Z dziennika tłumaczki. Rozważania o RODO

Podobne dokumenty
RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Nowe przepisy i zasady ochrony danych osobowych

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

POLITYKA PRYWATNOŚCI

Opracował Zatwierdził Opis nowelizacji

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

POLITYKA PRYWATNOŚCI

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

POLITYKA PRYWATNOŚCI

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

Ochrona danych osobowych w biurach rachunkowych

I. Postanowienia ogólne

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

POLITYKA PRYWATNOŚCI W PIAST GROUP SP. Z O.O.

KONFERENCJA SIODO PRZYPADKI"

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka Prywatności. 3. Pana/Pani dane osobowe przetwarzane będą w celu:

POLITYKA PRYWATNOŚCI GALACTIC SP. Z O.O.

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Polityka Bezpieczeństwa Danych Osobowych

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Przetwarzanie danych osobowych pracowników w grupie przedsiębiorstw w świetle zasady rozliczalności

PRELEGENT Przemek Frańczak Członek SIODO

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

POLITYKA PRYWATNOŚCI. 1 Administrator Danych

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

Ryzyko nadmiernego przetwarzania danych osobowych

POLITYKA PRYWATNOŚCI

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Szkoły Podstawowej nr 3 im. Henryka Brodatego w Złotoryi

PARTNER.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Ochrona danych osobowych w biurach rachunkowych

1. Podstawowe zasady przetwarzania danych w Spółce

Polityka Bezpieczeństwa Danych Osobowych. Zielona Terapia

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Ochrona danych osobowych

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

1 Postanowienia ogólne. 2 Podstawowe definicje

POLITYKA OCHRONY DANYCH OSOBOWYCH. z dnia Postanowienia Ogólne

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

SZCZEGÓŁOWY HARMONOGRAM KURSU

RODO. 1. Obowiązki administratora danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Załącznik nr 5 do Polityki bezpieczeństwa

Al. J. Ch. Szucha 8, Warszawa

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy: zwany w dalszej części umowy Podmiotem przetwarzającym, reprezentowanym przez:

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Pakiet RODO dla Komunalnej Energetyki Cieplnej "KOMEC" Sp. z o.o.

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

Polityka Prywatności dotycząca osób, których dane przetwarzane są przez Gminny Ośrodek Kultury w Goniądzu

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Polityka prywatności spółki BERDA spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Płochocinie

Bezpieczeństwo danych naszych subskrybentów, klientów i kontrahentów jest dla nas najwyższym priorytetem.

ZAŁĄCZNIK SPROSTOWANIE

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

Informacja o przetwarzaniu danych osobowych przez INSTAL TM

POLITYKA BEZPIECZEŃSTWA

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

ECDL RODO Sylabus - wersja 1.0

Umowa powierzenia przetwarzania danych osobowych nr...

EBIS POLITYKA OCHRONY DANYCH

Maciej Byczkowski ENSI 2017 ENSI 2017

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

Polityka ochrony danych osobowych

POLITYKA PRYWATNOŚCI

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Ochrona danych osobowych w archiwach samorządowych. Ewelina Kurzobrocka-Pipia Starostwo Powiatowe w Kaliszu. Kalisz, 1-3 czerwca 2017 r.

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

ADWOKAT URSZULA DANILCZUK-KARNAS TEL.:

Rozdział I. Analiza przepisów RODO dla wspólnot mieszkaniowych oraz spółdzielni mieszkaniowych

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Dane osobowe w data center

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

Umowa o powierzeniu przewarzania danych osobowych. Umowa. powierzenia przetwarzania danych osobowych

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

Rewolucja w ochronie danych osobowych?... 1 Precyzyjne zapisy... 2 O tym nie możesz zapomnieć!... 3 Nowe uprawnienia... 5 Podsumowując...

Transkrypt:

Z dziennika tłumaczki. Rozważania o RODO Drogi Dzienniku, w tym dokumencie znajdziesz moje notatki dotyczące głównych założeń ogólnego rozporządzenia o ochronie danych osobowych. W szarych polach cytuję fragmenty z rozporządzenia, potem moje spostrzeżenia. Nie jest to żadna opinia prawna, tylko moje rozważania - tak ja to rozumiem. Miłej lektury! Twoja Tłumaczka Główne założenia RODO 1. Chronimy prawa i wolności osób Aby w pełni rozumieć nowe podejście do tematu ochrony danych osobowych, trzeba zrozumieć filozofię, na której jest oparte ogólne rozporządzenie o ochronie danych osobowych: Preambuła (1) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej Kartą praw podstawowych ) oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. (2) Zasady i przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych nie mogą niezależnie od obywatelstwa czy miejsca zamieszkania takich osób naruszać ich podstawowych praw i wolności, w szczególności prawa do ochrony danych osobowych. (...) ROZDZIAŁ I Przepisy ogólne Art. 1 Przedmiot i cele 2. Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. Każda osoba fizyczna ma więc prawo do ochrony swoich danych osobowych. Ja, jako tłumacz, powinnam szanować to prawo i dołożyć wszelkich starań, aby chronić te dane osobowe, tak samo, jak ja bym chciała, aby inni szanowali moje prawo do ochrony moich danych osobowych. 1

Prawa do ochrony danych osobowych są wyszczególnione w kolejnych artykułach rozdziału III rozporządzenia: prawo do przejrzystej informacji (art. 12-14); prawo dostępu do swoich danych osobowych (art. 15); prawo do sprostowania danych (art. 16); prawo do usunięcia danych ( prawo do bycia zapomnianym - art. 17); prawo do ograniczenia przetwarzania (art. 18); prawo do przenoszenia danych (art. 19); prawo do sprzeciwu (art. 21). Oprócz tego Rozporządzenie przewiduje także: prawo do wnoszenia skargi (art. 77); prawo do skutecznego środka ochrony prawnej (art. 78-79); prawo do odszkodowania (art. 82). Rozporządzenie zobowiązuje też do wdrożenia odpowiednich środków umożliwiających wykonywanie tych praw. Preambuła (59) Należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania i gdy ma to zastosowanie bezpłatnego uzyskiwania w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania podać tego przyczyny. Każdej osobie, której dane przetwarzam, muszę umożliwić dostęp do jej danych osobowych oraz ich usunięcie i sprostowanie. Wiąże się to z wdrożeniem odpowiednich procedur obsługi takich żądań np. ze strony klientów, których dane przetwarzamy. Nie zawsze jednak odpowiedzialność za spełnienie takich żądań będzie spoczywała całkowicie na mnie. Będzie to zależało od mojej roli w procesie przetwarzania danych. Wyżej wymienione prawa znajdują swoje odzwierciedlenie w podstawowych zasadach wprowadzonych przez rozporządzenie. Motyw (39) preambuły podsumuje te zasady jak następuje: 2

Preambuła (39) Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe. Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu. Już przeczytałeś? No to idziemy dalej. 2. Zgodność z prawem i rzetelność a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ( zgodność z prawem, rzetelność i przejrzystość ); 3

Przetwarzanie danych osobowych musi się odbyć zgodnie z prawem. Przy przetwarzaniu danych osobowych każdego(!) tłumacza obowiązują przepisy RODO oraz krajowe przepisy wykonawcze, a nieznajomość przepisów nie zwalnia mnie od obowiązku ich stosowania! Muszę w każdej sytuacji być w stanie wskazać odpowiednią podstawę prawną, która uzasadnia czynności przetwarzania danych, które wykonujemy. A rzetelność? Tutaj muszę posłużyć się komentarzem C.H. Beck (str. 259): przetwarzanie danych osobowych w sposób rzetelny oznacza, że powinnam to zrobić zgodnie z zasadami współżycia społecznego. Rzetelne przetwarzanie to także poszanowanie interesów osób, których dane dotyczą, i niewykorzystywanie ich przymusowej sytuacji. 3. Przejrzystość (transparentność) a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ( zgodność z prawem, rzetelność i przejrzystość ); Preambuła (58) Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane. Informacje te mogą być przekazywane w formie elektronicznej, na przykład za pomocą strony internetowej, gdy są kierowane do ogółu społeczeństwa. Jeżeli informuję moich zleceniodawców o tym, że przetwarzanie ich danych oraz danych zawartych w dokumentach będzie niezbędne do wykonania tłumaczenia, muszę to zrobić w sposób zrozumiały. Wszelkie dokumenty i informacje, które w związku z przetwarzaniem danych osobowych kieruję do klienta, powinny być pisane prostym językiem, gwarantującym ich pełne zrozumienie. Zależnie od roli, którą przyjmuję w procesie przetwarzania danych osobowych, informacje te powinny obejmować informacje o przetwarzanych danych, sposobie ich przetwarzania, udostępnieniu ich do przetwarzania, przekazywaniu poza teren UE, a także o zakresie, celu i okresie przetwarzania oraz przysługujących prawach. Informacje te powinny być łatwo dostępne dla osoby zainteresowanej, np. na naszej stronie internetowej czy w biurze. 4

4. Ograniczenie celu i minimalizacja danych (adekwatność) b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ( ograniczenie celu ); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ( minimalizacja danych. Nie mogę wg własnego uznania zbierać danych osobowych. Muszę to robić w konkretnym, uzasadnionym celu: wykonanie tłumaczenia, wydanie kopii i duplikatów, rozpatrzenie reklamacji, rozesłania materiałów marketingowych itd. Do każdego rodzaju danych i każdego konkretnego zbioru danych muszę przypisać cel, który uzasadni przetwarzanie tych danych. Cel przetwarzania danych musi być z góry określony i informacja o nim musi zostać przekazana osobie, której dane dotyczą. Nie zawsze jednak sama ustalam celu przetwarzania danych osobowych. W przypadku danych osobowych zawartych w dokumentach do tłumaczenia, zleceniodawca ustala cel: tłumaczenie z języka A na język B. Muszę pamiętać, że mogę przetwarzać tylko dane osobowe niezbędne i adekwatne do realizacji celu. Muszę więc zminimalizować zakres danych osobowych. Danych osobowych nie mogę przetwarzać w celu niezgodnym z pierwotnym celem i też nie mogę ich przetwarzać w okresie dłuższym niż jest to niezbędne do realizacji tego określonego celu. 5. Prawidłowość d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ( prawidłowość ). Jak już wspomniałam wyżej, muszę dać klientom możliwość wglądu, usunięcia a także sprostowania danych osobowych. Wiąże się to z odpowiednimi procedurami, które powinnam wdrożyć w celu zapewnienia prawidłowości danych oraz z obowiązkiem informowania o możliwości sprostowania danych. Dane osobowe muszą być prawdziwe, kompletne i aktualne ze względu na cel jakiemu mają służyć. 5

Drogi Dzienniku, prawidłowość danych oraz prawo do sprostowania danych mogą się okazać problematycznym zagadnieniem w odniesieniu do danych osobowych zawartych w materiałach przekazanych do tłumaczenia. Ja, jako tłumacz, nie mam bowiem możliwości sprawdzenia, czy te dane osobowe są prawdziwe i prawidłowe. Też nie mam prawa ingerować w dokument źródłowy czy sprostować domniemane błędy w dokumencie źródłowym w swoim tłumaczeniu, chyba, że w formie odpowiedniej adnotacji. Dotyczy to szczególnie tłumaczeń poświadczonych, gdzie mam obowiązek dokonać wiernego tłumaczenia. Jednak w przypadku danych zawartych w materiałach nie spełniam roli administratora, więc raczej nie na mnie spoczywa obowiązek sprostowania takich ewentualnych nieprawidłowości. 6. Ograniczenie przechowywania (czasowość) e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ( ograniczenie przechowywania ). Nie mogę wg własnego uznania wybrać okresu przechowywania danych. Oznacza to m.in., że nie mogę przechowywać starych tłumaczeń z danymi osobowymi w moich pamięciach tłumaczeniowych na czas nieokreślony. Dokumenty źródłowe i tłumaczenia przechowywane w moich archiwach też należy okresowo usunąć albo podać anonimizacji. Muszę z góry ustalić okres, na który chcę przechowywać dane i ten okres musi być zgodny z celem przetwarzania tych danych. Nie zawsze jednak mam wpływ na określenie okresu przechowywania. Kiedy działam w charakterze podmiotu przetwarzającego albo osoby działającej z upoważnienia, muszę się więc postarać, aby w uzgodnieniu z administratorem ustalić odpowiedni okres. 6

7. Integralność i poufność f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ( integralność i poufność ). Oznacza to, że sprzęt, na którym przetwarzamy dane (komputery, serwery, urządzenia przenośne,...) musi być odpowiednio zabezpieczony za pomocą m.in. oprogramowania antywirusowego, systemów do szyfrowania i robienia kopii zapasowych... Także miejsce przechowywania dokumentów w wersji papierowej musi być odpowiednio zabezpieczone. Zabezpieczenia te wychodzą poza standardowym zakresem zabezpieczeń, które do tej pory uważałam za wystarczające, nie zdając sobie sprawy z potencjalnych zagrożeń i ograniczeń takich rozwiązań. Muszę także zachować pełną poufność danych. To akurat nie jest nowa zasada dla mnie, tłumacza, ponieważ od zawsze czuję się zobowiązana do zachowania przekazanych mi treści w tajemnicy, a odkąd zostałam tłumaczem przysięgłych jest to wręcz mój obowiązek wynikający z art. 14 Ustawy o zawodzie tłumacza przysięgłego: Art. 14. 1. Tłumacz przysięgły jest obowiązany do: 2) zachowania w tajemnicy faktów i okoliczności, z którymi zapoznał się w związku z tłumaczeniem; 8. Rozliczalność 2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (...). Co to oznacza z mojej perspektywy jako tłumacza? Muszę być w stanie wykazać, że wdrożyłam odpowiednie środki, aby zapewnić przestrzeganie przepisów. Jest to szczególnie ważne w przypadku, gdy dojdzie do naruszenia przepisów i muszę udowodnić, że dołożyłam wszelkich starań, aby zabezpieczyć dane. Cała odpowiedzialność za przestrzeganie przepisów zdaje się spoczywać na mnie, tłumaczu. Jednak w przypadku, kiedy występuję w roli podmiotu przetwarzającego lub działam z upoważnienia, ta odpowiedzialność jest dzielona z administratorem. 7

Drogi Dzienniku, na pewno nie powinnam podchodzić do tej zasady w duchu: Ech tam, i tak nikt mnie nie skontroluje, po co mam sobie zawracać głowę. Powinnam stosować podejście proaktywne i profilaktyczne i wdrożyć odpowiednie procedury, które nie tylko zabezpieczają moje interesy, ale także interesy moich zleceniodawców. 9. Podejście oparte na ocenie ryzyka (risk based approach) Preambuła (83) W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki takie jak szyfrowanie minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych. Muszę we własnym zakresie oszacować ryzyko i w zależności od ryzyka wybierać odpowiednie środki zabezpieczające. Ustawodawca nie określa konkretnych środków bezpieczeństwa danych. Sama jestem odpowiedzialna za odpowiedni wybór i zależnie od postępu technologii, będę musiała dostosować te środki do nowych zagrożeń. Oznacza to, że powinnam się dobrze zorientować w rozwoju rozwiązań technologicznych oraz także w rozwoju nowych zagrożeń, które mogą stanowić ryzyko dla mojej działalności i ochrony przetwarzanych danych osobowych. Dotyczy to szczególnie rozwiązań informatycznych, za pomocą których przetwarzam dane. Jedynie używanie dobrego programu antywirusowego może już nie wystarczyć do zabezpieczenia przetwarzanych danych. Należy też wskazać, że odpowiedzialność za stosowanie odpowiednich środków bezpieczeństwa jest dzielona. Administrator odpowiada za odpowiedni dobór podmiotu przetwarzającego lub osoby fizycznej działającej z upoważnienia, i musi zapewnić, że podwykonawcy spełniają odpowiednie wymagania. 8

10. Uwzględnienie ochrony danych w fazie projektowania oraz domyślna ochrona danych (privacy by design i privacy by default) Art. 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. 2. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych. 3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 i 2 niniejszego artykułu, można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji określonego w art. 42. Rozporządzenie nakłada obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, dostosowanych do moich konkretnych warunków. Idealna sytuacja by była, gdybym je wdrożyła zanim w ogóle zacznę przetwarzać dane osobowe. Jednak od wielu lat już przetwarzam dane osobowe, w sposób mniej czy bardziej prawidłowy, więc powinnam przeanalizować obecne procedury, które się z tym wiążą (albo w najgorszej sytuacji brak procedur) i wdrożyć odpowiednie rozwiązania. Analiza moich warunków pracy będzie podstawą do wdrożenia odpowiednich rozwiązań. Ochrona danych osobowych powinna zostać domyślnym elementem moich procedur obsługi klienta. Kończąc na tej zasadzie już mogę określić następne zadanie: ocena obecnych procedur przetwarzania danych osobowych. Tak jak obiecałam, przygotuję odpowiednią tabelkę i za kilka dni się tym zajmiemy. Ale na dzisiaj aż zanadto tych informacji! Do zobaczenia! Twoja Tłumaczka Prawa autorskie zastrzeżone. 9