RODO terminologia zbitki WBI

Informatyk czyta RODO

data wpisu: 2017.05.13 | data publikacji: 2018.05.13

Nieco skonfundowany pojawieniem się Sprostowania GDPR na 23 dni przed wejściem w życie tego arcyważnego rozporządzenia, postanowiłem porównać wersję polską z wersją angielską. Czytałem je jako informatyk, a nie lingwista czy prawnik. I coraz bardziej byłem zdziwiony, że teksty te nie były zweryfikowane przez informatyków – a na początek dotknąłem się tylko definicji kilku podstawowych pojęć.

Rodyści – takie określenie znalazłem na LinkedIn, ale może się to skojarzyć z Parodystą, dlatego proponuję nieco inne określenie.

RODOwiści (aktywiści RODO) od kilkunastu miesięcy, a dokładniej od dnia 27 kwietnia 2016 roku - czytali, analizowali, dyskutowali, prezentowali, szkolili, przestrzegali, a nawet straszyli RODO (rozporządzenie o ochronie danych). Posługiwali się przy tym polskim tłumaczeniem rozporządzenia GDPR (General Data Protection Regulation) i wydawało się, że znali i rozumieli już wszelkie niuanse jego treści, ale nie zauważyli błędu w tłumaczeniu podstawowej definicji: dane osobowe.

Ktoś jednak i to wpływowy musiał to zauważyć i na miesiąc przed oficjalnym, znanym od dawna terminem wejścia w życie rozporządzenia, dorzucił do oficjalnego Sprostowania GDPR również zmianę w polskiej definicji danych osobowych, dodając już archaiczne w polskim języku słowo wszelaki, oznaczające wszelkiego rodzaju, gatunku – gdzie wszelki [wg PWN] jest zaimkiem komunikującym, że to, o czym mowa w zdaniu, dotyczy wszystkich rodzajów obiektów, stanów rzeczy lub sposobów działania, nazywanych przez rzeczownik.

Zacznijmy od pojęcia podstawowego personal data.

Zadajmy sobie pytanie, dlaczego to kluczowe dla RODO pojęcie dane osobowe, jest definiowane w liczbie mnogiej. Przecież w języku polskim mamy poprawne pojęcie dana osobowa, a tylko w języku angielskim, ze względu na istnienie data w liczbie zarówno pojedynczej (pol. dana) i mnogiej (pol. dane) nie możemy twierdzić, czy w GDPR, dla personal data jest do definicja pojęcia w liczbie mnogiej czy pojedynczej. [1]

Już na boku pozostawię dodatkowe pytanie dlaczego są to dane osobowe, a nie dane osobiste? W tłumaczeniu Google’a mamy bowiem:

Myślę, że tutaj może być dobre pole popisu dla prawników, próbujących wykazać, że naruszono dane osobiste tej osoby, ale nie jej dane osobowe – lub odwrotnie zależnie od potrzeby procesowej.

W tym wypadku niedokładnego tłumaczenia podstawowej definicji nasuwa się pytanie, kto i w jakim języku przygotowuje treść dokumentu unijnego i potem kto weryfikuje jego tłumaczenie na 24 języki. Domniemywam, że tłumacze unijni ułatwiają sobie pracę, korzystając z automatycznego tłumaczenia Google’a, ale też wiemy, że ten tłumacz Google’a uczy się tłumaczyć właśnie na tekstach unijnych, gdzie ma świetny materiał wzorcowy w 24 językach.

Pozwolę sobie tutaj przywołać dobrze znaną opowiastkę o tym skąd kiedyś Hejnalista z Wieży Mariackiej wiedział kiedy ma grać sygnał na 12:00 w południe? Idąc do pracy przechodził obok Zegarmistrza na Floriańskiej i regulował swój zegarek według stojącego tam w witrynie zegara. A według czego regulował ten zegar Zegarmistrz? A według hejnału z Wieży Mariackiej.

Ale też doceniając ciężką pracę tłumaczy zachęcam do zapoznania się z zamieszczonym na tej witrynie esejem  Terminologia po BREXIT, gdzie analizuję bazę IATE zawierającą tłumaczenia wielu terminów - a używaną przez tłumaczy unijnych. 

Elementy tłumaczenia pojęć w treści rozporządzenia

Dalej będę się posługiwać następującymi oficjalnymi dokumentami:

W rozporządzeniach unijnych w definiowaniu pojęć stosowane są dwa standardowe wzorcowe zapisy w wersji angielskiej, które jednolicie powinny być tłumaczone na język polski:

Powyższe dodatkowo sprawdziłem na tekście innego rozporządzenia – o produktach kosmetycznych .

  Teraz przeczytajmy defincję pojęcia personal data 

 

 EN95 (a) 'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;
 PL95 a) "dane osobowe" oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("osoby, której dane dotyczą"); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;
 EN16 1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
 PL16 1) „dane osobowe” oznaczają [wszelkie] informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Proszę zauważyć, że angielska definicja personal data nieco zmieniła się, gdyż zamiast shall mean any wpisano means any.  W ten sposób wrócono do standardu means any … – oznacza każdą … Polscy tłumacze tego nie zauważyli i ten błąd będzie się powielać w zapisie ustawy oraz w tysiącach rozważań prawnych. Takiej zmiany - usunięcia shall - dokonano we wszystkich przypadkach jej występowania. 

Z innych ułomności tej definicji, to:

Ale też wpisywanie do definicji przykładów danych osobowych nie jest dobrym pomysłem, gdyż coraz to mogą się rodzić pytania o inne informacje czy są daną osobową – ja mam na przykład pytanie czy numer dowodu osobistego jest daną osobową – proszę to sprawdzić z ustawą o dowodach osobistych.

Dlatego też proponuję skróconą wersję definicji danej osobowej:

dana osobowa” oznacza każdą informację, która samodzielnie lub w połączeniu z innymi danymi osobowymi pozwala zidentyfikować tożsamość osoby fizycznej oraz określić jej cechy.

 Zajmijmy się następną definicją - przetwarzanie

 

 EN95  (b) 'processing of personal data' ('processing') shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;
 PL95  b) "przetwarzanie danych osobowych" ("przetwarzanie") oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;
 EN16  2) ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;
 PL16  2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

W wersji angielskiej z EN95 na EN16 również zastąpiono shall mean any standardowym określeniem means any oraz ograniczono definiowany termin do processing.

Proszę zauważyć, że w tym przypadku shall mean any  operation w PL16 nie przetłumaczono na wszelaką operację, tylko każdą operację.

W PL16 krytyce poddaję tłumaczenie: zestaw informacji oraz zestaw danych. W tym bowiem przypadku mamy operację lub zbiór operacji wykonywanych na danych osobowych lub na zbiorach danych osobowych. Łatwo tutaj stwierdzić, że pojęcie dane osobowe odnosi się do jednej osoby, a zbiór danych osobowych dotyczy wielu osób i takich zbiorów może być wiele. W kontekście przetwarzania trudno mówić o zestawach, gdyż jest to w tym przypadku niezrozumiałe.

Mało praktyczne jest też wymienianie rodzajów operacji przetwarzania, gdyż sam termin przetwarzanie już dobrze i wystarczająco określa wszystkie możliwe rodzaje operacji na danych. Co więcej w tej wyliczance brakuje takich operacji, jak: gromadzenie, zapisywanie, konsolidowanie, archiwizowanie, sortowanie, porównywanie, zestawianie, kompresowanie, itd… -

Proponuję skróconą wersję tej definicji:

„przetwarzanie” oznacza operację lub zbiór operacji wykonywanych na danych osobowych lub zbiorach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.

 Definicja – system archiwizacji

 

 EN95  (c) 'personal data filing system' ('filing system') shall mean any structured set of personal data which are accessible according to specific criteria, whether centralized, decentralized or dispersed on a functional or geographical basis;
 PL95  c) "zbiór danych" ("zbiór") oznacza każdy uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, scentralizowanych, zdecentralizowanych lub rozproszonych funkcjonalnie lub geograficznie;
 EN16  (6) ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;
 PL16  6) „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

Filing system jest systemem archiwizacji (w niezautomatyzowanej formie są to szafki z uporządkowanymi dokumentami, odpowiednio pooznaczane) jako szczególnym rodzajem zbioru danych, gdyż jest uporządkowanym zbiorem danych osobowych – a nie zestawem. Raczej należy przyjąć definicję:

„system archiwizacji” oznacza dowolny uporządkowany zbiór danych osobowych, dostępnych według określonych kryteriów, niezależnie czy jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie oraz geograficznie.

Na koniec zajmiemy się jeszcze administratorem danych oraz podmiotem przetwarzającym.

 

 EN95  d) 'controller' - ....
 e) 'processor' - ...
 PL95  d) "administrator danych" - .... 
 e) "przetwarzający" oznacza
 EN16  7) ‘controller’ .....
 8) ‘processor’ ....
 PL16  7) „administrator” ....
 8) „podmiot przetwarzający” ....

Sprawdzając wersje tej definicji w innych językach – tylko w polskim, bułgarskim, czeskim (správce) angielskie controller przetłumaczono na administrator. Nie zdziwił tłumaczy fakt, że przecież w angielskim istnieje pojęcie administrator, a użyto pojęcia controller.

Zajrzyjmy do słowników: Oxford Dictionary [en] oraz SJP PWN [pl]:

Na pytanie dlaczego w wersji angielskiej użyto controller może odpowiedź przynoszą tłumaczenia na język niemiecki, francuski, hiszpański czy włoski – gdzie przetłumaczono to jako odpowiedzialny. Co prawda administrator też jest odpowiedzialny za to czym administruje, ale gdzie indziej jest położony akcent – nie na zarządzanie danymi osobowymi, a na odpowiedzialne dbanie o dane osobowe. A trzeba dodać, że termin controller jest użyty w GDPR aż 504 razy!

Aż nie chcę zadawać tutaj pytania, czy aby dobrze odczytano w Polsce to rozporządzenie przyjmując obowiązek zarządzania danymi zamiast wzięcia za ich użytkowanie odpowiedzialności?

I jeszcze pojęcie w EN95 i EN16 - processor, przetłumaczone w EN95 jako przetwarzający i niepotrzebnie w EN16 uzupełnione jako podmiot przetwarzający, szczególnie gdy jest to osoba fizyczna oraz w wielu przypadkach nie jest wydzielonym podmiotem.

Konkluzja

Na tym kończę to informatyczne czytanie GDPR oraz RODO. Zdaję sobie sprawę, że jakakolwiek  propozycja poprawienia dzisiaj tego tłumaczenia jest skazana na niepowodzenie. Zresztą według mnie to już GDPR po angielsku powinno było być napisane od początku, po setkach wprowadzonych do niego poprawek. Jest bowiem znacząco przegadane i w wielu miejscach (ze względu na poprawki) mało zrozumiałe. Aż 173 motywów (motions) to stanowczo za dużo do przekazania stosunkowo prostej regulacji:

informacje zbierane od i o obywatelu niezbędne do uzasadnionej z nim relacji muszą być chronione, a następnie na jego życzenie usunięte lub przekazane do innego zbioru – dopuszczalne są wyjątki związane z działalnością i bezpieczeństwem Państwa.

Prawda, że to proste - aha, nie ma mowy o karach. Tak to jest poważny błąd tej definicji.  ;-)

I na koniec – szkoda, że informatyków przy tym nie było, a teraz to oni będą odpowiedzialni, aby zbiory danych osobowych nie wyciekały.

 

[1] Zapraszam do przeczytania: Grzegorz Kowalski, Dana osobowa – czy istnieje lub mogłoby istnieć takie coś?