Z dziennika tłumaczki. Rozważania o RODO – Odcinek 3: Dane osobowe

Piątek 11 maja 2018 r. – Zostało 14 dni do RODO

Drogi Dzienniku!

Zostało tylko 14 dni do RODO. RODO wchodzi w życie 25 maja. Nie, przepraszam, źle! RODO zacznie obowiązywać 25 maja. Ciągle ten sam błąd. Rozporządzenie nie wchodzi teraz w życie, weszło w życie już dawno, prawie dwa lata temu. Teraz zacznie obowiązywać. Hmm, to znaczy, że mieliśmy dwa lata, a zostało tylko 14 dni. Wszystko na ostatnią chwilę ;-( Do roboty!

Dzisiaj podstawowe pytanie: co to są dane osobowe? Najpierw trzeba dobrze zrozumieć ich definicję. Pozwól, że sięgnę do tekstu rozporządzenia, a potem się zastanowię, co to dla mnie znaczy.

Zacytuję Ci fragment rozporządzenia:

Art. 4 Definicje
1) „Dane osobowe” oznaczają [wszelkie] informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
[w kwadratowych nawiasach ostatnie sprostowanie tłumaczenia, które jeszcze nie zostało ujęte w tekście na eur-lex.europa.eu]

Co to oznacza dla mnie jako tłumacza?

Oznacza to, że dane osobowe to nie tylko imię i nazwisko czy adres klienta, ale także dane umożliwiające identyfikację osoby fizycznej. Tak jak czytamy w komentarzu C.H. Beck (str. 172) te informacje „powinny obejmować nie tylko znaki językowe, lecz także inne okoliczności towarzyszące znakom językowym lub tylko informacje pozajęzykowe (…). Dane osobowe mogą przybierać różną formę, mogą to być: zdjęcia, filmy, zarejestrowane głosy (…), tzw. dane biometryczne, cechy źrenicy, linie papilarne, komunikaty wyrażone i zapisane w jakikolwiek sposób (…)”.

Danymi osobowymi może więc być każda informacja, która potencjalnie umożliwia identyfikację danej osoby żyjącej na podstawie cechy lub informacji szczególnej, właściwej tylko dla tej osoby. (Tak, tylko osoby żyjącej, nie zawracamy sobie głowy osobami zmarłymi). Przykładem takich danych mogą być informacje o bardzo rzadkiej chorobie zawarte w wypisie szpitalnym, którego tłumaczenie zleciło mi biuro tłumaczeń. Zakres danych osobowych jest więc szerszy, niż się wydaje.

Określenie, czy dane należy traktować jako dane osobowe, też zależy od konkretnego kontekstu, a mianowicie, czy w tym kontekście można zidentyfikować konkretną osobę za pomocą tych danych.

Dobrym przykładem jest tutaj repertorium tłumacza przysięgłego. We wpisie do repertorium, w którym w rubryce oznaczenie zleceniodawcy jest wpisany „Jan Kowalski”, w rubryce nazwa dokumentu „oświadczenie” oraz w rubryce oznaczenie dokumentu „brak oznaczenia”, trudno uznać to imię i nazwisko za dane osobowe, ponieważ nikt nie będzie w stanie zidentyfikować konkretnego Jana Kowalskiego na podstawie tego wpisu. Identyfikacja Jana Kowalskiego będzie jednak możliwa, jeżeli w mojej administracji znajdą się dodatkowe dane typu adres, numer telefonu, adres mailowy, które można powiązać z danymi w repertorium, albo jeżeli wpis dotyczy wyroku sądowego i sygnatura akt zostanie wpisana do repertorium.

W mojej działalności nie tylko mam do czynienia z danymi osobowymi, które pozyskuję od klienta indywidualnego. Są też klienci firmowi, różne instytucje. W rozporządzeniu jest napisane tak:

Preambuły
(14) (…) Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Dane osobowe dotyczących osoby prawnej? Cóż to takiego?
Chodzi m.in. o dane osobowe osób pełniących jakieś funkcje w organach, np. dane wspólników, które są wpisane do KRS.

No i teraz moje pytanie, czy dane kontaktowe pracowników osoby prawnej podlegają RODO i czy trzeba je odpowiednio chronić? Na przykład kiedy korespondujemy z pracownikiem agencji tłumaczeń, która jest spółką z o.o., a pracownik niekoniecznie jest członkiem organu tej spółki. Słyszałam już różne interpretacje, więc trudno się tutaj jednoznacznie wypowiedzieć.

Z kolei jeżeli chodzi o informacje dotyczące osób fizycznych prowadzących działalność gospodarczą, np. w CEIDG, to należy je wg Komentarz C.H. Beck (str. 181) jak najbardziej uznać za dane osobowe.

Drogi Dzienniku! Czy rozważanie i ustalanie, kiedy dane osobowe kontrahenta czy jego pracownika podlegają RODO, a kiedy nie, nie zajmie mi więcej czasu, niż gdybym przyjęła, że wszystkie te dane osobowe podlegają rozporządzeniu? Wśród klientów mam przecież osoby fizyczne prowadzące działalność gospodarczą, spółki cywilne, spółki z o.o., a także klientów indywidualnych. Wydaje mi się, że najłatwiej stosować te same zasady do wszystkich danych osobowych tego typu. Raczej nie będzie to dodatkowym obciążeniem i pozwoli uprościć i ujednolicić procedury.

To tak w skrócie o danych osobowych. Na pewno w praniu wyjdą pytania, które konkretnie dane trzeba uznać za dane osobowe, np. kiedy będę chciała anonimizować dokument. To jeszcze jeden temat. Anonimizacja i pseudonimizacja. Ale nie na dzisiaj.

Idziemy dalej. Wiesz już, co to są dane osobowe, teraz pora na zbiory danych osobowych.

Cytuję z rozporządzenia:

Art. 4
6) „Zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

Co to oznacza dla mnie jako tłumacza?

Mianowicie to, że zbiorem danych osobowych może być nie tylko repertorium tłumacza przysięgłego, ale także przykładowo całe moje archiwum z dokumentami źródłowymi i tłumaczeniami, skrzynka pocztowa z danymi kontaktowymi klientów i załączonymi dokumentami, baza wystawionych faktur, akta z umowami pracowników czy podwykonawców. Także pamięć tłumaczeniową muszę uznać za zbiór danych osobowych, bo, niestety, karmiłam mojego kota, uhhh, przepraszam, CAT-a takimi danymi. O problemach z pamięcią tłumaczeniową napiszę Ci za kilka dni.

Dla mnie, i ogólnie dla wszystkich tłumaczy, istotne znaczenie będzie moim zdaniem miał podział danych osobowych na dwie grupy:

dane osobowe pozwalające na identyfikację zleceniodawcy oraz obsługę zlecenia (np. dane kontaktowe i teleadresowe, numer identyfikacji podatkowej);
dane osobowe zawarte w materiałach przekazanych do tłumaczenia, w jakiejkolwiek formie: dokumenty papierowe, elektroniczne, materiały graficzne, nagrania…
Ten podział będzie kluczowy przy ustaleniu mojej roli w procesie przetwarzania danych osobowych. Do tego zagadnienia też wrócę, pewnie jutro albo pojutrze, bo jest to bardzo istotne.

Drogi Dzienniku! Pisałam już o danych osobowych, o zbiorach danych osobowych, jeszcze chciałabym Ci trochę opowiedzieć o szczególnych kategoriach danych osobowych.

Dane osobowe można podzielić jeszcze na inne dwie grupy:

  • a) „zwykłe” dane osobowe,
  • b) dane osobowe kwalifikujące się do szczególnych kategorii danych osobowych, zwane również danymi wrażliwymi.

Art. 9 określa rodzaje danych osobowych należących do tych szczególnych kategorii:

Art. 9 Przetwarzanie szczególnych kategorii danych osobowych
1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Dodatkowo artykuł 4 podaje definicje niektórych szczególnych kategorii danych:

Art. 4
13) „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
14) „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;
15) „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

Może zauważyłeś, że przetwarzanie tych szczególnych kategorii danych osobowych jest zabronione. Na szczęście art. 9 ust. 2 przewiduje sytuacje, kiedy zapis z ust. 1 nie ma zastosowania i przetwarzanie danych szczególnej kategorii jest dozwolone. Inaczej przetwarzanie takich danych byłoby niemożliwe, a niektórzy tłumacze, np. tłumacze medyczni, mogliby zamknąć interes ;-( .

Uff! Na dzisiaj może już wystarczy tych informacji. Tematy na następny tydzień to przede wszystkim: czynności przetwarzania, podstawy prawne i cele przetwarzania. Będzie też o naszej – tłumaczy – roli w procesie przetwarzania.

Obiecałam, że codziennie będę pisać, ale przez weekend dam Ci chyba trochę spokoju.

Odpocznij. Zobaczymy się w poniedziałek.

Twoja Tłumaczka