Z dziennika tłumaczki. Rozważania o RODO – Odcinek 7: Cel przetwarzania i okres przechowywania

Czwartek 17 maja 2018 r. – Zostało 8 dni do RODO

Drogi Dzienniku,

brak mi dzisiaj weny twórczej. Może to i dobrze… Wg RODO mam minimalizować przetwarzanie danych, więc w ramach ćwiczenia może zacznę minimalizować moje wpisy do Dziennika. Ech, pewnie w to nie wierzysz… Zaraz się znowu rozpiszę.

Niech to będzie zatem dzisiejszy temat: minimalizacja danych, ograniczenie celu przetwarzania i okresu przechowywania.
O minimalizacji pisałam w załączniku o głównych założeniach RODO. Przeczytałeś w końcu ten załącznik? Nie? Minimalizacja nie oznacza minimalnego wysiłku w przygotowaniach do RODO! Bynajmniej! Na wszelki wypadek jeszcze raz podaję Ci link do załącznika.

Zgodnie z zasadą minimalizacji danych:

Art. 5
1. Dane osobowe muszą być:
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (…).

Czyli nie powinnam gromadzić więcej danych niż potrzebuję w celu przetwarzania. Im mniej, tym lepiej, i mają być akurat te, które są mi niezbędne do realizacji powyższego celu. Np. do obsługi zlecenia nie jest mi koniecznie potrzebny numer dowodu tożsamości klienta, więc nie proszę o niego klienta. Jeszcze jeden przykład: nie powinnam wpisywać danych adresowych klienta do repertorium, bo nie jest to wymagane wg zaleceń Komisji odpowiedzialności zawodowej. Podsumowując, jeśli chodzi o RODO, od przybytku głowa boli.

Zakres danych osobowych musi być adekwatny do celu. Żeby przestrzegać tej zasady, muszę ustalić cel.

Zgodnie z art. 5

Art. 5
1. Dane osobowe muszą być:
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (…);

W przypadku mojej działalności tłumaczeniowej są cele, które ja ustalam, oraz cele, które ustala klient. Ja, jako administrator, ustalam na przykład takie cele:

  •  obsługa zlecenia:
    • komunikacja ze zleceniodawcami;
    • rozpatrywanie reklamacji i sporów;
  • rozliczenia ze zleceniodawcami;
  • prowadzenie repertorium.

Jak widać, te cele są ściśle powiązane z podstawami prawnymi, o których pisałam wczoraj.

Natomiast cel, który ustala mój zleceniodawca jako administrator, to:

  • wykonanie tłumaczenia.

A co z takimi celami jak:

  • uzupełnienie, aktualizacja, korekta już wykonanego tłumaczenia;
  • wydanie kolejnego egzemplarza tłumaczenia poświadczonego;
  • przechowywanie wcześniej wykonanych tłumaczeń jako podstawa lub materiały referencyjne do nowego tłumaczenia?

Są to, można powiedzieć, dość standardowe cele w branży tłumaczeniowej.

Cele te są trochę kłopotliwe. Czy są to cele zleceniodawcy czy moje?

Zastanówmy się nad takim scenariuszem:
Wykonuję tłumaczenie na polecenie klienta. Powiedzmy, pełnomocnictwo notarialne, w którym jest mnóstwo danych osobowych. Klient jest administratorem danych zawartych w dokumencie, ja podmiotem przetwarzającym w tym zakresie. Oddaję tłumaczenie, klient zapłaci bez problemu, umowa pomyślnie została wykonana. Nic dodać nic ująć.
Ale po miesiącu okazuje się, że w dokumencie źródłowym był błąd (oczywiście, w dokumencie źródłowym, przecież ja nie robię żadnych błędów…;)). Klient uprzejmie prosi o „poprawienie” tłumaczenia na podstawie nowego dokumentu źródłowego, w miarę szybko, bo sprawa pilna i to tylko mała poprawka.
Ale, przepraszam bardzo, ja już nie mam tego tłumaczenia … albo przynajmniej nie wersji, w której są dane osobowe. RODO nakazuje mi usunąć wszelkie dane osobowe, kiedy nie są one już potrzebne do realizacji z góry określonego celu.

Cytuję:

artykuł 28:
3. (…) podmiot przetwarzający (…)
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu (administratorowi) wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

Celem była realizacja tłumaczenia. Wykonałam tłumaczenie, zrobiłam porządek i zgodnie z RODO usunęłam wszystkie dane osobowe.
Ała, teraz głowa boli, ale bynajmniej nie od przybytku. I klient na pewno złapie się za głowę, ja też. Jeszcze raz wykonać to tłumaczenie? Jeszcze raz zapłacić za całość?
Bez sensu.

Co robić? Jedyne wyjście, jakie widzę, to uzgodnić z klientem, że celem przetwarzania jest nie tylko samo tłumaczenie, ale także wydanie kopii, uzupełnianie i naniesienie zmian, a może nawet wykorzystanie jako materiałów referencyjnych do obsługi przyszłych zleceń. Ja nie mogę wyznaczyć tego celu, bo musiałabym zmienić swoją rolę z podmiotu przetwarzającego na administratora, a tego zrobić mi nie wolno. Ale klient może określić taki cel. Szybkie rozpatrzenie reklamacji czy wydanie kolejnego egzemplarza jest jak najbardziej prawnie uzasadnionym celem. W interesie klienta jest zatem, abym mogła do takich celów przechowywać dokumenty źródłowe i już wykonane tłumaczenie. Klient musi jednak pamiętać, że czas przechowywania też nie może być nieograniczony. Okres przechowywania musi być konkretny i dostosowany do wyznaczonego celu.

Niestety, jeśli klient, czy to biuro tłumaczeń, firma czy osoba indywidualna, nie przyjmie takiej sugestii, określi usługę tłumaczeniową tylko jako tłumaczenie i będzie się ściśle trzymał brzmienie powyższego ustępu art. 28, to sprawa jest zamknięta. Nie będę mogła dalej przetwarzać tych danych osobowych 🙁

Problem może być też z długim okresem przechowywania, jeżeli biuro tłumaczeń – które też jest podmiotem przetwarzającym w zakresie danych osobowych zawartych w dokumentach – ustali ze swoim klientem, że okresem tym jest tylko okres realizacji tłumaczenia. Biuro nie będzie mogło pozwolić na to, żebym ja – w ramach podpowierzenia – przechowywała te dokumenty dłużej.

A mój prawnie uzasadniony interes z art. 6? Owszem, jest w moim prawnie uzasadnionym interesie, żeby przechowywać dane osobowe do zakończenia okresu przedawnienia roszczeń. Chciałabym… ale to tylko dotyczy danych zleceniodawcy. W zakresie danych zawartych w materiałach do tłumaczenia jestem tylko podmiotem przetwarzającym. Aby korzystać z prawnie uzasadnionego interesu, musiałabym zmienić swoją rolę z podmiotu przetwarzającego na administratora. Tak jak pisałam, raczej nie jest to możliwe. Przynajmniej tak mi powiedzieli mądrzy ludzie, a ja wierzę w ich słowa, póki mi ktoś nie udowodni, że jednak jest inaczej.

A co w przypadku, kiedy klient nie zgodzi się na okres przechowywania w sugerowanych wyżej celach? W takim wypadku pozostaje mi anonimizacja. Mogę usunąć wszelkie dane osobowe z dokumentu źródłowego i z tłumaczenia. W teorii wszystko brzmi dobrze, ale w praktyce niekoniecznie… Pochłonie to mnóstwo mojego czasu. Ale po anonimizacji mogę przechowywać przez czas nieokreślony samo tłumaczenie bez danych osobowych. Jednak wyobraź sobie, że będę musiała poprosić klienta, aby mi ponownie dostarczył pełne dokumenty źródłowe, jeżeli mam nanosić poprawki czy uzupełnienia. Cyrk na kółkach 😉

Teraz konkretne pytanie: jak długo mogę bądź muszę przechowywać dane osobowe?

W artykule 5 czytam:

Art. 5
1. Dane osobowe muszą być:
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; (…).

Tak jak wyżej napisałam, czas przechowywania musi być konkretny, nie mogę przechowywać danych w nieskończoność. Okres przechowywania także musi być stosowny do okresu realizacji celu.

Jeżeli chodzi o dane osobowe zleceniodawcy, to ja jestem administratorem, więc ja ustalam cel i okres przechowywania.

Robię to wg rodzaju danych:

  • dane osobowe klienta do obsługi zlecenia przechowuję przez okres realizacji umowy, a potem w moim prawnie uzasadnionym interesie przechowuję do zakończenia okresu przedawnienia roszczeń, czyli ogólnie 10 lat, a 3 lata w przypadku roszczeń związanych z prowadzeniem działalności gospodarczej:

Kodeks cywilny
Art. 118 Jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi lat dziesięć, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej – trzy lata.

  • dokumenty księgowe przechowuję 5 lat od zakończenia roku kalendarzowego, w którym zostały rozliczone (art. 74.2 ustawą o rachunkowości):

Ustawa o rachunkowości
Art. 74.2. Pozostałe zbiory przechowuje się co najmniej przez okres:
1) księgi rachunkowe – 5 lat;

  • repertorium przechowuję przez 5 lat, opierając się na stanowisku, że repertorium też jest dokumentem księgowym.

Jeżeli chodzi o dane osobowe zawarte w dokumentach, to klient wyznacza konkretny okres przechowywania, bo klient poleca przetwarzanie i powierza mi te dane osobowe. Tak jak pisałam wyżej, to jest decyzja klienta (co oczywiście nie znaczy, że nie mogę zasugerować klientowi, jakie rozwiązanie byłoby dla niego najlepsze…). Trzeba jednak pamiętać, że nie mogę w nieskończoność przechowywać danych osobowych. Okres przechowywania powinien być wyraźnie określony przez klienta.

Jeszcze pozostaje pytanie, co z dokumentami, które jako tłumacz przysięgły dostanę od organów wymiaru sprawiedliwości. Co będzie, jeżeli zleceniodawca nie dopełni formalności i nie dostanę informacji, jak długo mogę przechowywać te dane?

I teraz specjaliści powiedzą: ależ to dobrze, że nie możesz długo przechowywać tych danych. Powinnaś dążyć do tego, żeby przechowywać te dane jak najkrócej, bo przecież przechowywanie danych osobowych wiąże się z odpowiedzialnością i ryzykiem. No to ja odpowiadam tak: ja się bardziej boję roszczeń wściekłego klienta, który nie dostanie w trybie ekspresowym poprawki literówki w nazwisku w akcie urodzenia (tak, jednak mnie też się zdarzają błędy) niż milionowych kar za wyciek jego danych osobowych. Niebezpieczne podejście? Bah, niech każdy sam oceni, gdzie jest większe ryzyko i skutki którego podejścia będą bardziej uciążliwe. Grunt, żeby to wszystko dobrze udokumentować.

Nie wyobrażam sobie swojej pracy bez takiej możliwości przechowywania.

Tworzenie archiwów wykonanych tłumaczeń zresztą od lat jest praktykowane w branży. Gromadzimy nie tylko terminologię, ale wręcz cały frazy i fragmenty, teksty paralelne, dokumenty wzorcowe… W ogóle jest to cała istota pamięci tłumaczeniowej, na której jest oparta praca CAT-ów. Czy naprawdę mamy się tego wszystkiego pozbyć? Nie chcę myśleć, ile czasu mi zajmie wyczyszczenie tego archiwum z danych osobowych.

A jednak trzeba…  niech ktoś mądry znajdzie rozwiązanie techniczne na automatyczne wyczyszczenie dokumentów z danych osobowych. Z urzędu dostanie nagrodę za wkład w rozwój  branży tłumaczeniowej!!

No właśnie, jeszcze jest sprawa techniczna. Jak mam sobie poradzić z terminowym usunięciem tych wszystkich danych? Ustawić alarmy i przypomnienia? Codziennie przeglądać skrzynkę pocztową, żeby usunąć przeterminowane wiadomości?
To będzie następne wyzwanie. Systemy i procedury nie tylko na obsługę wszystkich formalności związanych z RODO, ale też na dopilnowanie terminowego usunięcia odpowiednich plików z mojego komputera. Przyznam, że na razie nie mam na to dobrego pomysłu.

Ale już dość na dzisiaj. Biedna głowa boli od przybytku informacji.

Może na zakończenie tabelka? Tak, znowu tabelka.
Ale poczekaj, w poniedziałek dopiero będzie tabelka, taka z prawdziwego zdarzenia. Zrobię porządek z tym wszystkim co Ci opowiadałam i będzie cały plik z tabelkami. Ale to po weekendzie. Narzuciłam szybkie tempo i nie wyrabiam się na zakrętach.
Jutro natomiast poruszę temat na luzie: anonimizacja i pseudonimizacja.

A Ty masz spokojnie czas do poniedziałku, aby oswoić teorię. Nie, nie będzie egzaminu, ale te informacje przydadzą się. Obiecuję, że od poniedziałku będzie już bardzo praktycznie.

Co mówisz? Nie zdążymy do 25 maja? Ach, zdążymy. Świat się nie zawali. Najważniejsze, że jestem w stanie wykazać, że podejmuję kroki, aby dostosować moją działalność do RODO.

Do jutra!
Twoja Tłumaczka