Glosariusz RODO: podział dla zapracowanych osób

Opublikowany: 2018-02-16
Glosariusz RODO: podział dla zapracowanych osób

Kluczowa zasada RODO: Przedstaw swoje zasady dotyczące danych użytkownikom bez „legalizmu”.

Dlaczego więc dali nam do przeczytania 200 stron roztapiającego mózg żargonu?

Przejrzenie nowego ogólnego rozporządzenia o ochronie danych jest bardzo ważne.

Ale jest to tak zabawne, jak oglądanie turnieju golfowego odtwarzanego w zwolnionym tempie.

Oto więc zestawienie tego, co oznaczają wszystkie te terminy prawne — napisane w zdaniach, których nie zasypiasz w połowie.

Nie krępuj się CTRL+F, aby wyjść z bólu głowy.

Definicje

Wiążące Reguły Korporacyjne (BCR) : Czy masz dane osobowe w UE? Chcesz przekazać go osobom w swojej międzynarodowej organizacji. poza UE? BCR to Twoje zasady, których należy przestrzegać.

Dane biometryczne : „Dane ciała”. Jeśli może cię zidentyfikować i ma coś wspólnego z cechami fizycznymi, fizjologicznymi lub behawioralnymi – to właśnie to.

ZGODA : To jest duże. UZYSKANIE ZGODY NA WYKORZYSTYWANIE CZYICH DANYCH OSOBOWYCH JEST TERAZ SKOMPLIKOWANE.

To musi być:

  • swobodnie dane
  • konkretny
  • twierdzący
  • wyraźny

Więc… jeśli zamierzasz wysłać komuś e-maila, musisz mieć jego zgodę na wysłanie e-maila. Zamierzasz użyć pliku cookie? Na to też potrzebujesz konkretnej zgody.

Prosiłeś o zgodę ludzi niezależnie. Nie możesz połączyć go z tym samym polem wyboru, co Twoja polityka prywatności.

I nie możesz wstępnie zaznaczyć pola „Wyrażam zgodę na ____”. Muszą to zrobić sami.

Nie możesz napisać swojego staromodnego „Ta strona używa plików cookie, będąc tutaj, nie masz nic przeciwko temu” i oczekiwać, że będzie działać.

Ludzie rozumieją, w jaki sposób wykorzystujesz ich dane. Muszą dać ci OK, aby użyć tego w ten sposób.

To dużo.

Więcej na ten temat pisaliśmy tutaj.

Dane dotyczące zdrowia : jak to brzmi (dzięki Bogu).

Administrator danych : Jeśli jesteś marketerem, to prawdopodobnie Ty. To każdy, kto w jakikolwiek sposób prosi o dane osobowe, gromadzi je i wykorzystuje. Jeśli je przetwarzasz, przechowujesz, określasz, w jaki sposób dane osób będą wykorzystywane — jesteś administratorem danych. Gratulacje!

Usuwanie danych: AKA: „Prawo do bycia zapomnianym”. Oznacza to po prostu, że osoba, której dane dotyczą (osoba ludzka), może zdecydować o usunięciu wszelkich posiadanych przez Ciebie danych. Mówią słowo, a ty musisz wyczyścić ich dane, przestać ich używać i przestać rozpowszechniać (brutto) w jakikolwiek sposób.

Przenoszenie danych : jeśli ktoś przyjdzie do ciebie i powie „HEJ, chcę kopię wszystkich danych, które na mnie masz” – musisz powiedzieć „jasne, proszę bardzo”. I musisz przekazać im kopię tych danych w formacie, który mogą łatwo przekazać komuś innemu. (Więcej informacji na ten temat mieszka tutaj)

Przetwarzający dane : cokolwiek Ty (administrator danych) używasz do zbierania i przetwarzania danych. Wiele Twoich narzędzi marketingowych to procesory danych (myśl, narzędzia analityczne, narzędzia do testowania A/B, wtyczki i tym podobne).

Organ ochrony danych : przerażający ludzie, którzy upewnią się, że przestrzegasz zasad. Są to organy krajowe odpowiedzialne za ochronę danych i prywatności oraz monitorowanie egzekwowania RODO w UE.

Inspektor ochrony danych : ktoś, kogo powinieneś wyznaczyć do obsługi całego tego szaleństwa związanego z regulacjami, jeśli jesteś firmą większą niż 250 osób (ale szczerze mówiąc, RODO nie może się zdecydować, jaka powinna być ta liczba). To ekspert w zakresie prywatności danych, który będzie z Tobą współpracować niezależnie i będzie Cię przestrzegać RODO.

Podmiot danych : człowiek — który posiada dane, które posiadasz, widzisz lub wykorzystujesz.

Akty delegowane : zabawne „prawa premiowe”, które uzupełniają istniejące, aby zapewnić większą jasność lub kryteria. Spodziewaj się wielu z nich z niezależnych krajów UE.

Derogacja : Wyjątki od przepisów!

Dyrektywa : jest to prawo, które wyznacza „cel” dla wszystkich krajów UE. Następnie każdy kraj tworzy własne prawa krajowe, aby osiągnąć ten cel.

Zaszyfrowane dane : mniej więcej: chronisz dane osobowe, mieszając je. Szyfrowanie danych zapewnia, że ​​tylko osoby z określonym dostępem mogą uzyskać dostęp do przechowywanych danych lub je odczytać. Jeśli chodzi o środki bezpieczeństwa, to bardzo dobry pomysł.

Przedsiębiorstwo : wszystko, co jest zaangażowane w działalność gospodarczą – niezależnie od jej „formy prawnej”. Więc ludzie, organizacje, stowarzyszenia to nazywacie. Każdy, kto zarabia lub miesza z pieniędzmi.

Zbiór: RODO ma zastosowanie w dwóch miejscach: do systemów automatycznych (przechowywanie danych na komputerze i w bazach danych) lub, w przypadku kopii papierowych, w „odpowiednich zbiorach”. Zbiór jest „istotny”, jeśli można go przeszukać lub uzyskać do niego dostęp według określonych kryteriów — takich jak imię i nazwisko, numer identyfikacyjny, numer telefonu itp.)

Jeśli więc zrzucisz wszystkie swoje dane HR do nieoznaczonych, niezorganizowanych pudełek — prawdopodobnie nie musisz się o nie martwić dla RODO. Po prostu powinieneś się o nie martwić, bo wiesz, z każdego innego powodu.

Dane genetyczne : Oficjalna strona UE definiuje to, ale daj spokój. Wiesz, czym jest genetyka.

Group of Undertakings : Istnieje wiele orzecznictwa do przejrzenia, aby zrozumieć, czym jest „przedsiębiorstwo” – ale mniej więcej sprowadza się to do tego: przedsiębiorstwo ma miejsce, gdy jedna firma ma kontrolę nad inną firmą. A kontrola w tym przypadku oznacza zdolność do wywierania „decydującego wpływu”.

Przykład: rodzic posiada większościowy udział w spółce zależnej. Zakłada się, że potrafią sprawować kontrolę. To jest przedsięwzięcie.

A grupa przedsiębiorstw to grupa tych.

Główny zakład : ma to mniej więcej związek z miejscem, w którym stosuje się nadzór. To miejsce w związku, w którym podejmowane są decyzje dotyczące przetwarzania danych. Oznacza to, że jeśli przetwarzasz swoje dane w Niemczech, nawet jeśli mieszkasz gdzie indziej, Twoja „główna siedziba” znajduje się w Niemczech.

DANE OSOBOWE : KOLEJNA DUŻA. Dane osobowe to wszelkie informacje, które dotyczą osoby i mogą być wykorzystane do jej identyfikacji. Obejmuje to dane, które mogą je pośrednio identyfikować lub identyfikować je w połączeniu z innymi danymi przychodzącymi.

To coś innego niż PII (informacje umożliwiające identyfikację) . I jest to bardziej rygorystyczna definicja, niż widzieliśmy wcześniej.

Oto pełny podział:

Dane osobowe umożliwiające identyfikację (PII)
Dane osobiste
  • Imię i nazwisko (jeśli nie jest powszechne)
  • Adres domowy
  • Adres e-mail
  • Narodowy numer identyfikacyjny
  • Numer paszportu
  • Numer rejestracyjny pojazdu
  • Numer prawa jazdy
  • Twarz, odciski palców lub pismo ręczne
  • Numery kart kredytowych
  • Tożsamość cyfrowa
  • Data urodzenia
  • Miejsce urodzenia
  • Informacja genetyczna
  • Numer telefonu
  • Nazwa logowania, nazwa ekranowa, pseudonim lub uchwyt
  • Imię i nazwisko (jeśli nie jest powszechne)
  • Adres domowy
  • Adres e-mail
  • Narodowy numer identyfikacyjny
  • Numer paszportu
  • Numer rejestracyjny pojazdu
  • Numer prawa jazdy
  • Twarz, odciski palców lub pismo ręczne
  • Numery kart kredytowych
  • Tożsamość cyfrowa
  • Data urodzenia
  • Miejsce urodzenia
  • Informacja genetyczna
  • Numer telefonu
  • Nazwa logowania, nazwa ekranowa, pseudonim lub uchwyt

+

  • Adres IP
  • Unikalne identyfikatory, takie jak identyfikatory urządzeń, UserID, TransactionID, CookieID
  • Dane pseudonimowe (czyli nierozpoznawalne dane + klucz w innym miejscu, aby można było je ponownie odczytać)

Naruszenie danych osobowych : duże „ups”. Dzieje się tak zawsze, gdy ktoś może przypadkowo lub niezgodnie z prawem uzyskać dostęp do przechowywanych przez Ciebie danych osobowych, zniszczyć je lub wykorzystać w niewłaściwy sposób. Zgodnie z RODO musisz powiadomić wszystkie osoby, których dane dotyczą, o jednym z nich w ciągu 72 godzin.

Prywatność według projektu : Przestań zwlekać. Kiedy budujesz system, który zajmuje się danymi — interfejs, strona internetowa, cokolwiek — powinieneś pomyśleć o ochronie danych ZANIM jeszcze zaczniesz. Powinien być zaprojektowany z myślą o prawach do danych. Nie powinny być wydaniem w ostatniej chwili.

Ocena wpływu na prywatność : To, co powinieneś (wraz z inspektorem ochrony danych) zrobić! Zasadniczo jest to tylko audyt pod kątem potencjalnych zagrożeń prywatności. Oznacza to przyjrzenie się swoim danym osobowym, sposobowi ich przetwarzania i tym, co teraz robisz, aby je chronić.

Przetwarzanie : WSZYSTKO, co robisz z danymi osobowymi — ręcznie lub automatycznie. Zbieranie, nagrywanie, używanie. Dane osobowe migają na ekranie i są przetwarzane.

Profilowanie : jeśli zautomatyzujesz dane osobowe i przeanalizujesz je, aby przewidzieć czyjeś (konkretne) zachowanie — liczy się to jako profilowanie.

Pseudonimizacja – Masz dane osobowe. Przetwarzasz je w sposób, w którym nie możesz już przypisać ich do osoby, której dane dotyczą – przynajmniej nie bez innej, oddzielnie przechowywanej informacji. Klasycznym przykładem jest zastąpienie danych identyfikowalnych odwracalną, spójną wartością — taką jak ciąg liczb losowych — którą można później „odblokować” i ponownie przypisać.

Różni się to od faktycznie anonimowych danych: w których możliwa do zidentyfikowania informacja jest całkowicie zniszczona.

Które techniki „liczą się” jako pseudonimizacja w ramach RODO, nie zostały jeszcze do końca określone, a istnieje wiele szarej strefy, co do tego, jaki rodzaj danych liczy się jako „prawdopodobnie do zidentyfikowania” lub „racjonalnie prawdopodobne” do zidentyfikowania.

Ale istnieją pewne wymyślne zachęty RODO do pseudonimizacji danych osobowych. Można je znaleźć w motywie 29.

Na przykład, gdy zbierasz swoje standardowe, zwykłe dane osobowe, możesz ich używać tylko z powodów wyraźnie „wskazanych” przez osobę, której dane dotyczą. Ale dzięki pseudonimizacji masz nieco większą swobodę w przetwarzaniu danych — nawet jeśli są one przeznaczone do innych celów niż te, dla których zostały pierwotnie zebrane.

Odbiorca – osoba, której ujawniane są dane osobowe.

Rozporządzenie – prawo, które jest wiążące i ma zastosowanie w całej UE.

Przedstawiciel – jeśli osoby, które nie zauważają zgodności z RODO, muszą zwrócić się do administratorów danych (tj. Twojej firmy) o rozwiązanie problemów, zwracają się do Twoich przedstawicieli. Przedstawiciele muszą znajdować się w Unii i być wyraźnie wyznaczeni do tego zadania.

Prawo do bycia zapomnianym : patrz Usuwanie danych powyżej.

Prawo dostępu / Prawo dostępu podmiotu : Jeśli masz czyjeś dane osobowe, może poprosić o dostęp do nich. Musisz być w stanie im to dać.

Organ nadzorczy : każde państwo członkowskie UE wyznaczy organ publiczny do nadzorowania zgodności z RODO. To jest organ nadzorczy (ale możesz też o tym wiedzieć jako organ ochrony danych lub organ ochrony danych).

Trilogi – Po tym, jak wszyscy przeczytali pierwszy projekt proponowanych aktów prawnych, Komisja Europejska, Parlament Europejski i Rada UE spotykają się nieformalnie w celu negocjacji. Spotkania te nazywają się trójstronnymi i odbywają się w celu szybkiego przyjęcia tekstu kompromisowego.

Akronimy:

Wiążące reguły korporacyjne (zob. powyżej)

CFR : Karta Praw Podstawowych Unii Europejskiej

TSUE : Trybunał Sprawiedliwości Unii Europejskiej.

DPA : Organ ochrony danych (patrz Organ nadzorczy)

IOD : Inspektor Ochrony Danych

ETPC : Europejska Konwencja Praw Człowieka.

EROD : Europejska Rada Ochrony Danych

DEPS : Europejski Inspektor Ochrony Danych

EOG : Europejski Obszar Gospodarczy (28 państw członkowskich UE oraz Islandia, Liechtenstein i Norwegia)

TFUE : Traktat o funkcjonowaniu Unii Europejskiej.

GR Art . 29: Grupa Robocza Art. 29. Była to rada doradcza na poziomie UE, składająca się z krajowych organów ochrony danych. Jednak EROD w mniejszym lub większym stopniu zastąpiła go w ramach RODO.

Lista dostawców prywatności
Lista dostawców prywatności