To jedno z najczęściej stawianych pytań na forach w temacie RODO. Do tej pory ochrona danych osobowych nie zaprzątała głowy większości drobnych przedsiębiorców, ale nowe przepisy odwracają sytuację. RODO dotyczy prawie każdego, więc najprawdopodobniej także i ciebie.

Sama tematem ochrony danych osobowych zajęłam się już w 2014 r., gdy zakładałam sklep Energia Tłumaczy. We współpracy z prawnikami opracowałam wtedy cały pakiet dokumentów, zgłosiłam też zbiory danych w GIODO. Na szczęście obowiązek zgłoszenia nie będzie obowiązywał od 25.05.2018, każdy będzie musiał natomiast dostosować działania w firmie. Dotyczy to jednak nie tylko właścicieli sklepów internetowych, blogerów, czy wielkich firm, ale też mikroprzedsiębiorców, a nawet osób, które nie prowadzą działalności gospodarczej, ale przetwarzają dane osobowe.

Oczywiście nie oznacza to, że dostając kartkę z wakacji od cioci, na której widnieją jej adres oraz imię i nazwisko, przetwarzasz dane w myśl RODO. Na szczęście wszystko, co robimy w ramach życia prywatnego podpada pod wyjątek opisany w Art. 2 ust. 2 rozporządzenia. Jednak z zastosowania przepisów nie może czuć się zwolniony nikt, kto przetwarza dane osobowe w celach służbowo-zawodowych. Czyli na przykład tłumacz.

RODO definiuje dane osobowe jako te, które pozwalają zidentyfikować osobę fizyczną. Będą to więc dane teleadresowe, ale też adres IP lub adres e-mail. Przetwarzanie oznacza z kolei wszystkie operacje wykonywane na danych osobowych, w tym ich przesyłanie, zapisywanie, a nawet usuwanie.

Do jakiego stopnia RODO mnie dotyczy?

Zakres obowiązków i odpowiedzialności związanej z przetwarzaniem danych osobowych zależy i od charakteru działalności tłumacza, i od rodzaju powierzanych mu danych. W dużym skrócie można to podsumować w ten sposób:

– jeśli otrzymujesz od klientów ich dane osobowe (np. imię, nazwisko, adres e-mail) i wykorzystujesz je do realizacji zlecenia, np. odesłania tłumaczenia, oraz do identyfikacji tych klientów

– jeśli otrzymujesz od klientów lub partnerów pliki, w których (nawet jednokrotnie) pojawiają się dane osobowe

– jeśli masz bazę klientów

– jeśli otrzymujesz maile

– jeśli wystawiasz faktury lub rachunki i prowadzisz ich rejestr (a nawet przechowujesz je w segregatorze)

– jeśli masz własną stronę internetową, nie mówią już o formularzu kontaktowym lub newsletterze

– jeśli korzystasz z narzędzi CAT, masz TM-ki i/lub przechowujesz archiwalne tłumaczenia

– jeśli notujesz cokolwiek na zleceniach ustnych i w notatkach czasem pojawiają się dane osobowe,

to musisz zadbać o ochronę danych osobowych. Podejrzewam, niestety, że trudno byłoby doszukać się osoby, która w ramach pracy kontaktuje się z innymi osobami, pracuje z dokumentami i korzysta z maila, a która nie podlegałaby pod RODO.

Być może jest tak:

1. Masz standardową działalność, tłumaczysz ustnie lub pisemnie i przetwarzasz dane osobowe klientów bezpośrednich, partnerów biznesowych oraz dane zawarte w tekstach i materiałach referencyjnych

2. Jesteś tłumaczem specjalistycznym i zajmujesz się tekstami medycznymi – przetwarzasz dane szczególnie wrażliwe

3. Masz stronę, blog lub newsletter i przetwarzasz dane w szerszym zakresie, o ile korzystasz z Google Analytics lub innych programów/aplikacji analizujących ruch na stronie, o ile strona ma listę mailingową lub formularz kontaktowy

4. Jesteś tłumaczem przysięgłym i przetwarzasz dane, w tym dane szczególnie wrażliwe, na przykład dotyczące procesów sądowych i ich stron.

Wszystkie te przypadki wymagają zastosowania przepisów ochrony danych osobowych. Środki podejmowane do zapewnienia tej ochrony będą się jednak różnić zależnie od tego, jakie dane przetwarzamy. Rozporządzenie wyróżnia tzw. „szczególne kategorie danych osobowych”, do których zalicza dane, które wcześniej definiowano jako wrażliwe lub szczególnie wrażliwe. W artykule 9. przeczytamy: „Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby”. Istnieją oczywiście wyjątki od zakazu, w których mieszczą się zarówno tłumaczenia dla organów wymiaru sprawiedliwości, jak i tłumaczenia medyczne. Możesz więc przetwarzać te dane w wymienionych w art. 9 celach, ale musisz je zabezpieczyć w większym stopniu niż w przypadku danych spoza tej kategorii.

Co teraz?

Pierwsze, co musisz zrobić, to przeprowadzić analizę przetwarzania danych w ramach działalności zawodowej. Brzmi to poważnie, a tak naprawdę chodzi o to, by przysiąść z kartką papieru, zastanowić się chwilę i spisać, jakie dane przetwarzasz i gdzie. U mnie spis wyglądał następująco:

4

Jest to tylko przykład, więc nie traktuj go jak wykładni. Mogę cię jednak zapewnić, że spisanie tego zajęło mi mniej niż 10 minut. Wypisz więc na liście, jakie dane zbierasz, od kogo i z jakiego kanału (z maili, z formularza kontaktowego na stronie, z dokumentów, które przetwarzasz). Jeśli w międzyczasie przyjdzie ci do głowy sposób, w jaki możesz zabezpieczyć te dane, zanotuj go – przyda się później. Lista, którą właśnie tworzysz, może stanowić twój wewnętrzny rejestr zbiorów danych.

RODO na szczęście nie jest tak straszne, jak się wydaje. Nie tworzy miliona obowiązków, które od dziś trzeba będzie wypełniać, ale zmusza wszystkich nas do zastanowienia się nad bezpieczeństwem danych i do zadbania o nie. A to właściwie bardzo słuszna idea, prawda?

Jeśli chcesz pogłębić wiedzę o RODO i uprościć sobie proces wdrażania przepisów, zajrzyj do artykułu, w którym polecam cenne źródła wiedzy o RODO.

Share This