Wtorek 22 maja 2018 r. – Zostały 3 dni do RODO
Drogi Dzienniku,
obowiązki, obowiązki, obowiązki. Skąd znaleźć na nie wszystkie czas? A zostały tylko 3 dni. Nie ma powodów do paniki! Ja dzielnie pracuję dalej.
Najwięcej obowiązków wiąże się z rolą administratora i chyba tej roli nie uniknę, choćby w zakresie danych osobowych zleceniodawcy. Niektóre obowiązki administratora są ściśle związane z prawami osób, których dane dotyczą. Pamiętasz, jakie to prawa? Zostały wyliczone w załączniku z głównymi założeniami rozporządzenia:
- prawo do przejrzystej informacji (art. 12-14),
- prawo dostępu do swoich danych osobowych (art. 15),
- prawo do sprostowania danych (art. 16),
- prawo do usunięcia danych („prawo do bycia zapomnianym” – art. 17),
- prawo do ograniczenia przetwarzania (art. 18),
- prawo do przenoszenia danych (art. 19),
- prawo do sprzeciwu (art. 21).
Moje procedury powinny umożliwiać korzystanie z tych praw wszystkim osobom, których dane przetwarzam jako administrator. No właśnie, widzisz. Wiedziałam, że o czymś zapomniałam w dokumentacji. Już dopisuję te informacje. Arkusz „Info” będzie dotyczył nie tylko obowiązku informacyjnego, ale także procedury odpowiadania na żądanie dostępu, sprostowania i usunięcia danych osobowych. Jednak wrócę do tego później, bo nie sądzę, aby ktoś już 25 maja żądał ode mnie sprostowania czy usunięcia swoich danych.
Zacznijmy zatem od pierwszego prawa: prawo do przejrzystej informacji. I z nim wiąże się obowiązek informacyjny administratora. Kiedy gromadzę (wg rozporządzenia „zbieram” – niczym suchy chleb dla konia) dane osobowe, muszę o tym poinformować osobę, której te dane dotyczą.
W jakiej formie mogę przekazywać takie informacje? To trochę śmieszna sprawa: z jednej strony rozporządzenie promuje zasadę przejrzystości (jeśli zapomniałeś, to zajrzyj do załącznika z głównymi założeniami), z drugiej zaś strony podaje w artykule 13 całą listę informacji, które powinnam przekazać osobom, których dane gromadzę.
Przyjrzyjmy się całemu artykułowi:
Artykuł 13 Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych
2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2. 4.Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.
Ufff, ależ obowiązek, prawda? A kto to wszystko będzie czytał?
Dzisiaj dostałam od operatora sieci komórkowej taki czterostronicowy dokument, właśnie w celu spełnienia obowiązku informacyjnego. Drugi piękny egzemplarz z serwisu aukcyjnego. Czytałam? Nie czytałam? No, ehm, przyznam się, że przejrzałam dość dokładnie. To chyba objaw tej RODOzy: wszystko co dotyczy RODO mnie interesuje…
Zastanawiam się, jak to zrobić, żeby nie odstraszyć klienta? I z przyjemnością zrobię co dr Litwiński poradził w webinarze: podzielę informacje na dwie warstwy. Podsumuję najważniejsze punkty w krótkiej formułce i potem będę odsyłać do pełnej wersji, którą umieszczę na stronie internetowej i udostępnię w wersji papierowej w biurze.
Ale na pewno każda osoba, której dane przetwarzam, powinna zostać poinformowana o wszystkich punktach z artykułu 13.
Pytasz, co z artykułem 14 „Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą”? Przecież mogę dostać te dane nie bezpośrednio od osoby, której dane dotyczą. Np. kiedy matka przynosi do tłumaczenia akt ślubu syna. No cóż, artykuł 14 raczej mnie nie dotyczy. W charakterze administratora przyjmuję dane osobowe od matki, która jest zleceniodawcą, i ją informuję o jej prawach. Za to w zakresie danych zawartych w akcie ślubu jestem „tylko” podmiotem przetwarzającym i administratorowi (czyli matce) muszę w razie czego „tylko” pomóc w spełnieniu obowiązku informacyjnego.
No to jak będzie wyglądała ta formułka? Powinna zawierać chociaż podstawowe elementy:
- kto jest administratorem,
- w jakim celu przetwarza dane,
- informacje o prawie dostępu, sprostowania i usunięcia danych,
- odsyłacz do strony internetowej/biura.
Wychodzi mi coś takiego:
Uprzejmie informuję, że w celu obsługi zapytań i świadczenia usług tłumaczeniowych przetwarzam Państwa dane osobowe. Administratorem danych osobowych jest Kancelaria tłumacza przysięgłego Tłumaczka z siedzibą w Warszawie przy ul. Wieży Babel 12. Mają Państwo prawo dostępu, sprostowania i usunięcia swoich danych. Więcej informacji dotyczących przetwarzania Państwa danych osobowych można znaleźć na stronie www.kancelaria-tlumaczka.pl oraz w siedzibie firmy.
Zapewne doszlifuję jeszcze tę formułkę. Tak jak zawsze przed oddaniem szlifuję moje tłumaczenia: najpierw przygotowuję wersję roboczą, potem czytam i na końcu jeszcze wykonuję ostatnie, kosmetyczne, poprawki.
Jak i kiedy mogę dostarczyć klientowi tę formułkę? Jak najszybciej, najlepiej przy pierwszym kontakcie z tą osobą.
Zgodnie z procesami w pliku z dokumentacją pierwszy kontakt może być:
- pocztą elektroniczną,
- pocztą tradycyjną,
- w biurze,
- ewentualnie przez stronę internetową, ale to chyba nie w moim przypadku (nie mam tam formularza, w którym klient może wpisać swoje dane).
Dla każdego z tych scenariuszy powinnam przewidzieć odpowiednią procedurę spełnienia obowiązku informacyjnego.
Poczta elektroniczna
Kiedy wysyłam wiadomości elektroniczne albo na nie odpowiadam, najłatwiej będzie formułkę dołączać standardowo. Żeby nie zapomnieć, chyba ujmę ją w podpisie ustawionym w programie pocztowym.
Tak przy okazji, to chyba dobry moment, żeby konsekwentnie zacząć oddzielać pocztę firmową, podlegającą RODO, od poczty do celów osobistych i domowych, niepodlegającej RODO. Dwie oddzielne skrzynki na pewno ułatwią mi życie.
Poczta tradycyjna
Kiedy wysyłam dokumenty pocztą tradycyjną i w tych dokumentach są zawarte dane osobowe, których jestem administratorem, dobrze poinformować, że je przetwarzam i będę przechowywać w związku z realizacją określonego celu, czyli obsługi zlecenia albo prowadzenia działalności. Formułka chyba może być taka sama jak przy poczcie elektronicznej.
Dokleję formułkę do szablonu papieru firmowego.
Strona internetowa
Na mojej stronie internetowej nie ma cookies (sprawdziłam za pomocą www.cookie-checker.com). Gdyby były, musiałabym o tym poinformować użytkowników. Nie stosuję też żadnych formularzy kontaktowych, są po prostu moje dane kontaktowe. Więc tak naprawdę pod tym względem strona internetowa nie wymaga żadnych dodatkowych działań w zakresie ochrony danych osobowych.
Ale, tak jak pisałam wyżej, mogę wykorzystać stronę internetową do opublikowania informacji o przetwarzaniu danych osobowych. Tam będą one dostępne dla wszystkich zainteresowanych.
A jak mają wyglądać te informacje? Zgodnie z punktami w art. 13 wychodzi mi coś takiego:
Informacje o przetwarzaniu danych osobowych
W związku z przetwarzaniem Państwa danych osobowych w ramach prowadzonej działalności tłumaczeniowej informuję, że:
- Państwa dane osobowe są przetwarzane zgodnie z przepisami ogólnego rozporządzenia o ochronie danych osobowych (dalej „rozporządzenie” [link do rozporządzenia]).
- Administratorem danych osobowych jest kancelaria tłumacza przysięgłego Tłumaczka z siedzibą w Warszawie przy ul. Wieży Babel 12.
- Dane osobowe są przetwarzane w celu obsługi zapytań i wykonywania zleceń w ramach umowy o świadczenie usług tłumaczeniowych.
- Tłumaczka przetwarza tylko te dane osobowe, które są potrzebne do realizacji określonych celów, i przechowuje je przez okres niezbędny do realizacji tych celów.
- Cele i podstawy prawne przetwarzania danych osobowych to w szczególności:
(jak ja kocham tabelki ;-))
Cel przetwarzania | Podstawa prawna przetwarzania | Okres przetwarzania |
Obsługa zapytań oraz obsługa zleceń w ramach umowy o świadczenie usług tłumaczeniowych | umowa o świadczenie usług tłumaczeniowych | okres realizacji usługi |
Prowadzenie repertorium
Podanie odpowiednich danych zleceniodawcy jest obowiązkowe w przypadku tłumaczenia poświadczonego. Brak danych uniemożliwia poświadczenia tłumaczenia. |
obowiązek prawny wynikający z Ustawy o zawodzie tłumacza przysięgłego | 5 lat od zakończenia roku kalendarzowego, w którym zobowiązania podatkowe zostały rozliczone |
Prowadzenie dokumentacji rachunkowej
Podanie odpowiednich danych zleceniodawcy jest obowiązkowe w przypadku wystawienia faktury. Brak danych uniemożliwia wystawienia faktury. |
obowiązek prawny wynikający z Ustawy o rachunkowości | 5 lat od zakończenia roku kalendarzowego, w którym zobowiązania podatkowe zostały rozliczone |
Przechowywanie korespondencji i dokumentacji w celu obsługi ewentualnych reklamacji
|
prawnie uzasadniony interes Tłumaczki | do zakończenia okresu przedawnienia roszczeń związanych z usługą (maks. 10 lat) |
- Mają Państwo prawo żądać od Tłumaczki dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania oraz prawo do przenoszenia danych.
- Mają Państwo prawo wniesienia skargi do organu nadzorczego.
- Dane osobowe mogą zostać przekazane do:
- biura rachunkowego w celu prowadzenia księgowości;
- serwisu poczty elektronicznej w celu prowadzenia korespondencji;
- wybranych podwykonawców w celu realizacji usługi tłumaczeniowej.
- Tłumaczka nie zamierza przekazywać danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
- Tłumaczka nie wykorzystuje pozyskanych danych osobowych w celu zautomatyzowanego podejmowania decyzji, w tym o profilowaniu.
- Tłumaczka nie planuje dalej przetwarzać danych osobowych w celu innym niż cel, w którym dane osobowe zostały pobrane.
Mogą Państwo spać spokojnie, dane osobowe są w dobrych rękach i są odpowiednio zabezpieczone.
W razie jakichkolwiek pytań lub wątpliwości w związku z ochroną Państwa danych osobowych można kontaktować się z Tłumaczką – kancelaria tłumacza przysięgłego Tłumaczka z siedzibą w Warszawie przy ul. Wieży Babel 12, info@kancelaria-tlumaczka.pl, tel. +48 22 ….
Na mój gust ten tekst jest trochę zbyt formalny, przerobię go troszkę, żeby pasował bardziej do stylu mojej firmy i strony internetowej. Muszę też pamiętać, żeby przygotować tłumaczenie formułki i informacje na te języki, które jako tłumacz obsługuję. To chyba logicznie, prawda? 😉
Pytasz, dlaczego nie nazywam tego tekstu „polityką prywatności”? Bo to nie do końca jest pełna polityka prywatności. Zresztą w rozporządzeniu w ogóle nic nie jest napisane o polityce prywatności. Jest tam tylko mowa o obowiązku informacyjnym. Więc spełniam obowiązek poprzez podawanie takich informacji, jakich rozporządzenie ode mnie wymaga. I już.
Mogę to oczywiście rozbudować. Zastanawiam się m.in. nad dodaniem informacji o czynnościach, które wykonuję w charakterze podmiotu przetwarzającego. Może to interesować klienta indywidualnego, który prawdopodobnie nie będzie miał zielonego pojęcia, co to jest podmiot przetwarzający i dlaczego nie piszę nic o danych w materiałach do tłumaczenia. A właśnie dlaczego? No bo przecież obowiązek informacyjny spoczywa na administratorze. A ja jestem administratorem tylko w zakresie danych osobowych zleceniodawcy potrzebnych do obsługi administracyjnej zlecenia.
Mogłabym też podać informacje przeznaczone dla moich podwykonawców, bo ich dane też przetwarzam. Ale to wolę robić inną drogą. Np. w momencie zawarcia umowy powierzenia, albo w zakładce współpraca na mojej stronie internetowej.
Jutra będzie o umowie powierzenia i upoważnieniu. Kolejne papierki. Ach, lubisz papierki, Ty, cały papierowy, nie możesz się już doczekać? Cóż, mnie nie jest tak bardzo do śmiechu. To chyba będzie najtwardszy orzech do zgryzienia.
Do jutra!
Twoja Tłumaczka
© Prawa autorskie zastrzeżone