Środa 16 maja 2018 r. – Zostało 9 dni do RODO
Drogi Dzienniku,
obiecałam, że będzie coraz praktyczniej, ale wygląda na to, że teorii nie da się zupełnie pominąć. Niestety, aby dobrze przygotować się do RODO, trzeba uporządkować pewne kwestie teoretyczne, inaczej zabłądzimy w gąszczu informacji i w konsekwencji wdrożymy niepotrzebne albo błędne praktyki.
Zgoda czy brak zgody: oto pytanie na dziś. Bardzo często słyszę, że konieczne będzie uzyskanie zgody od klienta na przetwarzanie danych osobowych. Otóż nie zawsze. A w działalności tłumacza – nawet bardzo rzadko. Żeby nie popełnić błędu, trzeba najpierw zrozumieć, na jakiej podstawie prawnej tłumacz przetwarza dane osobowe.
O co chodzi z tymi podstawami prawnymi?
Jeżeli uważnie czytałeś załącznik z głównymi założeniami, to wiesz, że przetwarzanie danych osobowych musi się odbywać zgodnie z prawem. Hmm, aha, rozumiem, nie przeczytałeś do końca i przez to nie wiesz, o czym piszę. No, no, nieładnie. Na wszelki wypadek jeszcze raz podaję Ci link do tego załącznika, żebyś mógł wrócić do lektury.
Już przeczytałeś? W porządku, a zatem kontynuujmy.
Nie mogę przetwarzać danych osobowych, jeżeli nie jestem w stanie wykazać, że robię to zgodnie z prawem. Artykuł 6 rozporządzenia omawia zgodność przetwarzania z prawem. Czy to oznacza, że do każdego rodzaju i zbioru danych osobowych oraz do każdej czynności przetwarzania powinnam być w stanie przypisać odpowiednią podstawę prawną z artykułu 6?
Niekoniecznie. To zależy od mojej roli w procesie przetwarzania. O mojej roli było wczoraj.
W skrócie było to tak:
- dane osobowe do obsługi zlecenia: jestem administratorem;
- dane osobowe zawarte w materiałach: jestem podmiotem przetwarzającym albo działam z upoważnienia.
Pamiętasz tabelkę uzupełniającą wczorajszy wpis? W niej wszystko przejrzyście opisałam.
A teraz proszę zapamiętaj:
- Kiedy działam w charakterze podmiotu przetwarzającego, podstawą prawną do przetwarzania danych osobowych będzie umowa powierzenia z administratorem.
- Kiedy działam z upoważnienia, podstawą prawną będzie upoważnienie wystosowane przez administratora albo podmiot przetwarzający.
W tych przypadkach nie interesują mnie podstawy prawne z artykułu 6. To jest sprawa administratora.
Pytasz, jak wygląda umowa powierzenia czy upoważnienie. Omówimy to, gdy dotrzemy do tzw. papierologii.
Wyjaśnię Ci teraz sytuację, kiedy przetwarzam dane osobowe w charakterze administratora, czyli w przypadku kiedy przetwarzam dane osobowe zleceniodawcy do celów administracyjnych. W tym przypadku muszę ustalić, w oparciu o jaką podstawę prawną przetwarzam te dane.
Art. 6 rozporządzenia przewiduje m.in. następujące podstawy prawne przetwarzania danych:
Art. 6 Zgodność przetwarzania z prawem
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
(…)
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Co to oznacza dla mnie jako tłumacza?
Różne podstawy prawne do różnych danych 😉
Umowa o świadczenie usług tłumaczeniowych
Pierwsza i najważniejsza zasada dla mnie: kiedy przetwarzam dane osobowe zleceniodawcy w celu świadczenia usługi tłumaczeniowej, moją podstawą prawna jest UMOWA z art. 6b)!
Klient, czyli osoba, której dane dotyczą, przekazuje mi swoje dane, abym mogła się z nim skontaktować, rozliczyć, obsłużyć jego zlecenie w ramach umowy o świadczenie usług tłumaczeniowych. To też dotyczy zapytania, ponieważ są to działania podjęte przed zawarciem umowy na żądanie osoby, której dane dotyczą.
Czyli w tym przypadku żadna zgoda nie jest potrzebna!
Ale uwaga! Nie oznacza to, że nie muszę poinformować zleceniodawcy o tym, że mam zamiar przetwarzać jego dane. To zagadnienie szczegółowo poruszę za kilka dni, kiedy napiszę o obowiązku informacyjnym.
Pytasz też, jak zawrzeć taką umowę? Spokojnie, to znowu „papierologia” i do tego jeszcze dojdziemy.
Podsumujmy: w wyżej wymienionym przypadku zgoda nie jest potrzebna. Chyba że… zamierzam np. wysyłać materiały reklamowe, newslettery itd. Wtedy podstawą prawną będzie zgoda z punktu a) artykułu 6, bo te dane nie są mi potrzebne do wykonania umowy.
Ale to już inna historia. To nie są sytuacje ściśle związane z moją działalnością tłumaczeniową i (na razie) nie będę o nich pisała. Skupmy się na tym, co odróżnia specyfikę zawodu tłumacza od innych.
Roszczenia i prawnie uzasadniony interes
Ze wspomnianą umową mogę powiązać drugą podstawę prawną, mianowicie z punktu f): mój prawnie uzasadniony interes. Po zakończeniu realizacji umowy podstawa prawna z punktu b) przestaje mieć zastosowanie, ponieważ skończy się ta umowa. Ale niekoniecznie zakończą się moje kontakty z klientem. Na przykład, kiedy klient będzie miał jakieś roszczenie w związku z tłumaczeniem (oby takich przypadków było jak najmniej albo najlepiej wcale…). Na wszelki wypadek dobrze byłoby zachowywać dane klienta, korespondencję mailową itp. Możliwość przechowywania danych osobowych zleceniodawcy także po zakończeniu umowy będzie leżała w moim prawnie uzasadnionym interesie. Aż do momentu, kiedy okres przedawnienia roszczeń minie. Właśnie zahaczyłam o temat okresu przechowania, o którym będzie jutro.
Dokumentacja księgowa a obowiązek prawny
W jakich jeszcze sytuacjach przetwarzam dane osobowe zleceniodawcy?
Kiedy wystawiam faktury. Tutaj odpowiednia będzie podstawa prawna z art. 6c): przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego, który ciąży na mnie jako na administratorze. Zgodnie z przepisami podatkowymi muszę wpisać na fakturze odpowiednie dane zleceniodawcy i muszę tę fakturę przechowywać przez odpowiedni czas. W tym przypadku przetwarzam dane osobowe, kiedy wystawiam fakturę na osobę fizyczną, osobą fizyczną prowadzącą działalność gospodarczą czy spółkę cywilną. Więc tutaj właściwą podstawą prawną będzie obowiązek prawny wynikający z przepisów. Zgoda zleceniodawcy na takie przetwarzanie jest niepotrzebna.
Repertorium a obowiązek prawny
Przetwarzam także dane osobowe, kiedy wpisuję dane osobowe do repertorium. Oczywiście, o ile dane wpisane do repertorium można uznać za dane osobowe. Ale o tym już było. Jeżeli te dane spełniają kryteria danych osobowych, to muszę też wykazać podstawę prawną.
Tutaj ponownie mogę się powołać na art. 6c). Prowadzenie repertorium jest moim obowiązkiem prawnym, wynikającym z art. 17 Ustawy o zawodzie tłumacza przysięgłego. Również tutaj nie jest wymagana zgoda zleceniodawcy. A zatem: zgoda niepotrzebna!
Hmmm, jeszcze jedną rzecz muszę doprecyzować w związku ze zgodą. Pisałam o art. 9, gdzie zostały omówione szczególne kategorie danych osobowych. W ust. 2 są podane sytuacje, w których możemy je przetwarzać, a m.in. w punkcie a) jest mowa o wyraźnej zgodzie.
Nie powinnam tym zawracać sobie głowy. Owszem, przetwarzam wrażliwe dane osobowe, np. dotyczące stanu zdrowia, ale znajdują się one w materiałach przekazanych do tłumaczenia. Przetwarzam je więc w charakterze… tak dokładnie: podmiotu przetwarzającego albo osoby działającej z upoważnienia! I moją podstawą prawną w takim przypadku jest umowa powierzenia albo upoważnienie. Koniec kropka. Żadnych zgód!
Podsumowanie w załączonej tabelce 🙂
Tabelka jednak nie wystarczy, żeby odpowiednio dokumentować moje przygotowania… I tu dochodzimy powoli do „papierologii” związanej z RODO. To chyba najbardziej uciążliwy aspekt rozporządzenia. Będę musiała wszystko dokumentować. Tylko jak to zorganizować?
Bez paniki. Poradzimy sobie. Zanim zabiorę się za „papierologię”, muszę jeszcze ustalić, jaki jest cel przetwarzania i przez jaki okres mogę przechowywać gromadzone dane osobowe. To jutrzejszy temat. Więc…
do jutra 😉
Twoja Tłumaczka