Piątek 25 maja 2018 r. – Obowiązuje RODO
Drogi Dzienniku,
Nie zdążyłam wczoraj czegokolwiek napisać. Poszłam spać po północy, nie wyrabiam się na zakrętach z tym RODO. Ale wszystko idzie ku dobremu, wykonałam już kawał roboty.
Dzisiaj znowu krótko i do rzeczy. O rejestrowaniu czynności przetwarzania. No może nie aż tak krótko, ale krócej niż zwykle.
Pierwsze pytanie: czy muszę prowadzić rejestr czynności? Cytuję rozporządzenie:
Artykuł 30 Rejestrowanie czynności przetwarzania
5. Obowiązki [przypis tłumaczki: rejestrowania czynności], o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Miałam nadzieję, że będę wyłączona, bo jestem mikroprzedsiębiorcą. Nic z tego ;-((
W mojej działalności:
- przetwarzanie nie ma charakteru sporadycznego: praktycznie codziennie przetwarzam jakieś dane osobowe; co innego by było, gdybym wykonywała tylko duże zlecenia dla trzech agencji i korespondowała tylko z ich pracownikami od czasu do czasu;
- przetwarzanie obejmuje szczególne kategorie danych osobowych: no tak, przecież często tłumaczę dokumentację medyczną; gdybym tylko sporadycznie tłumaczyła dokumenty z urzędów stanu cywilnego i dowody rejestracyjne, to mogłabym skorzystać z wyłączenia, ale niestety mnie ten wyjątek nie dotyczy;
- przetwarzam dane osobowe dotyczące wyroków skazujących i naruszeń prawa: często wykonuję zlecenia dla OWS; pytanie czy robię to jako podmiot przetwarzający czy z upoważnienia; chciałabym, aby ministerstwo zajęło stanowisko w tej sprawie; a ja, tak czy siak, spełniam już dwie przesłanki, więc nie mogę „zwolnić się” z tego obowiązku.
Tu przy okazji muszę zwrócić uwagę na jedną ważną rzecz: dane dotyczące wyroków i naruszeń prawa nie są zaliczane do szczególnej kategorii danych! Nie wierzysz? To sam sprawdź:
Artykuł 9 Przetwarzanie szczególnych kategorii danych osobowych
1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
Nie ma tu ani słowa o wyrokach sądowych. Czyli mogę swobodnie tłumaczyć akty z sądu i nie będą to dane wrażliwe? Oczywiście, jeżeli nie dotyczą informacji z powyższych kategorii? Hummm, nie do końca.
Przeczytaj, co napisano w artykule 10:
Artykuł 10 Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa
Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.
Co stanowi prawo unijne czy polskie w zakresie zabezpieczeń tych praw i wolności? Coś komuś wiadomo w tej sprawie? Wystarczy, że jestem jako tłumacz przysięgły związana tajemnicą zawodową? Muszę się koniecznie dowiedzieć, bo zaraz się okaże, że klient nie będzie mógł na własne życzenie przetłumaczyć u mnie wyroku skazującego, który go dotyczy.
Ale to tylko taka mała dygresja. Wracamy do rejestru czynności. Mam go prowadzić, koniec kropka. Jak to zrobić? Są dwa rejestry:
- jeden dla administratorów, tzw. rejestr czynności przetwarzania danych osobowych i
- jeden dla podmiotów przetwarzających. tzw. rejestr wszystkich kategorii czynności przetwarzania.
Wniosek z tego jest taki, że, niestety, muszę prowadzić oba rejestry.
A co miałyby one zawierać? Tutaj rozporządzenie jest bardzo konkretne. Dla administratora:
Artykuł 30 Rejestrowanie czynności przetwarzania
1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
I dla podmiotu przetwarzającego:
2. Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:
a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
c) gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
No i zobacz: najpierw nakazują mi ograniczyć ilości przetwarzanych danych osobowych, a tutaj każą mi prowadzić rejestr z danymi administratora, który w wielu przypadkach będzie osobą fizyczną. Czyli tak naprawdę będę musiała poinformować mojego klienta, że dodatkowo przetwarzam jego dane osobowe w celu prowadzenia rejestru czynności! Muszę to dopisać do arkusza z procesami.
Mam takie podstępne pytanie: kto ma określić, jak długo muszę przechowywać ten rejestr? Przecież zawiera on dane osobowe. Podstawa prawna mówi, że (art. 6.1.f)) to mój obowiązek prawny wynikający z RODO. Ale okres przechowania? Kto mi odpowie na to pytanie?
W ust. 3 jest napisane, w jakiej formie należy prowadzić ten rejestr:
3. Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym formę elektroniczną.
Drogi Dzienniku, przygotuj się na następny absurd. Tutaj znowu mamy „(…) formę pisemną, w tym formę elektroniczną”. Czy mam opatrzyć mój rejestr kwalifikowanym podpisem elektronicznym? Otóż, nie. W komentarzu Becka (str. 497) autorzy twierdzą, że tutaj należy to sformułowanie inaczej zinterpretować i opowiedzieć się za możliwością prowadzenia rejestru w formie dokumentowej.
Wybieram formę elektroniczną. Trzeba przygotować odpowiedni plik. Kocham tabelki 😉
Na szczęście na ratunek przychodzi nam GIODO. Przygotował nie tylko „Wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynności i kategorii czynności przetwarzania”, ale też przykładowe pliki z rejestrem. Warto poczytać.
Świetna sprawa i bardzo konkretne rozwiązanie. Ale czy praktyczne? Chyba niekoniecznie.
Czy mam w takim razie stworzyć dwa takie pliki? Nie ze mną takie żarty. Wymyśliłam swój własny sposób. Scalę te dwa rejestry w jednym i dołączę do mojego pliku z listą zleceń. Od dawna prowadzę go w pliku Excel, więc będę miała wszystko w jednym miejscu. Proszę: plik z rejestrami.
Czyli w momencie przyjęcia zlecenia:
- wpisuję to konkretne zlecenie pod konkretnym numerem i uzupełniam swoje dane (kolor szary);
- uzupełniam rejestr czynności przetwarzania w charakterze administratora: dotyczy to danych osobowych klienta (kolor różowy);
- uzupełniam rejestr kategorii czynności przetwarzania w charakterze podmiotu przetwarzającego: tylko w przypadku, kiedy dokumenty zawierają dane osobowe (kolor niebieski);
- a wspólne elementy dla tych dwóch rejestrów wpisuję tylko raz (kolor zielony).
Hurrrra!!! Praktycznie przy każdym zleceniu będę mogła wykonywać czynność „kopiuj-wklej”. Natomiast dane w szarych polach i tak do tej pory uzupełniałam przy każdym zleceniu. I jak przyjdzie stały klient, to Excel mi wskaże pełny wpis do rubryki „oznaczenie klienta”.
Ostatnio zastanawiałam się, czy nie „przesiąść się” z tego Excela zawierającego listę klientów na aplikację do zarządzania zleceniami. Jest kilka takich programów. Jak ze wszystkim: każdy ma swoje wady i zalety, ale na razie chyba nie ma takiego produktu, który od razu uwzględniałby wszystkie formalności związane z RODO. Jeżeli producenci dołączą moduł zarządzania dokumentacją RODO, a w szczególności możliwość prowadzenia rejestrów, to pewnie się zdecyduję na takie bardziej profesjonalne rozwiązanie.
Muszę też pamiętać, żeby wpisywać te czynności przetwarzania, które nie odnoszą się do usług tłumaczeniowych. Np. umowa z księgowym, podwykonawcą itd. Żeby nie mieszać ich z listą zleceń. Do tych celów dodam oddzielny arkusz do rejestru. Tak będzie najbardziej przejrzyście. Dla tych podmiotów tylko prowadzę rejestr czynności jako administrator, więc nie używam kolorów.
Ten rejestr ogarnęłam. To mnie napawa optymizmem, że jednak dam radę 😉
Mam nadzieję, że wystarczy mi tej energii i optymizmu, bo jeszcze całkiem spore wyzwanie przede mną: analiza ryzyka oraz opis środków technicznych i organizacyjnych. Ale jutro będzie weekend, trochę odpocznę (idę na szkolenie o RODO ;-)) i w przyszłym tygodniu uzupełnię i doszlifuję wszystko to, co już wyprodukowałam.
Do poniedziałku!
Twoja Tłumaczka