana treści zmierzająca do zmiany okoliczności, np. zmiana wieku w związku z upływem czasu, zmiana imienia czy nazwiska;
modyfikowanie – zmiana błędnej informacji na prawdziwą;
pobieranie – wykonywanie kopii danych na nośniku z innego nośnika, ale i odczytywanie danych bez ich fizycznego pobrania;
przeglądanie – zapoznawanie się treścią kolejnych danym osobowych, przy czym obejmuje ono także wyszukiwanie danych za pomocą wpisywania określonych haseł;
wykorzystanie – każda forma użycia danych osobowych do określonego celu;
wykorzystanie – uczynienie informacji jawnymi. Może nastąpić poprzez:

przesłanie rozumiane zarówno jako tradycyjne wysłanie danych osobowych pocztą, jak i transmisję poprzez sieć telekomunikacyjną, w taki sposób przesłać można nie tylko dane w treści wiadomości e-mail, ale i ujawniając adresatów w polu „do wiadomości”,
rozpowszechnianie to publiczne udostępnienie danych osobowych dla nieograniczonego grona osób;

innego rodzaju udostępnienie – inne postaci ujawnienia danych osobowych;
dopasowywanie – weryfikacja czy w różnych zbiorach danych występują te same dane lub czy są one ze sobą spójne;
łączenie – scalanie ze sobą różnych danych osobowych dotyczących jednego podmiotu danych a pochodzących z różnych źródeł, albo zestawienie ze sobą informacji o większej liczbie podmiotów danych w oparciu o określoną cechę;
ograniczenie – przechowywanie danych osobowych w celu ich przyszłego przetwarzania;
usuwanie – kasowanie danych osobowych z nośnika;
niszczenie – fizyczna destrukcja nośnika danych, na którym znajdują się dane osobowe.

Ograniczenie przetwarzania oznacza przechowywanie danych osobowych w celu ograniczenia ich przetwarzania.
Jego kluczowym elementem jest nakaz przechowywania zebranych danych przez administratora, przy czym wtedy nie można na nich dokonywać innego rodzaju przetwarzania niż przechowywanie.

Profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się, np. ustalanie zdolności kredytowej, ocena wydajności w celu przyznania jej premii.

Pseudonimizacja to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Pseudonimizacją jest wprowadzanie szyfrów zatajających treść dokumentów, do których posiada się klucz.

Zgoda oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Zgodę uzyskuje się przed przetwarzaniem i stosuje się ją relatywnie rzadko.
Nie pobiera się zgody na przetwarzania danych potrzebnych do wykonania umowy czy obowiązku prawnego.

Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Wskazane definicje są istotne z punktu widzenia ochrony danych osobowych.