Środa 23 maja 2018 r. – Zostały 2 dni do RODO
Dobry wieczór Dzienniku!
Dzisiaj ciąg dalszy papierologii. Jak sformalizować polecenie przetwarzania danych osobowych zawartych w dokumentach?
Pamiętasz, co napisałam o roli tłumacza? Jeśli nie, przeczytaj tekst jeszcze raz dokładnie, bo to bardzo ważne.
Podsumowując:
W zakresie danych osobowych zleceniodawcy jestem administratorem. Podstawą prawną do ich przetwarzania będzie:
- umowa o świadczenie usług tłumaczeniowych (realizacja ustalonych w umowie celów),
- obowiązek prawny (dokumentacja podatkowa + ewentualnie repertorium),
- prawnie uzasadniony interes (obsługa reklamacji, roszczeń).
W zakresie danych osobowych zawartych w materiałach do tłumaczenia:
- jestem podmiotem przetwarzającym na podstawie umowy powierzenia albo
- działam z upoważnienia.
Wniosek? Tak naprawdę potrzebuję dwóch rodzajów dokumentów:
- umowy o świadczenie usług tłumaczeniowych, kiedy przetwarzam dane w charakterze administratora oraz
- umowy powierzenia albo upoważnienia, kiedy przetwarzam dane w charakterze podmiotu przetwarzającego względnie osoby działającej z upoważnienia.
Jak to rozwiązać? Umowę o świadczenie usług tłumaczeniowych mogę zawrzeć nawet w formie ustnej. Przychodzi klient do biura, prosi o tłumaczenie aktu urodzenia, uzgadniamy warunki, ja przyjmuję zlecenie i umowa zostaje zawarta. Można to oczywiście sformalizować i dać klientowi do podpisania umowę albo choćby formularz zlecenia.
W równie prosty sposób mogę zawrzeć umowę drogą elektroniczną. Klient przesyła mi dokumenty do wyceny, przedstawiam ofertę, klient ją akceptuje, potwierdzam przyjęcie zlecenia i już.
Taką możliwość daje nam kodeks cywilny:
Art. 60. Z zastrzeżeniem wyjątków w ustawie przewidzianych, wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej (oświadczenie woli).
Jednak dobrze by było, żeby zawarcie umowy o świadczenie usług tłumaczeniowych odpowiednio udokumentować. Umowa będzie moją podstawą prawną do przetwarzania danych osobowych zleceniodawcy, więc w duchu zasady rozliczalności muszę być w stanie wykazać, że jej zawarcie faktycznie miało miejsce.
Przejdę teraz do upoważnienia i powierzenia. Z upoważnieniem nie ma problemu, rozporządzenie nie określa jego formy. Przy dopełnianiu formalności dotyczących upoważnienia wystarczy po prostu, żeby zleceniodawca upoważnił tłumacza do przetwarzania danych osobowych niezbędnych do realizacji określonego celu. I tyle. Pozostają jednak te zastrzeżenia, o których pisałam kilka dni wcześniej, kiedy omawiałam rolę tłumacza.
Gorzej jest z umową powierzenia. Art. 28 stanowi:
Artykuł 28 Podmiot przetwarzający
3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. (…)
9. Umowa lub inny akt prawny, o których mowa w art. 3 i 4, mają formę pisemną, w tym formę elektroniczną.
Zauważyłeś brak konsekwencji terminologicznej? Najpierw jest mowa o instrumencie prawnym, potem o akcie prawnym. Po angielsku dwukrotnie występuje „legal act”. Pojawia się pytanie, czy chodzi tu o akt prawny czy o czynność prawną… Nie jestem tłumaczem języka angielskiego, a tym bardziej nie znam się na angielskiej terminologii prawniczej, ale powiedz mi, jeżeli ten instrument prawny miałby być równoznaczny z aktem prawnym, to w jaki sposób mógłby podlegać prawu? Przecież sam stanowi prawo.
Druga zagwozdka terminologiczna: w ust. 9 jest napisane, że ta umowa albo ten nie wiadomo jaki akt prawny ma „formę pisemną, w tym formę elektroniczną”. W polskim kodeksie cywilnym forma pisemna to dokument papierowy z własnoręcznym podpisem, a forma elektroniczna to dokument elektroniczny opatrzony kwalifikowanym podpisem elektronicznym! Czyli nie zwykła korespondencja mailowa?! Tak by wynikało z polskiej wersji rozporządzenia. Poza tym chyba tekst rozporządzenia jest terminologicznie sprzeczny z kodeksem cywilnym, bo forma elektroniczna nie jest podkategorią formy pisemnej, jak sugeruje „w tym”, tylko odrębną formą…?
W komentarzu Becka (str. 476-478) autorzy zwracają uwagę na to, że w innych wersjach językowych jest nieco inaczej. I rzeczywiście, we francuskiej jest napisane:
9. Le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.
w niemieckiej:
9. Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
W oparciu o niemiecką wersję można bez dwóch zdań stwierdzić, że chodzi o format, czyli postać elektroniczną, bo w niemieckim kodeksie cywilnym (Bürgerliches Gesetzbuch §126a) występuje pojęcie „die elektronische Form” jako odpowiednik polskiej formy elektronicznej.
No i bądź tu mądry! We Francji i w Niemczech umowę powierzenia będzie można zawrzeć w postaci elektronicznej, a w Polsce tylko w formie elektronicznej z kwalifikowanym podpisem elektronicznym. Absurd!!! Czy ten, kto tłumaczył rozporządzenie, nie mógł napisać od razu „w postaci elektronicznej” tak jak w artykule 60 naszego kodeksu cywilnego? Problem byłby z głowy. Może będzie jeszcze jedno sprostowanie? Oby… Ale na razie jest jak jest.
Pytanie, co robić. Jest jedno wyjście, może nieco ryzykowne, ale jest. Wszystkie wersje językowe unijnych aktów prawnych są równoważne. Rozważam taką możliwość, że choćby do czasu, kiedy w Polsce nie zostanie ustalone jednolite stanowisko w sprawie formy umowy powierzenia, mogłabym opierać się na francuskiej czy niemieckiej wersji. Od dłuższego czasu dyskutuję o tym z tłumaczami i prawnikami. Prawnicy są dosyć zachowawczy i ostrożni, obawiają się konsekwencji takiego podejścia. Tłumacze widzą tutaj rozwiązanie konkretnego problemu.
W jakiejkolwiek formie nie zawarłabym tej umowy powierzenia, musi ona spełnić pewne wymogi co do treści. Zrobię tak samo jak wczoraj z obowiązkiem informacyjnym. Przejdę przez wymogi wyszczególnione w art. 28 i skonstruuję na tej podstawie moją umowę powierzenia. Uwaga, szykuj się na mrożącą krew w żyłach lekturę ;-).
Artykuł 28 Podmiot przetwarzający
2. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje wszelkie środki wymagane na mocy art. 32;
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
4. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.
5. Wystarczające gwarancje, o których mowa w ust. 1 i 4 niniejszego artykułu, podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.
6. Bez uszczerbku dla indywidualnych umów między administratorem a podmiotem przetwarzającym, umowa lub inny akt prawny, o których mowa w ust. 3 i 4 niniejszego artykułu, mogą się opierać w całości lub w części na standardowych klauzulach umownych, o których mowa w ust. 7 i 8 niniejszego artykułu, także gdy są one elementem certyfikacji udzielonej administratorowi lub podmiotowi przetwarzającemu zgodnie z art. 42 i 43.
7. Komisja może określić standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego artykułu, zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.
8. Organ nadzorczy może przyjąć standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego artykułu, zgodnie z mechanizmem spójności, o którym mowa w art. 63.
9. Umowa lub inny akt prawny, o których mowa w art. 3 i 4, mają formę pisemną, w tym formę elektroniczną.
10. Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.
Niezłe wymogi…
Zauważyłeś, co jest napisane w ust. 10? Jeżeli zmienię wg własnego upodobania cele i sposoby w przetwarzania, stanę się administratorem. Czyli mogłabym sobie zmienić rolę z podmiotu przetwarzającego na administratora. W teorii tak, ale z artykułu można też wywnioskować, że zmiana celów to naruszenie rozporządzenia, czyli może to spowodować nałożenie sankcji przez organ nadzorczy. Poza tym jest to też naruszenie postanowień umowy powierzenia, bo administrator powierza nam te dane tylko do określonych celów.
Przyjrzyjmy się też ust. 7: wydaje się, że rozwiązuje on problem z umową: „Komisja może określić standardowe klauzule umowne.” Komisja „może”. I art. 8: „Organ nadzorczy może przyjąć standardowe klauzule umowne.” Też „może”. Ale nie musi i nie ma standardowych klauzul. Czyli na razie nie rozwiązuje on tego problemu. Szkoda, bo to by mi mocno ułatwiło życie.
W takim razie muszę sama napisać tę umowę.
Umowa świadczenia usługi tłumaczeniowej i powierzenia przetwarzania danych osobowych
[…] zwany dalej Zleceniodawcą zleca
a
Tłumaczka prowadząca kancelarię tłumacza przysięgłego z siedzibą w Warszawie przy ul. Wieży Babel 12, info@kancelaria-tlumaczka.pl, zwana dalej Tłumaczem, przyjmuje zlecenie wykonania usługi tłumaczeniowej polegającej na:
1. tłumaczeniu z języka […] na język […]
materiałów:
[x] zawierających dane osobowe: [rodzaj danych i kategoria osób, których dane dotyczą]
[ ] nie zawierających danych osobowych
oraz
2. przechowaniu materiałów źródłowych i tłumaczenia w celu wykonania kopii i wydania dodatkowych egzemplarzy tłumaczenia, nanoszenia zmian i uzupełnień na polecenie Zleceniodawcy oraz przechowywaniu materiałów źródłowych i tłumaczenia jako podstawy do świadczenia przyszłych usług tłumaczeniowych na okres [10 lat w przypadku osób fizycznych / 3 lata w przypadku przedsiębiorcy].
W celu realizacji wyżej wymienionej usługi Zleceniodawca powierza Tłumaczowi dane osobowe zawarte w materiałach do tłumaczenia w celu przetwarzania ich w wyżej wymienionym zakresie oraz w wyżej wymienionym celu.
Tłumacz przetwarza dane osobowe wyłącznie na polecenie administratora, które jest udokumentowane w niniejszej umowie. Powierzenie odbywa się zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej rozporządzenie), w szczególności:
- Zleceniobiorca udziela Tłumaczowi zgody na przekazanie wyżej wymienionych danych osobowych stronom trzecim w ramach realizacji wyżej wymienionych celów. Tłumacz przestrzega warunków korzystania z usług innego podmiotu przetwarzającego wyszczególnionych w art. 28 ust. 2 i 4 rozporządzenia, a w szczególności nakłada na inny podmiot przetwarzający te same obowiązki ochrony danych jak w niniejszej umowie, w tym obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia.
- Tłumacz zobowiązuje osoby upoważnione do przetwarzania danych osobowych do zachowania tajemnicy.
- Zleceniodawca spełnia wszystkie obowiązki administratora przewidziane w ogólnym rozporządzeniu o ochronie danych osobowych. Zleceniodawcy przysługują wszelkie prawa administratora przewidziane w rozporządzeniu.
- Tłumacz podejmuje wszelkie środki wymagane na mocy art. 32 rozporządzenia w celu zapewnienia bezpieczeństwa przetwarzania. Uwzględniając charakter przetwarzania oraz dostępne mu informacje, Tłumacz pomaga zleceniodawcy wywiązać się z obowiązków określonych w art. 32–36 w zakresie zapewnienia bezpieczeństwa danych i zgłaszania naruszeń. Tłumacz w miarę możliwości pomaga zleceniodawcy poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III rozporządzenia.
- Po zakończeniu świadczenia usługi tłumaczeniowej i po upływie okresu przechowywania uzgodnionego ze zleceniodawcą Tłumaczka usunie wszelkie dane osobowe i ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
- Tłumacz udostępni zleceniodawcy wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia oraz umożliwi administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich, o ile w zakresie audytów i inspekcji nie narusza to obowiązku zachowania tajemnicy zawodowej Tłumacza.
- Tłumacz niezwłocznie poinformuje Zleceniodawcę, jeżeli jego zdaniem wydane jego polecenie przetwarzania danych stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
W kwestiach nieuregulowanych w niniejszej umowie mają zastosowanie przepisy polskiego kodeksu cywilnego oraz przepisy ogólnego rozporządzenia o ochronie danych osobowych.
Krócej się nie dało… To wersja minimalistyczna dla firm i klientów indywidualnych, którzy sami nie przedstawią mi swojej umowy. Bo tak naprawdę to klient powinien mi przedstawić swoją umowę powierzenia. Ale muszę to jeszcze skonsultować z prawnikiem. Zapewne zasugeruje mi dopisanie jeszcze tysiąca innych postanowień ;-(.
I jak to teraz zaserwować klientowi w praktyce? Na papierze, w biurze, klient jeszcze to przełknie. Pewnie i tak nie przeczyta tych wszystkich postanowień…
Ale jak mam to wkleić do wiadomości elektronicznej? Czy mogę część tych zapisów ująć w załączniku do wiadomości albo w ogólnych warunkach świadczenia usług tłumaczeniowych, które mam na stronie internetowej? Wiem, że niektórzy koledzy zagraniczni zamierzają tak zrobić.
Aby nie powielać dokumentów, dobrze by było to wszystko scalić w jednym, razem z obowiązkiem informacyjnym. Pomyślę, pomyślę i coś wymyślę, żeby sobie i klientom ułatwić życie.
Pytasz, czy za każdym razem przy każdym zleceniu muszę ze stałym klientem podpisywać taką umowę? Chyba nie. Mogę zawrzeć ogólną umowę powierzenia i przy każdym zleceniu po prostu doprecyzowywać zakres danych osobowych i wprowadzać odpowiedni wpis do rejestru czynności.
Rodzi się też pytanie, czy już teraz muszę ze wszystkimi agencjami tłumaczeń podpisywać umowę powierzenia? Otóż nie. Umowa powierzenia będzie potrzebna tylko w momencie, kiedy wpłynie do mnie zlecenie z materiałami, które zawierają dane osobowe! Kiedy wykonuję dla tego klienta tłumaczenie dokumentów bez danych osobowych, to nie ma absolutnie żadnej potrzeby podpisywania umowy powierzenia. Zwróć też uwagę, że agencja też będzie podmiotem przetwarzającym, który podpowierza mi przetwarzanie danych osobowych.
A jeśli chodzi o dane osobowe pracowników agencji? Mogę przetwarzać dane osobowe pracowników i właścicieli agencji, a agencja może przetwarzać moje dane osobowe na podstawie prawnej z art. 6.1.b), czyli umowy o świadczenie usług tłumaczeniowych. I to całkowicie nam wystarczy do kontynuacji naszej współpracy. A jeżeli nie ma takiej umowy o świadczenie usług tłumaczeniowych – to na podstawie zgody albo nawet na podstawie prawnie uzasadnionego interesu, bo przecież agencja nie może prowadzić swojej działalności bez bazy tłumaczy.
Jeden ważny wniosek jest taki, że póki nie tłumaczę materiałów zawierających dane osobowe, nie potrzebuję żadnej umowy powierzenia. Nie muszę podpisywać takiego dokumentu do momentu, kiedy rzeczywiście pojawi się taka konkretna potrzeba. Tym bardziej, że takie umowy powierzenia pojawiają się jak grzyby po deszczu. Często są kilkustronicowe, bardzo szczegółowo opisujące obowiązki tłumacza. Dla własnego bezpieczeństwa muszę dokładnie czytać takie umowy, bo nierzadko nakładają na mnie bardzo specyficzne obowiązki, m.in. w zakresie wdrażania środków technicznych i organizacyjnych.
O tych środkach technicznych i organizacyjnych też Ci napiszę i przy okazji też trochę o analizie ryzyka. Ale dopiero w piątek… Jeśli bomba RODOwa nie wybuchnie. Jutro krótko (hmmm) o rejestrze czynności.
Do jutra!
Twoja Tłumaczka