Z dziennika tłumaczki. Rozważania o RODO – Wydanie specjalne w biuletynie Lubelskiego Stowarzyszenia Tłumaczy: Wątpliwości dotyczące umowy powierzenia

Piątek 12 października 2018 r. – 4 miesiące po RODO

Drogi Dzienniku,

RODO jest z nami od ponad czterech miesięcy. Świat się co prawda nie zawalił, bomba RODO-wa nie wybuchła, ale pozostaje wiele pytań i wątpliwości. Pytania, które pojawiają się w dyskusjach, zarówno na żywo jak i na portalach społecznościowych, często dotyczą różnego rodzaju zapisów w umowie powierzenia: jakie postanowienia w takiej umowie są dopuszczalne, a na jakie tłumacz nie powinien się zgodzić.

W tej chwili trudno dać jednoznaczną odpowiedź na te pytania. Mogę Ci jednak dać kilka wskazówek, które pomogą bardziej świadomie podjąć decyzję o podpisaniu takiej umowy. Najpierw jednak przypomnę Ci, drogi Dzienniku, kiedy i dlaczego umowa powierzenia jest właściwym rozwiązaniem dla nas, tłumaczy. Skupię się dzisiaj na współpracy ze zleceniodawcami komercyjnymi i nie wejdę w szczegóły dot. relacji tłumacz-organy publiczne oraz tłumacz-klient indywidualny.

Dlaczego umowa powierzenia?
Aby się zdecydować na taką formę sformalizowania relacji z klientem, muszę najpierw wiedzieć, kim jako tłumacz jestem w procesie przetwarzania danych osobowych. Jak dobrze wiesz, drogi Dzienniku, nie ma w tej chwili jednolitej interpretacji tej kwestii, ale przyjmijmy stanowisko, które wydaje nam się słuszne i uzasadnione:

A. Jestem administratorem, kiedy przetwarzam dane osobowe zleceniodawcy do celów administracyjnych.
B. Jestem podmiotem przetwarzającym, kiedy przetwarzam dane osobowe zawarte w materiałach przekazanych do tłumaczenia (i niekoniecznie są to dane osobowe zleceniodawcy!).

Jeżeli już przyjmiemy takie rozwiązanie, to zleceniodawca i tłumacz powinni spełnić odpowiednie obowiązki formalne. Obowiązki w związku z rolą podmiotu przetwarzającego są szczegółowo określone w artykule 28 rozporządzenia:

Artykuł 28
3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora […]

Kiedy współpracuję ze zleceniodawcami komercyjnymi, właściwym rozwiązaniem dla mnie jest właśnie umowa, którą określa się w żargonie RODO-wym mianem „umowy powierzenia”.

Udokumentowane polecenie

Umowa powierzenia powinna obejmować wszystkie wyżej wymienione elementy: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także zapisy obejmujące dalsze wymogi z litery a)-h) ustępu 3 artykułu 28.

Zacznijmy od litery a):

Artykuł 28
3. […] Ta umowa lub inny instrument prawny stanowią w szczególności,że podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora […]

Z tego przepisu wynika wyraźnie, że polecenie mojego zleceniodawcy do przetwarzania danych osobowych musi być udokumentowane. Powinnam więc prowadzić odpowiednią dokumentację, czyli najlepiej zawrzeć właśnie taką umowę powierzenia i ją przechowywać. Poza tym ten zapis mnie uświadamia, że nie mogę przetwarzać danych osobowych wg własnego uznania, lecz tylko i wyłącznie na polecenie administratora! I zgodnie z zapisami umowy powierzenia. Zobaczmy zatem, jakie jeszcze zapisy umowa może i powinna zawierać.

Okres przechowywania danych osobowych

Najbardziej kłopotliwy dla tłumaczy zapis dotyczy okresu przechowywania:

Artykuł 28 ust. 3
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że
prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie
danych osobowych;

Taki zapis wprowadzony do umowy powierzenia zmusza mnie do tego, abym tuż po wykonaniu tłumaczenia usunęła wszystkie dane osobowe: z dokumentów źródłowych oraz z tłumaczenia, z załączników poczty elektronicznej, a także w stosownym wypadku z pamięci tłumaczeniowej i wszelkich innych miejsc, gdzie mogłabym je przechowywać.
Jest to w wielu przypadkach sprzeczne ze standardową praktyką w zawodzie tłumacza. Zazwyczaj przechowujemy wszelkie dokumenty na długie lata, np. w celu dokonania drobnych poprawek i sprostowania błędów czy odpowiedzi na reklamacje i obrony w przypadku poważnych roszczeń. Niezwłoczne usunięcie po wykonaniu tłumaczenia wydaje się więc absurdalnym wymaganiem.

Jednak zgodnie z artykułem 28 rozporządzenia zleceniodawca-administrator ma prawo się tego domagać w umowie powierzenia, a jeżeli podpisuję taką umowę, muszę się poddać takiemu rygorowi, ze wszystkimi konsekwencjami. Dopóki nie zostanie wypracowane oficjalne stanowisko w tej sprawie, można jedynie zaskarżyć taki zapis u zleceniodawcy i wynegocjować dłuższy okres przechowywania … albo odmówić podpisania takiej umowy.

Środki techniczne i organizacyjne

Artykuł 28 ust. 3 obejmuje także przepisy dot. środków technicznych i organizacyjnych, które powinnam podjąć w celu zapewnienia bezpieczeństwa danych osobowych:

Artykuł 28
3.c) [podmiot przetwarzający] podejmuje wszelkie środki wymagane na
mocy art. 32; […]
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje,
pomaga administratorowi wywiązać się z obowiązków określonych
w art. 32–36;

Aby zrozumieć pełny zakres tego zapisu, muszę przeanalizować treść artykułu 32. Artykuł ten nakłada na administratora i podmiot przetwarzający dość ogólnikowe obowiązki w zakresie zapewnienia bezpieczeństwa danych.
Nie narzuca konkretnych rozwiązań, a wybór odpowiednich środków technicznych i organizacyjnych pozostawia w gestii samego administratora i podmiotu przetwarzającego. Muszę jednak pamiętać, drogi Dzienniku, że mój zleceniodawca będzie odpowiedzialny także za moje działania, więc będzie chciał się upewnić, że spełniam takie same kryteria techniczne jak on. Stąd w umowach powierzenia mogą się pojawić nie tylko dosłowne zapisy z rozporządzenia, ale także bardzo konkretne wytyczne dotyczące środków technicznych, np. wymóg posiadania odpowiedniego oprogramowania, systemu operacyjnego, programu antywirusowego.

Audyt

Artykuł 28 daje administratorowi możliwość przeprowadzenia audytu:

h) udostępnia administratorowi wszelkie informacje niezbędne do
wykazania spełnienia obowiązków określonych w niniejszym artykule
oraz umożliwia administratorowi lub audytorowi upoważnionemu
przez administratora przeprowadzanie audytów, w tym inspekcji,
i przyczynia się do nich.

Drogi Dzienniku, jest to znowu standardowy zapis, więc nie powinnam się dziwić, że pojawi się w umowie powierzenia. Jednak dla tłumaczy to przerażająca myśl, że audytor miałby dostęp do wszystkich zasobów, w tym dokumentów innych klientów. Wskazane jest więc doprecyzowanie zakresu tego audytu, aby nie naruszał obowiązku zachowania tajemnicy handlowej/zawodowej.

Obowiązki informacyjne

Mniej kłopotliwy zapis zawiera litera e):

Artykuł 28
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości
pomaga administratorowi poprzez odpowiednie środki techniczne
i organizacyjne wywiązać się z obowiązku odpowiadania na żądania
osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych
w rozdziale III;

Po prostu tłumacz ma obowiązek w miarę możliwości pomóc administratorowi.
Chodzi tutaj głównie o wykazanie, czy i w jakim zakresie przetwarzałam dane osoby, która zwraca się z takim pytaniem do administratora.

Podpisać czy nie podpisać, to jest pytanie

Kiedy tłumacz znajdzie w umowie powierzenia przekazanej przez zleceniodawcę szereg takich szczegółowych postanowień, może się nieco przestraszyć, a wręcz zdecydować się na odmowę podpisania z obawy zaciągania nadmiernych obowiązków. Jednak należy podejść do tego ze zdrowym rozsądkiem i ocenić, czy proponowane zapisy umowne mieszczą się w wyżej podanym podstawowym zakresie obowiązków nałożonych przez rozporządzenie, czy też wykraczają poza ten podstawowy zakres i przerzucają na tłumacza cały ciężar
odpowiedzialności.

Kiedy uznam, że ciężar odpowiedzialności nie jest równomiernie rozłożony, stanę niestety przed poważnym dylematem: podpisać czy nie podpisać umowę powierzenia? Odmowa podpisania w istocie może spowodować utratę klienta lub zlecenia.

Współpraca z „bezpiecznym” podwykonawcą

Z drugiej strony muszę się wczuć w sytuację zleceniodawcy. Umowa powierzenia może narzucać bardzo surowe wymogi, ale muszę pamiętać, że mój zleceniodawca także musi się zabezpieczyć. Ust. 1 artykułu 28 bowiem nakłada na niego obowiązek korzystania tylko z usług bezpiecznych podwykonawców:

Artykuł 28
1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora,
korzysta on wyłącznie z usług takich podmiotów przetwarzających,
które zapewniają wystarczające gwarancje wdrożenia odpowiednich
środków technicznych i organizacyjnych, by przetwarzanie spełniało
wymogi niniejszego rozporządzenia i chroniło prawa osób, których
dane dotyczą.

Nic dziwnego więc, że ujmie w umowie powierzenia odpowiednie zapisy.
I tak samo powinnam czynić ja, kiedy podzlecam innym tłumaczom tłumaczenie albo korektę. Nie raz też będę musiała zaproponować moim zleceniodawcom podpisanie takiej umowy.

Zleceniodawca nie dostarcza mi umowy powierzenia

Wg ustęp 3 artykułu 28 przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego. Z tego artykułu jednak nie wynika, kto ma wyjść z inicjatywą podpisania umowy powierzenia. W wielu sytuacjach ta inicjatywa będzie po mojej stronie, ponieważ zleceniodawca nie będzie odpowiednio zorientowany w temacie albo nie będzie w stanie sam sporządzić odpowiedniej umowy.

W zasadzie jest to wygodna dla mnie sytuacja, w której sama mogę zaproponować klientowi odpowiednią umowę, która zabezpiecza interesy obu stron (i oczywiście także prawa i wolności osoby, której dane dotyczą!).

Drogi Dzienniku, jak dobrze wiesz, skonstruowanie odpowiedniej umowy jednak nie jest łatwe. W internecie mogę znaleźć wiele wzorów takich umów, ale są one bardzo standardowe i nie dostosowane do specyfiki mojej działalności. W tej chwili stosuję więc „prowizoryczną” umowę powierzenia, która reguluje m.in. wyżej wymienione sprawy dot. okresu przechowywania i zakresu audytu, ale przede wszystkim służy do dopełnienia obowiązków formalnych nałożonych przez rozporządzenie i prowadzenia odpowiedniej dokumentacji.

Dopóki pewne kwestie, takie jak okres przechowywania, nie będą uregulowane w przepisach prawa albo w branżowym kodeksie postępowania w zakresie ochrony danych osobowych i dopóki nie będzie znana interpretacja przepisów, choćby w formie wyroków sądowych czy decyzji administracyjnych, umowa ta nie daje stuprocentowej gwarancji i pełnej ochrony moich interesów.

Drogi Dzienniku, niezbyt wesołą nutą kończę dzisiejszy wpis, ale jestem przekonana, że wspólnymi siłami uda nam się wypracować odpowiednie zalecenia i dokumenty wzorcowe.
Do usłyszenia wkrótce, mam nadzieję, że już z konkretnymi, optymistycznymi
wiadomościami!

Twoja Tłumaczka.