Od maja 2018 r. jako osoby prywatne zyskaliśmy nowe prawa, jak choćby sławne prawo do bycia zapomnianym, ale trzeba przyznać, że przedsiębiorcom „dobra zmiana” nie ułatwiła życia. Biorąc pod uwagę często bardzo wrażliwe dane, z którymi pracujemy, samozatrudnieni tłumacze są wśród bezpośrednio zainteresowanych. Jeżeli jeszcze nie wdrożyliście środków ostrożności, lub szukacie dodatkowych sposobów na zabezpieczenie danych w mikrofirmie, poniższe podsumowanie jest dla Was.

Kiedy się tym zająć?

Kiedy już wiesz, co przetwarzasz, zajmijmy się uporządkowaniem i stworzeniem wymaganego zbioru zasad, który będzie podstawą spełnienia obowiązku informacyjnego. To czas na spisanie Twojej Polityki bezpieczeństwa przetwarzania i przechowywania danych (choćby miała to być pierwsza i jedyna procedura, jaka powstała w Twojej firmie). Powinny się w niej znaleźć co najmniej:

  • krótka charakterystyka działalności;
  • rodzaje i cel zbieranych i przetwarzanych danych osobowych;
  • wskazanie osób odpowiedzialnych i współodpowiedzialnych za ochronę danych osobowych, osób uprawnionych do przetwarzania danych;
  • okres i sposób przechowywania danych;
  • zabezpieczenia stosowane do ochrony danych przed nieupoważnionym dostępem lub przypadkową utratą;
  • opis procedury działania w przypadku wycieku lub zagrożenia bezpieczeństwa danych.

Co nowego?

W kwestiach instytucjonalnych: GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych, został zastąpiony przez PUODO, czyli Prezesa Urzędu Ochrony Danych Osobowych (warto zajrzeć na stronę samego urzędu pod adresem https://uodo.gov.pl; można tam znaleźć mnóstwo praktycznych informacji). Sprecyzowane zostało między innymi pojęcie współadministratorów, czyli podmiotów, które wspólnie ustalają cele i środki przetwarzania danych (Art. 26 RODO) – w praktyce są to nasi współpracownicy i podwykonawcy. Co się tyczy nowych obowiązków nałożonych na przedsiębiorców przez RODO, w największym uogólnieniu sprowadzają się do 1) reorganizacji strategii zbierania, przechowywania i zabezpieczania danych, oraz 2) pełnego informowania o przetwarzaniu danych i oddania decyzji związanych z przetwarzaniem na ręce podmiotu, którego dane dotyczą. Cały szkopuł w tym, że samo rozporządzenie w ramach zasady uniwersalności nie precyzuje w jaki dokładnie sposób należy te reguły wdrożyć.

No więc jak?

Jako punkt wyjścia powinieneś zastanowić się czy przetwarzasz w ramach działalności dane osób fizycznych i jeżeli tak – przeanalizować w jaki sposób się to odbywa i do czego takie dane są Ci niezbędne. Niezbędne to słowo-klucz, ponieważ za chwilę będzie trzeba się zastanowić, jak bardzo możesz zminimalizować ich wykorzystywanie. Przykładowe pytania, jakie należy sobie zadać, to czy masz stały kanał komunikacji z klientami, czy jest ich więcej; gdzie i jak przechowujesz dokumenty i dane; czy prowadzisz stronę internetową, gdzie kontrahenci przesyłają dokumenty zawierające wrażliwe dane np. w tekstach do wyceny; czy strona zbiera cookies, etc.

Zdania są podzielone

Zdania co do rozsyłania Polityki do dotychczasowych kontrahentów są podzielone, jednak najbezpieczniejszą opcją wydaje się wysłać krótką wiadomość z zaproszeniem do zapoznania się z Twoimi zasadami i informacją o przysługujących kontrahentowi prawach. Wróćmy do zakresu wykorzystywania danych. Artykuł 5 RODO wymienia kilka zasad dotyczących przetwarzania danych, a wśród minimalizację danych, czyli ograniczenie ich wykorzystania do zakresu niezbędnego do realizacji celów umocowanych zgodą podmiotu. Tę zasadę możemy spełnić stosując anonimizację – na przykład nie przechowywanie w telefonie imion i nazwisk klientów (zamiast nich możemy ustalić identyfikatory i stosować je konsekwentnie na własne potrzeby) albo oznaczanie zleceń wg dat zamiast nazwisk zlecających. Zasada ta ma szczególne znaczenie dla tłumaczy, ponieważ można tutaj dyskutować o celu dokumentów, które przechowujemy w TM. Jeżeli zależy nam na naprawdę wysokim stopniu ochrony, rozsądnym (choć czasochłonnym) rozwiązaniem wydaje się tutaj anonimizacja (również wsteczna) przetłumaczonych dokumentów, czyli wyczyszczenie ich (jak również pozostałych TMek i innych zasobów) z wszelkich danych, które mogłyby umożliwić identyfikację osób prywatnych.

Zabezpieczenia

A co z zabezpieczeniami? Tutaj mamy do dyspozycji niezliczone środki techniczne, z których najczęściej można wybrać te najprostsze: papierowe dokumenty trzymane pod kluczem, założone i systematycznie zmieniane hasła dostępu do zbiorów danych, szyfrowanie wiadomości i zawartości dysku, zabezpieczenie danych klientów i zleceń przed przypadkowym niepowołanym dostępem np. poprzez utworzenie osobnego użytkownika do pracy na komputerze, z którego korzystamy do celów prywatnych i zawodowych, regularna aktualizacja i usuwanie danych. Idealnie, gdyby nasze stanowisko pracy było tak umiejscowione, żeby przypadkowi „przechodnie” nie widzieli dokładnie czym się zajmujemy. Jeżeli mimo wszystko jednak dojdzie do istotnego narażenia lub wycieku danych, mamy obowiązek poinformować osobę, której dane zostały narażone oraz PUODO o takiej sytuacji.

Uwaga na naciągaczy

Według ankiety przeprowadzonej wiosną przez portal www.gdpr.pl, 82% osób zarządzających przedsiębiorstwami zamierzało korzystać z podmiotów zewnętrznych we wdrożeniu przepisów RODO. Tymczasem w sieci pojawiały się liczne ostrzeżenia organów nadzorczych przed działalnością podmiotów oferujących rozbudowane usługi, które pomioty te przedstawiają przedsiębiorcom jako koniecznie dla zapewnienia zgodności z nowymi przepisami, a które w rzeczywistości nie mają żadnego uzasadnienia. Inne ostrzeżenie dotyczyło sprzedaży usług „certyfikacyjnych” potwierdzających zgodność z GDPR. Co prawda rozporządzenie przewiduje utworzenie mechanizmu (dobrowolnej!) certyfikacji, ale polskie organy nie ustaliły jeszcze formy tego rodzaju zaświadczeń ani uprawnień do ich przyznawania. Obecnie naszym głównym zadaniem jest ustalenie jasnych, praktycznych zasad przetwarzania danych tak, by zapewnić ochronę danych kontrahentów i móc w każdej chwili wykazać nasze starania na żądanie zainteresowanych i organów nadzorczych.

Leave a Reply