Medzi najdôležitejšie základné pojmy používané v bezpečnostnom projekte, vytvorenom podľa zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, v znení zákona č. 84/2014 Z. z. (úplné znenie zákona č. 136/2014 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov):
Bezpečnostný projekt je dokument, ktorého obsah je vymedzený Zákonom na ochranu osobných údajov. Pozostáva z troch navzájom previazaných častí:
Za bezpečnosť osobných údajov v informačnom systéme zodpovedá prevádzkovateľ. Chráni ich pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek neprípustnými formami spracúvania. Pre určitú skupinu prevádzkovateľov a sprostredkovateľov je stanovená povinnosť formalizovať informačnú bezpečnosť ohľadne osobných údajov do písanej podoby, ktorou je Bezpečnostný projekt.
Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
[§ 19 Zodpovednosť za bezpečnosť osobných údajov; § 20 Bezpečnostný projekt; Vyhláška 164/2013 a jej novela Vyhláška 117/2014]
Cezhraničný prenos je prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky. Cezhraničný prenos osobných údajov je spracovateľskou operáciou, ktorá sa svojim obsahom radí pod pojem spracúvanie osobných údajov.
Cezhraničný prenos osobných údajov je rozdelený do dvoch hlavných kategórií: Prenos osobných údajov do tretích krajín (§ 31), ktoré zaručujú, resp. nezaručujú primeranú úroveň ochrany osobných údajov, a Prenos osobných údajov v rámci členských štátov (§ 32).
[§ 4, ods. 3, písm. a), bod 4.; § 31 Prenos osobných údajov do tretích krajín; § 32 Prenos osobných údajov v rámci členských štátov]
Dotknutou osobou je každá fyzická osoba, ktorej sa osobné údaje týkajú.
[§ 4, ods. 2, písm. a); § 28 Práva dotknutej osoby; § 29 Poskytnutie informácií dotknutej osobe; § 30 Oznámenie o obmedzení práv dotknutej osoby]
Informačným systémom osobných údajov je informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.
Informačným systémom sa rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými automatizovanými prostriedkami spracúvania.
[§ 4, ods. 3, písm. b)]
Likvidácia osobných údajov je zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať.
[§ 4, ods. 3, písm. a), bod 5; § 17 Likvidácia osobných údajov]
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21.
[§ 3, ods. 2, písm. e)]
Medzi tieto tzv. citlivé údaje zaraďujeme údaje o rase či etniku, politické názory, náboženskú vieru alebo svetonázor, členstvo v politickej strane alebo hnutí, členstvo v odborových organizáciách. Dôležitou súčasťou balíka citlivých údajov sú údaje o zdravotnom stave a o pohlavnom živote.
Všetky tieto údaje je v zásade zakázané spracúvať čo vyplýva z generálneho zákazu, ale nie je to zákaz absolútny.
Dôležitým elementom v množine osobitných kategórií osobných údajov je rodné číslo alebo slovami zákona všeobecne použiteľný identifikátor. Rodné číslo možno spracúvať iba keď je to nevyhnutné na dosiahnutie účelu spracúvania, pričom nikdy nie je povolené rodné číslo zverejňovať.
Zverejňovanie rodného čísla je bez výnimky zakázané. (Pokiaľ sa rodné číslo nachádza niekde na internete alebo bolo uvedené v televízii, či inak masovokomunikačnými prostriedkami dané na známosť verejnosti, porušil sa tým zákon.)
[§ 13 Osobitné kategórie osobných údajov]
Osobné údaje sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
Či dané údaje sú alebo nie sú osobnými údajmi môžeme vyčítať len z kontextu ich použitia. Napr. ak máme k dispozícii iba meno a priezvisko a vieme o osobe, že je mužského pohlavia, máme len súbor údajov, ktoré nemožno považovať za osobné, lebo z nich v tomto všeobecnom kontexte nevieme priamo ani nepriamo určiť fyzickú osobu. V zásade je to málo na to, aby sme mohli takpovediac ukázať na niekoho a povedať, že to je ON.
[§ 4, ods. 1]
Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie, alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie, alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná ustanovené podmienky.
[§ 4, ods. 2, písm. b); § 6 Prevádzkovateľ; § 7 Zástupca prevádzkovateľa, § 8 Sprostredkovateľ]
Spracúvanie osobných údajov je vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.
[§ 4, ods. 3, písm. a)]
Sprostredkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa alebo zástupcu prevádzkovateľa.
[§ 4, ods. 2, písm. d); § 8 Sprostredkovateľ]
Súhlas dotknutej osoby je akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov
[§ 4, ods. 3, písm. d); § 11 Súhlas dotknutej osoby]
Treťou krajinou je krajina, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore.
[§ 4, ods. 3, písm. l)]
Treťou stranou je každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou.
[§ 4, ods. 2, písm. f)]
Účel spracúvania osobných údajov je vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť.
[§ 4, ods. 3, písm. c)]
Všeobecne použiteľný identifikátor je trvalý identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch.
[§ 4, ods. 3, písm. g)]
Každý prevádzkovateľ, spracúvajúci osobné údaje prostredníctvom oprávnených osôb môže písomne poveriť zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov, ktoré spracúva.
Oprávnenou osobou je v podstate každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi, ktoré sú spracúvané v informačných systémoch jej zamestnávateľa. Zamestnávateľom oprávnenej osoby môže byť prevádzkovateľ alebo sprostredkovateľ. Postavenie oprávnenej osoby vznikne dňom jej poučenia (podľa § 21). Oprávnenou osobou môžu byť okrem zamestnancov aj osoby, ktoré vykonávajú pre zamestnávateľa závislú prácu aj na základe dohôd mimo pracovného pomeru (napr. brigádnici, študenti), ale aj osoby, ktoré vykonávajú absolventskú prax. Hoci má zodpovedná osoba zároveň aj postavenie oprávnenej osoby nemusí byť zamestnancom, tzn. že môže pochádzať aj z externého prostredia a výkon funkcie zodpovednej osoby je tak možné aj na základe odplatného alebo bezodplatného zmluvného vzťahu s akoukoľvek fyzickou osobou spôsobilou na výkon funkcie zodpovednej osoby.
[§ 23 Podmienky poverenia zodpovednej osoby (Dohľad nad ochranou osobných údajov)]