Nebojte se GDPR

Nebojte se GDPR

Přesně za půl roku, 28. května 2018, vejde v platnost GDPR (General Data Protection Regulation) tedy nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů. V dnešním článku přináším několik obecných informací a praktických rad pro překladatele a tlumočníky v souvislosti s tímto nařízením.


V první řadě bych vás chtěla ujistit, že nařízení o GDPR pro nás nepřináší žádné revoluční změny ani velké výdaje. Pro spoustu s vás se může naopak stát příležitostí, jak uspořádat své právní vztahy s klienty a zamyslet se nad bezpečností svých dat. Alespoň já se to tak snažím brát a ujistila mě v tom velmi přínosná přednáška Mgr. Břetislava Choda z letošních Jeronýmových dnů.


Co je GDPR?

GDPR je nařízení Evropské unie. Nařízení ze své povahy nevyžaduje žádné prováděcí předpisy na národní úrovni. Nemusíte se tedy obávat, že spolu s GDPR Česká republika implementuje nějaký nový zákon o ochraně osobních údajů nebo další opatření, která budete muset dodržovat. Dnem 28. května 2018 český zákon č. 101/2002 Sb. přestane platit a plně jej nahradí nařízení Evropského parlamentu a Rady (EU) č. 2016/679. 


Pro začátek několik jednoduchých definic:

  1. Osobní údaje jsou jakékoliv údaje fyzické osoby, pomocí kterých je možné danou osobu identifikovat. Jsou to tedy veškeré kontaktní údaje (jméno a příjmení, datum narození, rodné číslo, DIČ, IČO, adresa, e-mailová adresa, telefonní číslo, IP adresa apod.), dále biometrické údaje, genetické údaje, údaje o zdravotním stavu osoby a další. Fyzickou osobou se zde rozumí jak spotřebitel, tak fyzická osoba podnikající (OSVČ).
  2. Zpracování osobních údajů je jakákoliv operace s osobními údaji, ať už nahlížení do nich, jejich úprava (včetně překladu nebo použití k tlumočení), nebo zničení. 
  3. Správce osobních údajů je osoba, která má osobní údaje k dispozici a určuje účely a prostředky nakládání s nimi.
  4. Zpracovatel osobních údajů je osoba, která s údaji nakládá, nerozhoduje však o účelu jejich zpracování. 


Pokud pracujete pro své zákazníky napřímo, v rámci poskytování překladatelských či tlumočnických služeb jste správce i zpracovatel, máte tedy povinnost dodržovat všechna opatření, která zákon ukládá správcům osobních údajů. Pokud vám zakázky zprostředkovává překladatelská agentura, jste pouze zpracovatel, zatímco odpovědnost správce nese agentura, tedy většinou právnická osoba.


Zákonné zpracování osobních údajů

Podmínky zákonného zpracování osobních údajů určuje čl. 6 nařízení:


Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

a)subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

b)zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;

c)zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

d)zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;

e)zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

f)zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.


Pro soudní a “nesoudní” tlumočníky a překladatele jsou relevantní první tři body, s tím, že tolik obávaná povinnost vyřizovat si s každým zákazníkem zvlášť výslovný souhlas se zpracováním osobních údajů v 99 % případů nenastane. Je to totiž to poslední opatření, vyžadované jen v případě zvláštních osobních údajů, s nimiž jako tlumočníci málo kdy přicházíte do styku.


Praxe soudních tlumočníků

Jako tlumočníci jmenování soudy České republiky, svou praxi vykonáváte v rámci zvláštního právního předpisu, což je zákon o znalcích a tlumočnících č. 36/1967 Sb. Vaše činnost se tak kvalifikuje jako zpracování údajů v souladu s právní (neboli zákonnou) povinností, kterou nařízení definuje takto:  


Pokud je zpracování prováděno v souladu se zákonnou povinností, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, mělo by mít toto zpracování základ v právu Unie nebo členského státu. Toto nařízení nestanoví požadavek zvláštního právního předpisu pro každé jednotlivé zpracování. Jeden právní předpis jakožto základ pro více operací zpracování údajů založených na právní povinnosti, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, může být dostačující. Právo Unie nebo členského státu by rovněž mělo stanovit účel zpracování. […] (odst. 45 úvodních ustanovení)


Pokud tedy vyhotovujete ověřené překlady nebo poskytujete ověřené tlumočení, činíte tak v rámci zákona č. 36/1967, který vám mimo jiné nařizuje "zachovávat mlčenlivost o skutečnostech, kterých se [tlumočník] dozvěděl v souvislosti s výkonem své znalecké (tlumočnické) činnosti, a to i po jejím skončení" (§ 10a). Zákazníka tedy stačí informovat o tom, že překlad nebo tlumočení vyhotovíte jako ověřený a v případě pochybností odkázat jej na příslušné paragrafy nařízení o GDPR a zákona o znalcích a tlumočnících. 


Standardní překlady a tlumočení

Pokud nejste soudní tlumočníci nebo pracujete na zakázce mimo režim ověřeného překladu/tlumočení, dokumentace přitom obsahuje osobní údaje fyzických osob, můžete odkázat na odstavec 40 úvodních ustanovení nařízení:


Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě souhlasu subjektu údajů nebo s ohledem na nějaký  jiný legitimní základ stanovený právními  předpisy,  […] mimo jiné i s ohledem na nezbytnost dodržení zákonné povinnosti, která se na správce vztahuje, nebo nezbytnost plnění smlouvy, jejíž stranou je subjekt údajů, nebo za účelem přijetí opatření na žádost subjektu údajů před uzavřením smlouvy.


Je totiž jasné, že pokud vám zákazník svěřuje jakoukoliv dokumentaci obsahující osobní údaje fyzických osob k překladu, musí dojít ke zpracování těchto údajů, aby mohl tento překlad vůbec vzniknout.

Smlouvu nařízení nijak nedefinuje, lze ji tedy vykládat podle NOZ, jako právní jednání dvou nebo více stran, spočívající ve vzájemných a obsahově shodných projevech vůle, které směřují ke vzniku, změně nebo zániku určitých práv a povinností. Smlouva je přitom uzavřena, jakmile si strany sjednaly její obsah. Za smlouvu lze považovat jakoukoliv písemnou nebo ústní komunikaci, kdy jste si se zákazníkem určili charakter, rozsah, cenu a termín plnění. 

Pro jistotu doporučuji nechat klienta podepsat objednávku a souhlas s vašimi obchodními podmínkami. Do svých objednávkových formulářů a obchodních podmínek můžete vložit příslušný odstavec nařízení o GDPR, já to tak v květnu určitě udělám. 


Ve výše popsaných případech výslovný souhlas tedy nejen není potřeba (neposkytuje žádnou ochranu zákazníkových údajů nad rámec smluvní nebo zákonné povinnosti ani vás nijak “nejistí” ve vztahu k zákazníkovi), ale dokonce není žádoucí. Jednou poskytnutý souhlas se zpracováním osobních údajů totiž lze kdykoliv vzít zpět, což je v rozporu s vaší činností: museli byste totiž přestat pracovat na překladu a smazat veškeré podklady a výstupy, například překladatelskou paměť nebo ověřené překlady, jejichž uložení vám mimochodem nařizuje zákon č. 36/1967.


Souhlas se zpracováním citlivých údajů 

Zpracování tzv. citlivých údajů upravuje čl. 9 nařízení o GPDR, kde najdete jejich přesnou definici.


Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.


V případě zpracování těchto údajů je nutné požádat zákazníka o výslovný souhlas. Odborníci doporučují, aby tento souhlas byl písemný, nařízení o GDRP totiž obrací důkazní břemeno v neprospěch zpracovatele: nestačí prokázat, že něco neděláte v rozporu se zákonem, musíte naopak prokázat, že to děláte v souladu s ním. Vlastnoruční podpis na fyzické kopii a zasílání scanu není potřeba, stačí písemné prohlášení zákazníka v e-mailu. 


Výjimku z citlivých údajů představují fotografie, které se nám, soudním tlumočníkům běžně dostávají do rukou jako součást osobních dokladů. Dle odst. 61 úvodních ustanovení nařízení "Zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby." Předpokládám, že při překládání s biometrickým skenerem nepracujete, tento zvláštní souhlas tedy nebude potřeba.


Pokud jde o veřejně přístupné údaje (např. IČ, DIČ či kontaktní údaje osoby), lze je zpracovat bez souhlasu osoby, dbejte však na to, aby účel, za kterým je zpracováváte, odpovídal účelům, pro které byly tyto údaje zveřejněné (např. vystavení faktury nebo zaslání vyhotoveného překladu, nikoliv zasílání nevyžádaných obchodních sdělení). 


Pokud jde o zpracování osobních údajů pro marketingové účely, většina novinek, které legislativa o GDPR přináší, se nás jako překladatelů a tlumočníků netýká. Zpracování údajů zákazníka pro účely přímého marketingu (jakéhokoliv adresného oslovení stávajícího nebo budoucího zákazníka s obchodní nabídkou) se považuje za zpracování prováděné z důvodu oprávněného zájmu (odst. 47 úvodních ustanovení), s tím, že zákazník může kdykoliv vznést námitku proti zpracování jeho osobních údajů pro účely přímého marketingu. Pokud vás toto téma zajímá, sledujte můj blog, brzo se tady objeví článek o technikách přímého marketingu, kde shrnu své zkušenosti v této oblasti a poskytnu vám několik praktických rad.


Zabezpečení údajů 

Zůstaňte v klidu. Nařízení o GDPR nepřináší žádné požadavky na ukládání a zabezpečení osobních údajů, které by byly v rozporu se zdravým rozumem a vaší stávající praxí, pokud samozřejmě nemáte emailový účet na Seznamu a přeložené rodné listy neposíláte přes Úschovnu. V rámci nařízení se totiž uplatňuje princip tzv. best practice, tedy nejlepších možných opatření, které odpovídají účelu zpracování dat.


Ochrana papírových dokumentů

Přístup k dokumentaci smí mít jenom osoba, která je správcem osobních údajů. Nejlepší je tedy pořídit si stůl nebo skříňku se zámkem, zejména pokud pracujete z domova a máte děti nebo další zvědavé rodinné příslušníky. Papírové dokumenty, které už nebudete potřebovat, je potřeba skartovat nebo jiným způsobem znehodnotit, než je vyhodíte do kontejneru. 


Ochrana digitálních dat

Naprosté minimum ochrany dat, nehledě na jakékoliv zákony, jsou zabezpečení počítače heslem a pořádný antivirus a firewall. Pro ukládání a ochranu hesel a kódů si zřiďte systém řízení přístupových hesel, například od Avastu.


Dalším nástrojem je šifrování disku, ať už externího (zejména flešek, které se snadno ztrácejí), interního nebo virtuálního, celého nebo jen některých složek, prostě jakéhokoliv úložiště dat. K vytváření šifrovaných složek používám VeraCrypt. 


Zapomeňte na neplacené e-mailové účty. Jednak to nepůsobí profesionálně, jednak nenabízí potřebnou míru zabezpečení. Emailovou adresu jsem si zřídila na Forpsi a jsem velmi spokojená. K emailovým účtům jsem si přiobjednala šifrování pomocí SSL klíče.


Dalším milníkem ochrany dat je používání placeného cloudu místo cloudového úložiště zdarma. Zatímco oblíbený Google Drive používám spíše na projektovou komunikaci s klienty, k ukládání dat mi slouží placený soukromý iCloud Drive. I Google nabízí placená úložiště. Klíčovým faktorem při výběru cloudového úložiště jsou vlastnická práva k uloženým materiálům a možnost přístupu třetích osob (včetně správce služby). Tyto informace lze najít v obchodních podmínkách dané služby, které se v tomto případě opravdu vyplatí přečíst celé.


Připravujete se nějak na nástup GDPR?