7. Ochrona danych osobowych w cyberprzestrzeni

7.3. PODSUMOWANIE ROZDZIAŁU

ℹ️

PODSUMOWANIE

·      GDPR to ogólne ramy prawne dotyczące ochrony danych osobowych, obowiązujące w całej UE, a w niektórych przypadkach także poza nią. Główne cele GDPR to zapewnienie kompleksowej ochrony praw osób, których dane dotyczą, przed nieuprawnionym przetwarzaniem ich danych i danych osobowych, osiągnięcie równowagi między uzasadnionymi interesami administratorów, podmiotów przetwarzających i osób, których dane dotyczą, stworzenie systemu jednolitego egzekwowania przepisów i jednolitego mechanizmu sankcji w tej dziedzinie itp.

·      GDPR ma jednak zastosowanie, gdy:

o   siedziba administratora lub podmiotu przetwarzającego znajduje się w UE, niezależnie od tego, czy przetwarzanie odbywa się w UE,

o   administratorzy danych lub podmioty przetwarzające nie mają siedziby w UE, ale

·      towary lub usługi są oferowane osobom, których dane dotyczą, w UE (niezależnie od wynagrodzenia),

·      monitorowane jest zachowanie osób, których dane dotyczą, na terenie UE.

·      Zgodnie z art. 4 ust. 1 GDPR, dane osobowe to "wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej". Możliwa do zidentyfikowania osoba fizyczna to osoba fizyczna, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator sieciowy lub jeden bądź kilka szczególnych elementów fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby fizycznej."

·      Zgodnie z art. 4 ust. 2 GDRP przetwarzanie danych osobowych oznacza każdą operację lub zestaw operacji wykonywanych przy pomocy procesów zautomatyzowanych lub bez ich pomocy, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, pobieranie, konsultowanie, wykorzystywanie, ujawnianie przez transmisję, rozpowszechnianie lub jakiekolwiek inne ujawnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

·      Biorąc pod uwagę stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania, a także różne prawdopodobne i różnie poważne zagrożenia dla praw i wolności osób fizycznych, administrator (lub podmiot przetwarzający, w zależności od przypadku) musi podjąć odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiedni do danego ryzyka, w tym, w stosownych przypadkach:

o   pseudonimizacja i szyfrowanie danych osobowych,

o   zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

o   zdolność do przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku incydentów fizycznych lub technicznych,

o   proces regularnego testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych stosowanych w celu zapewnienia bezpieczeństwa przetwarzania danych.

·      Ocena skutków dla ochrony danych (DPIA) to narzędzie, które należy stosować, gdy określony rodzaj przetwarzania, w szczególności przy wykorzystaniu nowych technologii, może spowodować wysokie ryzyko dla praw i wolności osób fizycznych, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania. Jest to narzędzie, które może pomóc administratorom w identyfikacji potencjalnego ryzyka związanego z przetwarzaniem danych osobowych oraz we wprowadzeniu odpowiednich środków.

🗝️

SŁOWA KLUCZOWE, KTÓRE WARTO ZAPAMIĘTAĆ

  • GDPR
  • Dane osobowe
  • Administrator danych osobowych
  • Przetwarzanie danych osobowych
  • Ocena skutków

PYTANIA KONTROLNE 

  • Jaki jest lokalny zakres zastosowania GDPR?
  • Co to są dane osobowe?
  • Czy adres IP to dane osobowe?
  • Jakie obowiązki ma administrator danych?
  • Co należy rozumieć przez przetwarzanie danych osobowych?
  • Co oznacza ocena skutków w zakresie ochrony danych?