Une action fait partie d'un plan d'action et représente une transformation ou le traitement par une organisation ou un système.

Une activité sensible est une activité dont l'impact global sur le risque du traitement est important.

Une archive physique correspond aux locaux dans lesquels l'historique des archives est conservé.

Une autorité de contrôle est une autorité publique établie par un état membre. Elle peut être contactée par l'entité juridique dans le but de, par exemple, notifier une violation de données ou faire un retour concernant la DPIA d'un traitement.

Une autorité chargée de la protection des données est une autorité nationale dont la tâche est d'assurer la protection et la confidentialité des données, ainsi que de surveiller et de faire appliquer les réglementations concernant la protection des données au sein de l'Union Européenne.

Un cadre réglementaire représente un ensemble de directives contraignantes ou non, définies par un gouvernement dans le cadre d'une loi, par un groupement professionnel sous forme de bonnes pratiques ou en interne par une organisation.

Les catégories des données sont utilisées dans le but de regrouper différentes données à caractère personnel.

Une catégorie de personne concernée est un type de partie prenante qui interagit avec votre organisation dans l'environnement d'entreprise (par exemple un client du secteur privé, un fournisseur).

Les co-responsables de traitement peuvent déterminer conjointement les finalités et les moyens du traitement.

Le consentement est une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Un correspondant DPO peut être amené à assister le DPO dans les grandes entreprises.

Le correspondant informatique est chargé d'assurer le support informatique.

Une demande de personne concernée est une demande formelle adressée à un responsable de traitement pour qu'il intervienne sur ses données à caractère personnel.

Les documents de politique interne permettent de joindre des documents ou de spécifier une URL à utiliser dans le but de fournir des preuves de la responsabilité de l'entreprise​.

Les données personnelles comprennent les informations relatives aux personnes physiques ou « personnes concernées », et pouvant être utilisées directement ou indirectement pour identifier une personne.

L'analyse d'impact relative à la protection des données (DPIA - Data Protection Impact Assessment) est une analyse d'impact relative à la confidentialité des données, dont l'objectif est d'identifier et d'analyser comment certaines actions ou activités peuvent affecter la vie privée. Dans le cadre de lois sur les données à caractère personnel, les analyses d'impact relatives à la protection des données sont obligatoires dans certains cas, tels que le profilage.

Le droit à l'oubli est également appelé Droit à l'effacement. Il autorise la personne concernée à faire supprimer ses données à caractère personnel par le responsable de traitement, à stopper la dissémination de ses données, et à interdire leur traitement par des tiers.

Le droit d'accès permet aux personnes concernées d'accéder aux données à caractère personnel les concernant et que le responsable de traitement détient.

Voir Droit à l'oubli.

Une entité juridique est une entreprise ou organisation qui a des droits et obligations juridiques.

Un établissement correspond à la localisation (site) d'une entité juridique.

Une exigence est un besoin ou une attente explicitement exprimés,
imposés comme contrainte à respecter dans le contexte d'un cadre réglementaire.

La finalité d'un traitement est l'objectif principal de ce traitement. Exemples : enquête de satisfaction, gestion des clients, surveillance d'un site

Les garanties sont des mesures prises pour assurer la légitimité des flux de données. Les garanties s'appliquent aux transferts seulement.

Les mesures de sécurité sont des mesures techniques et organisationnelles appropriées à prendre pour s'assurer que les exigences de la réglementation sont satisfaites.

La minimisation est un principe selon lequel les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Un ordinateur est un matériel qui peut héberger et exécuter un logiciel. Conjointement avec les applications qu'il héberge, il fournit les services d'information et de données.

Un organigramme contient la structure hiérarchique des DPO de l'organisation. Il montre les relations entre les DPO qui ont été nommés et permet d'identifier les responsabilités de chacun au sein de l'organisation. Il est automatiquement construit en se fondant sur les informations saisies sur les entités juridiques.

Une période de conservation permet de consigner la période pendant laquelle les données à caractère personnel seront stockées par l'organisation.

Une personne concernée est une personne physique dont les données à caractère personnelles font l'objet d'un traitement par un responsable de traitement ou un sous-traitant.

Un plan d'action comprend une série d'actions, son objectif étant de réduire les risques et événements ayant un impact négatif sur les activités de l'entreprise.

La portabilité est l'exigence pour les responsables de traitement de fournir à toute personne concernée une copie de ses données dans un format permettant à un autre responsable de traitement d'en faire usage.

Le profilage comprend toute forme de traitement automatisé de données à caractère personnel dont le but est d'évaluer, analyser, ou prédire le comportement des personnes concernées.

Le propriétaire de traitement fournit une description détaillée du traitement. Il ne participe pas à l'évaluation du traitement.

La protection de la vie privée dès la conception est un principe qui introduit la protection de la vie privée dès la phase de conception des systèmes (plutôt que de l'introduire a posteriori).

Le registre des traitements doit contenir des informations significatives concernant le traitement des données, par exemple les catégories de données, les groupes de personnes impactées, la finalité du traitement et les destinataires des données. Il doit être mis à disposition des autorités à leur demande.

Un représentant est une personne de l'Union Européenne désignée explicitement par le responsable de traitement pour servir de point de contact auprès des autorités de contrôle.

Un représentant national est un représentant de l'entité juridique dans l'un des états membres. Une entité juridique n'appartenant pas à l'Union Européenne doit nommer des représentants dans chaque état membre dans lequel l'entité traite des données à caractère personnel.

Le DPO (Data Protection Officer) ou Responsable de la protection des données travaille de manière indépendante pour s'assurer de la bonne application des textes juridiques concernant les lois de protection des données.

Le responsable de traitement est l'entité qui définit les finalités, conditions et moyens du traitement des données à caractère personnel.

Un risque représente un risque relatif à la protection des données qui doit être identifié et évalué au cours d'un DPIA.

Un sous-traitant est l'entité qui traite des données à caractère personnel pour le compte du responsable de traitement.

Un tiers est une personne physique ou morale, une autorité publique, un service ou un organisme autre qu'une personne concernée, un responsable de traitement, un sous-traitant et les personnes qui, placées sous l'autorité directe du responsable de traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

Dans le cadre d'une loi sur la protection des données personnelles, un transfert de données est un transfert ou une copie de données à caractère personnel.

Une violation de données personnelles est une faille de sécurité conduisant à un accès accidentel ou illicite, à la destruction, à l'utilisation abusive de données à caractère personnel.