Aktualnie przeglądasz: www.2education.pl » Bezpieczna szkoła » Słowniczek pojęć

Wydarzenia

Nie ma żadnych wydarzeń tego roku.

Słowniczek pojęć

ZROZUMIEĆ BEZPIECZEŃSTWO – OCHRONA DANYCH OSOBOWYCH

AUTENTYCZNOŚĆ – jeden z atrybutów bezpieczeństwa informacji, oznacza cechę podmiotu lub zasobu informacji zapewniającą, że rzeczywista jego tożsamość jest zgodna z tożsamością deklarowaną. Stanowi jedną z wartości bezwzględnych, która pozwala dokonać oceny czy dany zbiór danych jest bezpieczny czy nie.

CELE OSOBISTE LUB DOMOWE  (art. 3 a ust 1 pkt. 1 UODO) – kryterium przetwarzania danych osobowych wskazujące na niezarobkowe dążenie osoby fizycznej, która przetwarza dane. W oparciu o to założenie utworzony zbiór danych osobowych nie podlega reżimowi prawnemu ustawy o ochronie danych osobowych. Przykładem przetwarzania danych osobowych w celu osobistym lub domowym mogą być zestawienia danych osobowych przechowywanych w pamięci telefonów komórkowych, kalendarzach i skorowidzach domowych.   

„CZARNE LISTY” - dokumenty elektroniczne tworzone i publikowane w sieci Internet zawierające dane nieprawdziwe i naruszające wprost przepisy prawa. Sformułowanie używane w celu zilustrowania skali zagrożenia związanego przetwarzaniem danych z wykorzystaniem Internetu w zakresie ochrony prawnej prywatności na płaszczyźnie prawdziwości i legalności przetwarzania.

DORAŹNE  ZBIORY (art. 2 ust 3 UODO) – kategoria zbioru danych (również sensytywnych) wyodrębniona w oparciu o wzajemną relację dwóch czynników: czasowego (zbiór tworzony okolicznościowo) i celowościowego (zbiór o charakterze „towarzyszącym” kreowany pobocznie -równolegle do głównej ścieżki działalności administratora danych osobowych). Jedynie kumulatywne występowanie obu cech definiujących pozwala na skuteczne ustalenie, że mamy do czynienia ze zbiorem doraźnym. Nawet znaczne nasilenie tylko jednego wymaganego elementu nie nadaje zbiorom danych charakteru doraźnego. (np. zbiorem doraźnym będzie zbiór danych wykorzystanych jednorazowo, marketingowo, dla celów własnej akcji promocyjnej, którego dane po wykorzystaniu zostały niezwłocznie usunięte lub poddane anonimizacji).

HASŁO (§2 pkt. 3 Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych...) - narzędzie autoryzacji przyjmujące postać ciągu znaków znanego jedynie osobie uprawnionej do pracy w systemie informatycznym,  którego konstrukcja podlega modyfikacji w zależności od stosowanego poziomu bezpieczeństwa, a które nie podlega ujawnieniu w ewidencji osób uprawnionych do przetwarzania danych.  

INFORMACJA PUBLICZNA – (art. 61 Konstytucji i art. 6 ust. 1 UDIF)  „każda informacja o sprawach publicznych” czyli panoramiczna sfera faktów i danych definiowana w oparciu o konstrukcję domniemania, z którego wynika dominacja jawności nad tajnością informacji mających związek z szeroko rozumianą sferą publiczną.  Wszystko co dotyczy spraw publicznych jest co do zasady jawne. Jeśli zatem dana informacja objęta jest jakąś ustawową tajemnicą szczególną, to ona nadal pozostaje informacją publiczną. Jednak nie jest udostępniana. Co więc ważne, za informację publiczną uznaje się również tą informację, która nie jest udostępniania w ogóle, lub tylko wąskiemu gronu. Konsekwencją definicji jest odwrócony ciężar dowodowy w zakresie dostępu do informacji, zgodnie z którym  osoba zainteresowana, która chce  uzyskać informację publiczną, nie musi wcale udowadniać dlaczego dana informacja jest jej potrzebna. To podmiot zobowiązany do stosowania przepisów ustawy – będący  dysponentem informacji i gwarantem jej ochrony -  jest zobowiązany udowodnić, że żądana treść nie jest informacją publiczną.

  • informacja publiczna w ujęciu  wąskim -  treść każdego dokumentu sporządzonego lub otrzymanego przez organy lub inne podmioty uczestniczące w realizacji kompetencji władzy publicznej (M. Jabłoński i K. Wygoda Dostęp do informacji i jego granice, Wydawnictwo Uniwersytetu Wrocławskiego Wrocław 2002 r. s. 110). Będzie to każda wiadomość wytworzona lub odnoszona do władz publicznych, a także wytworzona lub odnoszona do innych podmiotów wykonujących funkcje publiczne w zakresie wykonywania przez nie zadań władzy publicznej i gospodarowania mieniem komunalnym lub mieniem Skarbu Państwa (wyrok Naczelnego Sądu Administracyjnego z dnia 25 marca 2003 r.; II SA 4059/2002).
  • informacja publiczna w znaczeniu szerokim - wszelkie fakty i dane zapisane na jakimkolwiek nośniku informacji, lub też znane osobom fizycznym, jak również opisy tych informacji i stanów, jeżeli są informacjami o sprawach publicznych.

INTEGRALNOŚĆ (§2 pkt. 8 Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych...) – oznacza właściwość pozwalającą wyrazić przekonanie, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany. W kontekście praktycznym konstruuje standard bezpieczeństwa, dla zachowania którego mechanizmy zabezpieczenia stosowane w technice informatycznej i telekomunikacyjnej  muszą  polegać na zastosowaniu środków technicznych i organizacyjnych gwarantujących ochronę danych zarówno przed ich przypadkową zmianą lub zniszczeniem jak i chronić przed działaniem celowym zdeterminowanym na pozyskanie informacji – tak aby dane zachowywały prawidłową postać podczas ich odczytu, zapisu, transmisji, magazynowania.

KONTROLA UPRZEDNIA – tzw. kontrola wstępna – pojęcie pojawiające się na kanwie przepisów Dyrektywy 95/46/WE (art. 20) formułujące powinność zainicjowania przez ABI działań kontrolnych w przypadku gdy zachodzi podejrzenie, że przetwarzanie danych mogłoby doprowadzić do szczególnego narażenia praw i wolności jednostki. Na gruncie krajowej regulacji obowiązki ABI z zakresu ‘kontroli uprzedniej’ powinny być formułowane w kontekście działań podejmowanych w stosunku do danych sensytywnych.  

LISTY PUSTELNIKÓW (art. 23 ust. 1 pkt. 5 UODO) zwane również „listami Robinsona” - spisy zawierające dane osobowe podmiotów, które nie życzą sobie otrzymywania informacji reklamowych, katalogowane w oparciu o kryterium  sposobu komunikowania się (poczta, poczta elektroniczna, faks, SMS, itp.). W Polsce lista Robinsona prowadzona jest przez Stowarzyszenie Marketingu Bezpośredniego, do którego podmiot zainteresowany może złożyć stosowny wniosek o wpis.

MARKETING BEZPOSREDNI WŁASNYCH PRODUKTÓW LUB USŁUG ( art. 23 ust 4 pkt. 1 UODO) – wskazany wprost w ustawie przykład usprawiedliwionego celu przetwarzania danych osobowych obejmujący czynności promujące produkty lub usługi administratora danych, w efekcie których informacje są przekazywane indywidualnie do konkretnego adresata z pominięciem dodatkowych kanałów dystrybucji.

METADANE (§2 ust 1 Rozporządzenia MSWiA z dnia 30 października 2006 r. w sprawie niezbędnych elementów struktury dokumentów elektronicznych) - tzw. „dane o danych”  kompatybilne, usystematyzowane, logicznie i możliwe do wykorzystania zestawienie informacji pozwalających opisać dane a także skutecznie je wyszukiwać, kontrolować, zrozumieć, długotrwale przechować  i nimi zarządzać.   

ODBIORCA DANYCH  (art. 7 pkt. 6 UODO) – podmiot, który  ma możliwość uzyskania danych osobowych nie będąc jednocześnie: osobą, której dane dotyczą, osobą upoważnioną do przetwarzania danych,  przedstawicielem podmiotu mającego siedzibę lub miejsce zamieszkania na terytorium państwa trzeciego, podmiotem, któremu powierzono przetwarzanie danych na mocy umowy z administratorem danych, ani organem państwowych lub samorządowym, którym dane są udostępniane w związku z prowadzonym postępowaniem.

PODATNOŚĆ – element bezpieczeństwa informacji pozwalający zidentyfikować jego poziom. Wyznacza stopień prawdopodobieństwa naruszenia bezpieczeństwa zasobów danych z uwzględnieniem istniejących zabezpieczeń. Podatność dotyka zarówno sfery zabezpieczeń technicznych, sprzętowych, infrastruktury jak i organizacyjne i nadzorcze płaszczyzny ochrony.  

PODSTAWOWY POZIOM BEZPIECZEŃSTWA (§6 ust 1 pkt. 1 Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych...) - pierwszy z trzech poziomów ochrony danych przetwarzanych w systemie informatycznym, który zmusza do wydzielenia obszaru przetwarzania danych chronionego przed samodzielnym dostępem osób nieuprawnionych (np. wymóg uzyskania uprzedniej zgody administratora danych, wymóg dostępu do danych wyłącznie w obecności osoby upoważnionej). Technicznie poziom ten wymaga rejestracji odrębnych dla każdego użytkownika nieodnawialnych identyfikatorów, wymagających uwierzytelnienia, stosowania haseł dostępu zmienianych co najmniej raz na 30 dni, obowiązkowego wykonania kopii zapasowych programów przetwarzania i zbiorów danych oraz odpowiedniego ich przechowywania.        

PODWYŻSZONY POZIOM BEZPIECZEŃSTWA §6 ust 1 pkt. 2 Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych...) – średni poziom ochrony danych przetwarzanych w systemie informatycznym z zastosowaniem rozszerzonej instrukcji zarządzania systemem informatycznym. Tytułem przykładu należy wskazać konieczność uwierzytelnienia użytkowników poprzez hasła zawierające małe i wielkie litery oraz cyfry i znaki specjalne, a także specjalny reżim zabezpieczenia przy przekazywaniu nośników danych sensytywnych poza obszar ochrony.    

POLITYKA BEZPIECZEŃSTWA  (§3 i §4 Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych...) – zespół zasad, doświadczeń praktycznych i reguł postępowania wskazujący metodę optymalnej i kompleksowej ochrony danych osobowych u konkretnego administratora danych, wymuszający świadome zaangażowanie kierownictwa jednostki w kreowanie zasad bezpieczeństwa w procesach zarządzania, ochrony i dystrybucji informacji. Polityka bezpieczeństwa obejmuje swoim zakresem wszelkie dane (także wrażliwe) przetwarzane zarówno w systemie informatycznym, jak i tradycyjnie. 

POUFNOŚĆ (§2 pkt. 10 Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych...) – potencjalność przeciwdziałania ujawnianiu danych podmiotom spoza grupy osób upoważnionych; generalnie cecha ta wymusza jednakowy poziom ochrony dla wszystkich kategorii danych niezależnie od tego, w jakiej formie się znajdują. Oznacza zdolność użytkowników środowisk informatycznych do kontroli gromadzenia wykorzystania i dystrybucji danych. Przymiot poufności wymaga od uprawnionych osób konkretnych zachowań podczas realizacji procesu przetwarzania danych osobowych, formułując obowiązek dostosowania się do poziomu zabezpieczenia danych poprzez autoryzowaną komunikację.

POWIERZENIE PRZETWARZANIA DANYCH (art. 31 UODO ) – ustawowe upoważnienie dla administratora danych, na podstawie którego może – w zakresie i zgodnie z celem  zawartej umowy - skorzystać z wiedzy posiadanej przez podmioty profesjonalne. Wskutek ukształtowanego w ten sposób stosunku administrator nie przekazuje swojej kompetencji na rzecz podmiotu, któremu powierzono przetwarzanie. Ten ostatni ma jednak obowiązek zapewnić środki zabezpieczenia danych     stosowane przy przetwarzaniu.

PRZEKSZTAŁCONA INFORMACJA PUBLICZNA –informacja uzyskana wskutek zabiegu o charakterze technicznym polegającym na zmianie postaci materialnej wypowiedzi czy dokumentu bez jednoczesnego wpływu na jego treść merytoryczną. Jest efektem działań na płaszczyźnie zewnętrznej informacji; przykładem jest zeskanowanie dokumentu i przesłanie go pocztą elektroniczną.

PRZETWORZONA INFORMACJA PUBLICZNA – efekt intelektualnego wysiłku podmiotu, który swoim działaniem poddaje istniejącą już informację publiczną  procesowi modyfikacji na podstawie posiadanych danych w celu osiągnięcia zamierzonego wyniku. Przetworzenie oznacza kompilację posiadanych informacji, wskutek czego wytwarza się nową informację. Mamy zatem do czynienia z informacją przetworzoną w każdej sytuacji, w której aby uzyskać pełną odpowiedź na zapytanie podmiotu zainteresowanego,  koniecznym jest uprzednie dokonanie pewnego rodzaju porównań, ostatecznych wyliczeń, odniesień do innych okresów itd. (z uzasadnienia wyroku Naczelnego Sądu Administracyjnego z dnia 2 kwietnia 2003 r.; SA/Sz 2872/2002)., a więc podjęcie konkretnych czynności arytmetycznych, statystycznych i porównawczych.

ROZLICZALNOŚĆ (§2 pkt 7 Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych...) -  to zdolność jednoznacznego zidentyfikowania podmiotu odpowiedzialnego za wygenerowanie określonego skutku. W kontekście przetwarzania danych osobowych w systemie informatycznym rozliczalność oznacza możliwość niewątpliwego wskazania nie tylko osoby, która wprowadziła do sytemu dane albo zmodyfikowała je, ale także ustalenia daty wprowadzenia konkretnych danych do sytemu. Jako atrybut bezpieczeństwa informacji rozliczalność jest realizowana przez wprowadzenie jednolitych systemów identyfikacji, monitorowanie incydentów, a także audyty: aplikacji, systemowe i bezpieczeństwa.

SENSYTYWNE DANE  (art. 27 ust 1 UODO) – Kategoria danych osobowych wyróżniona w oparciu o kryteria podmiotowo przedmiotowe obejmująca informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, a także dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym,  dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, oraz innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, w stosunku do której przepisy prawa formułują maksymalnie restrykcyjne przesłanki dopuszczalności przetwarzania.

„SZCZĄTKOWE RYZYKO” – element analizy ryzyka - synonim dowodu skuteczności stosowanych metod i procedur zabezpieczenia przy przetwarzaniu danych, będący wynikiem inspekcji bezpieczeństwa informacji przeprowadzanej pod kątem rodzaju i wielkości zagrożeń oraz dostępności i efektywności stosowanych środków ostrożności. 

TRZY POZIOMY BEZPIECZEŃSTWA – założenie konieczności dyferencjacji stopnia ochrony przetwarzania danych osobowych w systemie informatycznym. Z uwzględnieniem kategorii danych objętych ochroną oraz  specyfiki odnoszących się do nich zagrożeń wyróżniono podstawowy, podwyższony i wysoki poziom bezpieczeństwa - w zależności od rodzaju stosowanych środków technicznych i organizacyjnych oraz  stopnia nasilenia ochrony danych.

USPRAWIEDLIWIONY CEL  (art. 23 ust 1 pkt 5 UODO) - słuszna i zasadna działalność administratora lub odbiorcy danych, prowadzona na podstawie i w granicach upoważnienia wynikającego z przepisów prawa i pozostająca w zgodzie z zasadami współżycia społecznego i dobrymi obyczajami.  

WYSOKI POZIOM BEZPIECZEŃSTWA (§6 ust 1 pkt 3 Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych...) - najwyższy z tzw. trzech poziomów bezpieczeństwa, który wymusza zastosowanie systemów informatycznych chroniących przed zagrożeniami z sieci publicznej  oraz wdrożenia fizycznych i logicznych środków ochrony przed nieuprawnionym dostępem.  

ZABEZPIECZENIE DANYCH (art. 36-39a UODO) - podstawowy obowiązek administratora danych dotyczący wszystkich postaci przetwarzania danych objętych zakresem zastosowania ustawy UODO - ze szczególnym uwzględnieniem danych przetwarzanych w systemach informatycznych - polegający na konieczności  wdrożenia i eksploatacji stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. Aktywność administratora w zakresie realizacji tego obowiązku powinna być zdeterminowana celem wyeliminowania powyższego ryzyka zarówno na płaszczyźnie zdarzeń przypadkowych, jak i działań zamierzonych.

ZADANIA REALIZOWANE DLA DOBRA PUBLICZNEGO (art. 23 ust 1 pkt 4 UODO) - określone prawem działania o charakterze niewładczym, podejmowane przez przetwarzającego w interesie dobra wspólnego, w stosunku do których zachodzi wysokie prawdopodobieństwo, że brak ich podjęcia doprowadziłby do naruszenia tego dobra, np. przetwarzanie danych osobowych posiadaczy psów zaszczepionych przeciwko wściekliźnie.  

ŻYWOTNE INTERESY OSOBY, KTÓREJ DANE DOTYCZĄ  (art 23 ust 3 i art. 27 ust 2 pkt 3 UODO) -partykularne, osobiste i majątkowe interesy jednostki, którym przyznaje się pierwszeństwo ochrony prawnej w zetknięciu z koniecznością zapewnienia bezpieczeństwa danych osobowych i zachowania ich poufności. Kategoria pojęciowa, której granice wyznaczają zasady doświadczenia życiowego, w świetle których w razie kolizji ochrony dóbr prawnych należy racjonalnie domniemywać, że gdyby istniała możliwość wyrażenia zgody przez osobę, której dane dotyczą to obiektywnie i przez wzgląd na  doniosłość własnych interesów wyraziłaby ona zgodna na przetwarzanie danych.    

©Prawa do niniejszego opracowania posiada Przemysław Bańko oraz Adwokat Kalina Kluza - Cygan