GDPR

GDPR – hiss eller diss?

7 aug, 2018

Det kan ha undgått få att GDPR, eller egentligen EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), trädde i kraft som svensk lag den 25 maj 2018, och därmed ersatte den gamla PUL – Personuppgiftslagen – från 1998.

– Vem är du? – Jag är GDPR. – Kommer du för att hämta mig? – Om jag har ditt medgivande. – Vem är du? – Jag är GDPR. – Kommer du för att hämta mig? – Om jag har ditt medgivande. / Fotogram ur 'Det sjunde inseglet', en film regisserad 1957 av Ingmar Bergman. Foto: Svensk Filmindustri.

Syftet med den nya lagen är att skärpa dataskyddet för privatpersoner. Närmare bestämt får företag inte registrera personuppgifter (PU) utan personens aktiva samtycke. Registrerade personer kan kräva information om lagrade PU och kan kräva rättelse av PU. Dessutom kan registrerade personer begära radering av PU, men inte kräva det (Skatteverket skulle möjligen ha synpunkter på en sådan begäran).

Rent konkret har alla pukor och trumpeter kring GDPR gett sex till åtta skivor bröd om dagen till åtskilliga översättare vars kunder, efter åratals vetskap om GDPR, plötsligt insåg att en hel del text behöver översättas. Samtidigt har enskilda översättare själva fått huvudbry kring hur de ska förhålla sig till direktivet.

Det är viktigt att vara klar över olika aktörers roller i GDPR-sammanhanget. I samband med ett standarduppdrag 1a är översättaren är PU-biträde (Data processor) gentemot uppdragsgivaren (som är PU-ansvarig – Data controller).

Efter avslutat jobb blir översättaren PU-ansvarig för det eventuellt lagrade materialet, och det är främst här som tveksamhet kan uppstå. Vi översättare är givetvis måna om att behålla alla våra TM ograverade för framtida bruk, förutom att det skulle vara ohyggligt tidsödande att anonymisera/pseudonymisera filer och TM i efterhand. Vid arbete för språkföretag (LSP) är det rimligtvis LSP, i egenskap av PU-ansvarig gentemot den enskilda översättaren, som ska ansvara för att källtexterna anonymiseras/pseudonymiseras efter behov, innan de går till översättning.

GDPR förbjuder inte PU-ansvariga att långtidslagra PU, och sätter inte heller en begränsning för hur länge de får lagras. Men, om någon skulle ifrågasätta att en översättare har PU lagrade i sin dator gäller det att ha en någorlunda rimlig motivering för detta.

Saken har inte prövats rättsligt – och så kommer kanske aldrig att ske – men det är sannolikt att ”kan vara bra att ha” inte skulle räcka så långt i en rättslig avvägning mellan legitima intressen för en översättare och en registrerad person. Spåna hellre fram en motivering i stil med ”Jag ser det som motiverat att behålla TM med översatt material under x antal år i syfte att garantera mina kunder konsekvent och enhetlig terminologi i framtida uppdrag”. Lämpligt är även att komplettera med information  som att:

”Alla TM ligger på krypterade diskar i min dator eller förvaras på Dropbox” (Dropbox och liknande tjänster betraktas som säker förvaring i dessa sammanhang)

”Mina datorer och lagringsmedier förvaras i en kontorslokal som har lås av säkerhetsklass xx och är larmad med koppling till bevakningsföretaget xx”.

PU-ansvarig är under alla omständigheter skyldig att säkerställa och dokumentera att hen uppfyller direktivets krav.

När det gäller sanktionsavgiften för brott mot GDPR har lagstiftaren tagit i ända från tårna – 20 000 000 Euro, eller 4 % av företagets totala årsomsättning (det större av beloppen). Att sådana böter skulle utdömas i praktiken förefaller mindre sannolikt.

SFÖ-medlemmar har tillgång till Jennifer Evans utmärkta GDPR-guide för översättare, se faktarutan. Den kan sammanfattas i all korthet på följande sätt:

Tänk igenom dina rutiner
Höj säkerhetsnivån ett snäpp
Dokumentera dina rutiner
Informera dina kunder
Hitta på en bra motivering till att behålla dokument länge
Skaffa dig inga ovänner

Skapa ett TM och en termbas för GDPR-relaterade texter

1. Gå till https://eur-lex.europa.eu och sök GDPR-direktivet på önskat käll- och målspråk
2. Ladda ner de båda dokumenten (ca 150 sidor vardera) som Word-filer
3. Ta in de båda dokumenten i linjeringsmodulen i ditt CAT-verktyg och kör en linjering. Den kommer att kräva liten eller ingen justering, tack vare EU:s punktregel för rättsakter – exakt samma meningsindelning i alla språkversioner
4. Exportera det linjerade resultatet som en korpus eller direkt till ett TM
5. Öppna termextraheringsmodulen i ditt CAT-verktyg och kör en termanalys
6. Markera de 100–200 vanligast förekommande termerna och exportera dem till en termbas.

Några centrala GDPR-termer

Personal data – Personuppgifter
Data subject – Registrerad
Data controller – Personuppgiftsansvarig
Data processor – Personuppgiftsbiträde
Sub-processor – Underbiträde (nämns ej i GDPR)
Breach – Incident
Safeguards – Skyddsåtgärder
Data protection by design – Inbyggt dataskydd
Data protection by default – Dataskydd som standard
Dokumenthanteringsplan – Data retention and disposal schedule (nämns ej i GDPR)

Mer fakta

SFÖ-medlemmen Jennifer Evans har skrivit en utförlig guide för hur översättare kan förhålla sig till GDPR och ge lagstadgad och relevant information till sina kunder, uppdragstagare och andra intressenter. Det är tillgängligt för SFÖ-medlemmar och kan laddas ner från Interna dokumentwww.sfoe.se när du är inloggad med ditt lösenord

SAMMA FÖRFATTARE +