Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby (tj. osoby, której dane dotyczą). Termin „możliwy(a) do zidentyfikowania” odnosi się do osób, które można zidentyfikować bezpośrednio lub pośrednio, w szczególności poprzez odniesienie do określonego identyfikatora.
Podmiotem danych jest użytkownik/klient (tj. osoba fizyczna, do której odnoszą się dane osobowe). Podmiot danych odnosi się do każdej osoby fizycznej, którą można zidentyfikować bezpośrednio lub pośrednio za pomocą identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane dotyczące lokalizacji lub za pomocą czynników specyficznych dla fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości danej osoby.
Ustawa o przenoszeniu ubezpieczeń zdrowotnych i odpowiedzialności za nie (HIPAA – Health Insurance Portability and Accountability Act) jest to prawo federalne w Stanach Zjednoczonych, które ma na celu zapewnienie standardów prywatności dla ochrony dokumentacji medycznej pacjentów i innych informacji zdrowotnych przekazywanych chirurgom, planom zdrowotnym, szpitalom, partnerom biznesowym i innym dostawcom opieki zdrowotnej.
Zgodnie z HIPAA, chronione informacje zdrowotne (PHI – Protected Health Information) to informacje zdrowotne w dowolnej formie, obejmujące dokumentację na papierze, dokumentację elektroniczną lub informacje ustne dotyczące stanu zdrowia danej osoby, świadczenia opieki zdrowotnej lub płatności za opiekę zdrowotną, które są tworzone lub gromadzone przez podmiot objęty ubezpieczeniem i które można powiązać z konkretną osobą. Istnieje 18 identyfikatorów HIPAA, które sprawiają, że informacje zdrowotne są chronione wg zasad PHI.
Ogólne rozporządzenie o ochronie danych (RODO) to rozporządzenie w prawie UE dotyczące ochrony danych i prywatności w Unii Europejskiej i w Europejskim Obszarze Gospodarczym. RODO reguluje sposoby, według których firmy chronią dane osobowe obywateli UE.
Specjalne kategorie danych osobowych zgodnie z RODO obejmują dane ujawniające pochodzenie rasowe i etniczne, poglądy polityczne, przekonania religijne lub filozoficzne lub przynależność do związków zawodowych, a także dane genetyczne, dane biometryczne w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej.
Dane dotyczące zdrowia oznaczają dane osobowe dotyczące zdrowia fizycznego lub psychicznego osoby fizycznej, w tym świadczenia usług opieki zdrowotnej, które ujawniają informacje o stanie zdrowia tej osoby.
Przetwarzanie oznacza czynność wykonywaną na danych osobowych lub zbiorach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Przykłady przetwarzania danych obejmują ich gromadzenie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Zasadniczo wszystkie czynności na danych osobowych, jakie można sobie wyobrazić, są uważane za ich przetwarzanie.
Przetwarzanie danych osobowych jest zgodne z prawem za świadomą zgodą osoby fizycznej lub gdy jest to konieczne, co może obejmować wykonanie umowy, przestrzeganie prawa europejskiego, ochronę czyjegoś życia, wykonanie zadania w interesie publicznym lub w celu pełnienia funkcji urzędowych lub w celu realizacji uzasadnionych interesów.
AAnonimizacja oznacza przedstawienie danych osobowych w taki sposób, że osoba, której dane te dotyczą, nie jest już możliwa do zidentyfikowania. Wymaga to usunięcia wszystkich identyfikatorów stosowanych przez administratora lub inną osobę do racjonalnej identyfikacji danej osoby. Informacje, które są naprawdę anonimowe, nie są objęte RODO.
Pseudonimizacja oznacza przetwarzanie danych osobowych w taki sposób, że nie można ich już powiązać z konkretną osobą, której dane dotyczą, bez użycia dodatkowych informacji. Te dodatkowe informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym w celu zapewnienia, że dane osobowe nie zostaną bez tych informacji przypisane do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Informacje, z których usunięto lub zastąpiono identyfikatory w celu pseudonimizacji danych, nadal stanowią dane osobowe w rozumieniu RODO.
Profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych oceniającego aspekty osobiste, w szczególności w celu analizy lub przewidywania aspektów dotyczących osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się danej osoby.
Zgoda jest wyraźnym, świadomym aktem ustanawiającym dobrowolne, konkretne, świadome i jednoznaczne wskazanie, że osoba, której dane dotyczą, zgadza się na przetwarzanie swoich danych osobowych.
Jeśli przetwarzanie danych osobowych wymaga zgody, należy ją uzyskać oddzielnie. Przekazanie informacji o polityce prywatności nie zastępuje aktu uzyskania zgody.
Administrator danych to podmiot, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych. Administratorzy sprawują kontrolę nad celami i sposobami przetwarzania danych osobowych. Administratorzy danych muszą przestrzegać i wykazywać zgodność ze wszystkimi zasadami ochrony danych, a także innymi wymogami RODO. Są oni również odpowiedzialni za zgodność swoich podmiotów przetwarzających. Jeżeli dwóch lub więcej administratorów wspólnie określa cele i sposoby przetwarzania tych samych danych osobowych, są oni współadministratorami. Nie są oni jednak współadministratorami, jeśli przetwarzają te same dane w różnych celach.
Podmioty przetwarzające dane to podmioty, które przetwarzają dane osobowe na rzecz administratora danych. Jeśli nie ma wyznaczonego celu przetwarzania danych, a użytkownik działa wyłącznie zgodnie z instrukcjami klienta, prawdopodobnie jest podmiotem przetwarzającym, nawet jeśli podejmuje decyzje techniczne dotyczące sposobu tego przetwarzania. Przy przetwarzaniu danych na rzecz administratora, administrator musi korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO, w tym bezpieczeństwa przetwarzania i ochrony praw osób, których dane dotyczą.
Podmioty przetwarzające dane mogą zaangażować inny podmiot przetwarzający, określany terminem „podwykonawcy przetwarzania danych”, do wykonywania określonych czynności przetwarzania w imieniu administratora. W takich przypadkach, na podwykonawcę przetwarzania danych nakłada się te same obowiązki ochrony danych określone w umowie między administratorem a podmiotem przetwarzającym (tj. odpowiednie środki techniczne i organizacyjne).
Jeśli podwykonawca przetwarzania danych nie wywiąże się ze swoich obowiązków w zakresie ochrony danych, właściwy podmiot przetwarzający pozostaje w pełni odpowiedzialny wobec administratora za wykonanie swoich obowiązków. Zakontraktowanie podwykonawcy przetwarzania danych musi odbywać się za uprzednią pisemną zgodą administratora. W przypadku ogólnego pisemnego upoważnienia podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podwykonawców przetwarzania danych, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Każdy, kto nie jest osobą, której dane dotyczą, administratorem ani podmiotem przetwarzającym dane, określany jest terminem strony trzeciej. Przykładem strony trzeciej może być firma sprzątająca wynajęta do sprzątania biur lub firma zajmująca się konserwacją sprzętu. Nawet jeśli mogą one od czasu do czasu natknąć się na dane osobowe podczas poruszania się po biurze lub na sprzęcie, mogą wykonywać swoje zadania bez dostępu do danych. Ponadto, strony trzecie mają umowny zakaz uzyskiwania dostępu lub przetwarzania w inny sposób danych osobowych, które firma przechowuje jako administrator.
Odbiorca danych to każdy inny podmiot, któremu możemy ujawnić dane osobowe, niezależnie od tego, czy jest stroną trzecią.
Umowa o powierzeniu przetwarzania danych (DPA – Data Processing Agreement) to prawnie wiążąca umowa, która określa prawa i obowiązki każdej ze stron w zakresie ochrony danych osobowych.
Aby wdrożyć skuteczne i mające zastosowanie środki zapewniające bezpieczne międzynarodowe przekazy danych, Europejska Rada Ochrony Danych (EROD – European Data Protection Board) przyjęła 18 czerwca 2021 r. zalecenia w sprawie zabezpieczenia międzynarodowego przekazu danych. Zalecenia te opierają się na orzeczeniu „Schrems II” Trybunału Sprawiedliwości Unii Europejskiej, które nałożyło na administratorów przekazujących dane osobowe do krajów spoza UE obowiązek podjęcia dodatkowych środków w celu zabezpieczenia przekazu danych.
Standardowe klauzule umowne (SCC – Standard Contractual Clauses) zawierają zobowiązania umowne między podmiotem przekazującym dane a podmiotem odbierającym dane oraz prawa osób fizycznych, których dane osobowe są przekazywane.
Europejskie podejście do przetwarzania danych obejmuje kluczową koncepcję „Poznaj swój transfer”, która odnosi się do kraju, do którego dane osobowe zostaną przekazane w celu ich przetwarzania. Zalecenia te opierają się na orzeczeniu „Schrems II” Trybunału Sprawiedliwości Unii Europejskiej, które nałożyło na administratorów przekazujących dane osobowe do krajów spoza UE obowiązek podjęcia dodatkowych środków w celu zabezpieczenia przekazu danych.
Termin „kraje trzecie” nie jest zdefiniowany w RODO, ale pochodzi z podstawowych traktatów UE i odnosi się do krajów, które nie są stroną tych traktatów. Jest to termin powszechnie stosowany w prawie UE i zwykle odnosi się do każdego kraju, który nie jest częścią organizacji podlegającej temu prawu. Ponieważ RODO ma zastosowanie jako prawo do UE i EOG, „kraje trzecie” odnoszą się do tych krajów, które nie są państwami członkowskimi UE lub EOG.
„Decyzja stwierdzająca odpowiedni stopień ochrony” Komisji Europejskiej potwierdza, że dany kraj, terytorium lub sektor poza UE zapewnia równoważny poziom ochrony danych osobowych jak UE. Zaktualizowaną listę krajów, w których wydano decyzje stwierdzające odpowiedni poziom ochrony, można znaleźć na stronie (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
Umowa o partnerstwie biznesowym (BAA – Business Associate Agreement) to pisemna umowa określająca każdą ze stron. Obowiązki w zakresie postępowania z PHI. Zadowalające zapewnienia muszą mieć formę pisemną pomiędzy danym podmiotem a partnerem biznesowym. Wszystkie umowy BAA muszą zostać zweryfikowane i podpisane przez Privacy.
Privacy by Design wymaga, aby prywatność i ochrona danych były osadzone w całym cyklu życia projektu, od wczesnego etapu projektowania, poprzez wdrożenie, użytkowanie i utylizację. Główne funkcje trybu Privacy by Design obejmują proaktywność, wdrażanie kontroli prywatności i okazywanie szacunku dla ochrony osób, których dane dotyczą. Chodzi o to, aby zespół ds. prywatności był powiadamiany na początkowych etapach pomysłu na projekt, aby można było rozważyć kontrolę prywatności.
Zgodnie z HIPAA, naruszenie PHI to uzyskanie, dostęp, wykorzystanie lub ujawnienie niezabezpieczonych PHI w sposób niedozwolony przez HIPAA, który stwarza znaczne ryzyko szkody finansowej, reputacyjnej lub innej dla osoby fizycznej. Zasada powiadamiania o naruszeniach HIPAA wymaga od podmiotów objętych ubezpieczeniem i partnerów biznesowych powiadamiania osób poszkodowanych, HHS, a w niektórych przypadkach mediów o naruszeniu niezabezpieczonych PHI.
Zgodnie z RODO naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.