Piątek 18 maja 2018 r. – Zostało 7 dni do RODO
Drogi Dzienniku,
anonimizacja i pseudonimizacja: oto temat na dziś. Chyba wiemy, co oznaczają te terminy. No, mniej więcej. Dzienniku, czy ja piszę anonimowo? Czy raczej jestem tylko pseudonimizowana? Czy Ty przetwarzasz moje dane osobowe czy nie?
Jak to wygląda w kontekście RODO?
Poczekaj, zajrzę do tekstu rozporządzenia. W artykule 4 w definicjach jest mowa tylko o pseudonimizacji.
Art. 4
5) „pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
Tak na zdrowy rozum: w przypadku pseudonimizacji identyfikacja konkretnej osoby jest możliwa, w momencie, gdy uzyskamy dostęp do dodatkowych informacji. W przypadku anonimizacji nie ma możliwości zidentyfikowania osoby.
Wracając do naszej sytuacji. Czy ja piszę anonimowo? Można by powiedzieć, że nie całkiem. W poprzednich dniach napisałam pewne rzeczy, które dają pewne tło, kontekst. A z tego kontekstu osoby dobrze zorientowane w środowisku tłumaczy mogą wywnioskować kim jestem.
Czy pseudonimizacja i anonimizacja mogą mi pomóc w pracy tłumacza?
Tak. Rozporządzenie uznaje pseudonimizację za jeden ze środków technicznych zabezpieczających przetwarzanie danych osobowych:
Artykuł 25
Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych
1. (…) administrator (…) wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
To jak mogę stosować tę pseudonimizację? Podam Ci kilka przykładów.
Pseudonimizacja
Kiedy dostaję zlecenie, wpisuję je na listę zleceń. Każde zlecenie ma swój numer kolejny, np. 18/001, 18/002. Obok numeru wpisuję oznaczenie zleceniodawcy, czyli w przypadku osoby fizycznej imię i nazwisko, np. Stanisław Wokulski.
Potem zakładam folder dla tego zlecenia. Do tej pory nazwa folderu byłaby taka: 18001_Wokulski_Stanislaw. Ale spokojnie może być samo 18001. Mój klient będzie pseudonimizowany. Zamiast jego imienia i nazwiska skorzystam z numeru. Mogę też tę pseudonimizację odwrócić, bo mam listę zleceń, gdzie numer jest połączony z imieniem i nazwiskiem, więc mogę ustalić, kto się kryje pod danym ciągiem cyfr. Podwykonawcom podaję tylko numer zlecenia, na pewno nie imię i nazwisko klienta (choć nieraz dostaję od innych zlecenia oznaczone właśnie w ten sposób). Klient pozostaje anonimowy dla mojego podwykonawcy.
Drugi przykład. Zaczęłam testowanie pseudonimizacji dokumentów zaimportowanych do CAT-a, żeby już nie wprowadzać danych osobowych do pamięci tłumaczeniowej. W dokumencie źródłowym zamieniam wszystkie dane osobowe na kody: <1>, <2> itd. Stanisław Wokulski będzie <1>, Izabela Łęcka <2>, adres zamieszkania <3> itd. Niestety nie da się tego zrobić całkowicie automatycznie, trzeba przejrzeć dokument i zdecydować, w którym miejscu są dane osobowe.
Potem tłumaczę dokument za pomocą CAT-a i w odpowiednich miejscach wstawiam kody, tak jak samo jak wstawiam tagi. Po wykonaniu tłumaczenia i wygenerowaniu pliku docelowego odwracam całą pseudonimizację, czyli zastępuję wszystkie <1> Stanisławem Wokulskim, wszystkie <2> Izabelą Łęcką. Odbywa się to już raczej w trybie półautomatycznym, bo mogę wykorzystać funkcję znajdź i zamień.
Ale na razie nie jest to idealny sposób pseudonimizacji. Może też być problem z końcówkami, gdy tłumaczymy na język fleksyjny. Już rozmawiałam z kilkoma osobami, czy nie można by do tego stworzyć jakiejś przydatnej aplikacji. Na pewno ktoś wpadnie na lepszy pomysł niż ta moja prowizorka.
Mówisz, że pseudonimizacja to fajna rzecz, kiedy chcę podzlecać tłumaczenie. No tak, usuwam wszystkie dane osobowe z dokumentu źródłowego i dopiero wtedy przesyłam do podwykonawcy. Dla mnie dane są pseudonimizowane, dla podwykonawcy są całkowicie zanonimizowane, bo nie ma on dostępu do dokumentów, które pozwolą cofnąć pseudonimizację. W takim przypadku nie ma potrzeby podpisania umowy powierzenia czy udzielenia upoważnienia, bo nie ma danych osobowych w dokumentach 😉
Niestety, jest to możliwe tylko wówczas, gdy ja sama będę w stanie cofnąć pseudonimizację. Jeżeli podzlecę tłumaczenie na język, którego nie znam, no to już może być kłopot. Nie będę np. wiedziała, jak odpowiednio dokleić końcówki do imion i nazwisk, kiedy mam do czynienia z językiem fleksyjnym. Albo jak przepisać dane w innym alfabecie.
Pseudonimizacja nie wchodzi też w grę przy podzlecaniu tłumaczeń poświadczonych. Z oczywistych przyczyn. Przecież tłumacz przysięgły musi widzieć pełny dokument źródłowy.
Tyle o pseudonimizacji.
A anonimizacja?
Przydatna sprawa, kiedy chcę przechowywać dokumenty po ustalonym okresie przechowywania, o którym była wczoraj mowa. Mogę po prostu usunąć wszystkie dane osobowe i przechowywać resztę tekstu.
Muszę przy tym pamiętać, że anonimizacja to obowiązkowo proces nieodwracalny! Trzeba usunąć wszystkie ślady. To oznacza na przykład, że muszę też wykasować ze skrzynki mailowej załączniki z dokumentem źródłowym, który dostałam od klienta.
Nie mogę też zapomnieć o anonimizacji dokumentów wzorcowych. Kiedy mam przetłumaczony jakiś dokument typowy, np. akt urodzenia, to zapisuję go w folderze ze wzorami. Muszę wtedy koniecznie usunąć wszystkie dane osobowe, bo gromadzenie dokumentów wzorcowych już nie podlega pod realizację celu, którym jest wykonanie tłumaczenia. Wyczyszczone tłumaczenie może potem służyć do wykonania podobnych zleceń.
Teraz pytasz, co z tymi wszystkimi dokumentami, które już mam w moim archiwum. No niestety, trzeba je anonimizować po zakończeniu okresu przechowywania. Albo, w przypadku mało ważnych dokumentów, całkowicie usunąć.
Tak jak pisałam, pseudonimizacja to rodzaj zabezpieczenia technicznego zalecanego przez rozporządzenie. Co jeszcze można robić? Rozporządzenie nie daje konkretnych wytycznych, każdy musi się sam zastanowić, jakie środki techniczne i organizacyjne wdrożyć.
To Cię martwi? Niepotrzebnie. Ciebie zamknę w sejfie i będziesz bezpieczny. Tak, w sejfie. Ale przecież nie mam sejfu. Czy zamierzam go kupić? Pozwól, że do tego pytania wrócę w przyszłym tygodniu.
Miłego weekendu. Do poniedziałku. Na zapomnij odświeżyć sobie wszystkich tematów, które do tej pory poruszyłam, bo będzie obiecana tabelka.
Tymczasem,
Twoja Tłumaczka