Ciężarowe dane osobowe

Transport drogowy 25 maja 2018 r. wejdą w życie przepisy RODO. Firmy mają niewiele czasu na przygotowanie się do wymogów nowych regulacji

Za dwa miesiące przepisy dotyczące ochrony danych osobowych dla wszystkich 28 państw członkowskich będą ujednolicone. Intencją unijnych urzędników było unowocześnienie regulacji o ochronie danych osobowych, które obowiązują od 1995 r. i w dobie postępującej cyfryzacji mają coraz mniejsze zastosowanie praktyczne.

GPS JAK IMIĘ
Zobacz więcej

GPS JAK IMIĘ

Według RODO do danych umożliwiających identyfikację zalicza się również informacja o lokalizacji. Tymczasem przedsiębiorstwa transportowe na szeroką skalę korzystają z satelitarnych systemów lokalizacyjnych. Fot. Bloomberg

Imię, nazwisko i pozycja

Nowe prawo zostało stworzone tak, aby było „technologicznie neutralne”. Co to oznacza? Rozporządzenie nie zawiera żadnych konkretnych wytycznych, jak zabezpieczać dane osobowe. Bo nie dość, że wytyczne te musiałyby być inne dla każdej branży, to jeszcze szybko mogłoby się okazać, że trzeba je na nowo dostosowywać do zmieniających się warunków związanych np. z pojawieniem się jakiejś nowej technologii.

— Aktualna ustawa o ochronie danych osobowych w dobie dzisiejszych technologii jest zupełnie przestarzała. Niezbędne zatem jest dostosowanie prawa do obecnych realiów i ujednolicenia go względem innych krajów UE. Obowiązek wdrożenia RODO dotyczy wszystkich przedsiębiorstw, które wykorzystują lub przechowują dane osobowe. Zgodnie z założeniami, danymi osobowymi są wszystkie elementy, które pomogą zidentyfikować daną osobę. Oczywiście jednym z podstawowych parametrów jest imię i nazwisko, jednak nie tylko. Według RODO danymi umożliwiającymi identyfikację jest również informacja o lokalizacji. A jak wiemy, przedsiębiorstwa transportowe korzystają z danych GPS chociażby w celu prowadzenia ewidencji czasu pracy czy bezpieczeństwa załadunku lub pracowników — mówi Mariusz Hendzel, ekspert Kancelarii Transportowej ITD-PIP.

Lokalizacja jak adres

Wejście w życie przepisów RODO wymaga od przedsiębiorców transportowych sporej kreatywności. Przepisy nie tłumaczą, co należy zrobić krok po kroku. Działania związane z przygotowaniem się do nowych warunków trzeba potraktować niejako „na wyczucie”. Metody zabezpieczania i przetwarzania danych osobowych każdy przedsiębiorca będzie musiał dostosowaćindywidualnie do charakteru swojej działalności.

— Jedną z pierwszych czynności, które powinni wykonać przewoźnicy przed 25 maja, jest przegląd procesów przetwarzania danych osobowych. Zwłaszcza firmy transportowe, które zatrudniają znaczną liczbę personelu, zarówno pracowników administracyjnych, jak i kierowców, powinny dokonać takiego przeglądu. RODO dotyczy bowiem m.in. przetwarzania danych osobowych przez pracodawców, będących administratorami informacji na temat zatrudnionych osób — wyjaśnia radca prawny Mateusz Heinrich, wspólnik w Kancelarii Heinrich Kaczanowski.

Co ważne dla branży transportowej, w RODO zostało wskazane, że „dane o lokalizacji” są przykładem identyfikatora, który pozwala na rozpoznanie osoby fizycznej. Oznacza to, że ustawa zalicza ten rodzaj informacji do danych osobowych podlegających ochronie. Czy wobec tego wszystkie firmy będą rozliczane z położenia swoich pojazdów oraz miejsca pobytu kierowców? — Firmy transportowe, które korzystają z zaawansowanych rozwiązań telematycznych, pozwalających na uzyskanie informacji o dokładnej lokalizacji posiadanych pojazdów, powinny szczegółowo znać procesy przetwarzania danych osobowych przy użyciu tych urządzeń. Ważne by wiedziały, jakiego typu są to dane oraz w jakim celu są pobierane. Od 25 maja pracodawca będzie musiał bowiem spełniać obowiązek informacyjny wobec zatrudnionych kierowców — mówi Kamil Korbuszewski, ekspert GBOX.

Przesłanki legalności

Od momentu wejścia w życie RODO firmy transportowe zostaną zmuszone do informowania pracowników, m.in. o okresie przetwarzania danych osobowych, o ewentualnym fakcie profilowania i jego konsekwencjach. Będą także musiały podać dane kontaktowe do Inspektora Ochrony Danych, jeśli został on przez nie wyznaczony. Zgodnie z zasadą przejrzystości, wszystkie te informacje mają być łatwo dostępne, zrozumiałe oraz sformułowane jasnym i prostym językiem. Jakie jeszcze wymagania będą musieli spełnić przewoźnicy?

— Każda z firm transportowych będzie musiała podjąć decyzję, na której tzw. przesłance legalności przetwarzania danych może się oprzeć w momencie zbierania informacji o kierowcach. RODO w katalogu takich przesłanek przewiduje m.in. zgodę osoby, której dane dotyczą, niezbędność do wykonania umowy lub podjęcia działań przed jej zawarciem, niezbędność do wypełnienia obowiązku prawnego, czy niezbędność do celów wynikających z prawnie uzasadnionych interesów firmy. Kolejną ważną kwestią jest weryfikacja zewnętrznych dostawców usług, w takich dziedzinach, jak: telematyka czy rozliczanie czasu pracy kierowców — wymienia Mateusz Heinrich.

Wybór dostawcy przestrzegającego standardów ochrony danych osobowych, zyska na znaczeniu. Jednym z przepisów RODO, istotnym dla firm transportowych, jest obowiązek weryfikacji usługodawców jeszcze przed powierzeniem im przetwarzania danych. Konieczne jest bowiem, by dostawcy stosowali środki gwarantujące bezpieczeństwo takich informacji oraz ochronę praw osób, których one dotyczą.

— Dlatego ważne jest aneksowanie umów powierzenia danych osobowych. Dotychczas ogólne zapisy o spełnieniu wymogów prawnych w umowach z usługodawcami były wystarczające. Aktualnie trzeba je rozszerzyć między innymi o takie elementy jak środki bezpieczeństwa wymagane na podstawie analizy ryzyka, regulacje dotyczące podwykonawców czy wsparcie w sytuacji naruszenia bezpieczeństwa danych osobowych lub zapytań ze strony właściciela danych. Warto również zapewnić sobie prawo do audytowania podmiotu zewnętrznego, aby mieć możliwość weryfikacji, czy środki bezpieczeństwa zdefiniowane i uzgodnione na etapie podpisania umowy, faktycznie są przez dostawcę realizowane — opowiada Monika Appolt- Bubacz, dyrektor ds. ryzyka z Grupy Raben.

Do najważniejszych zmian należy wprowadzenie odpowiedzialności podmiotu za wyciek informacji, pełnego dostępu do danych i możliwości ich dowolnej edycji, prawa do bycia zapomnianym oraz ograniczenia przechowywania czy określenia celu, w jakim dane są magazynowane.

— Chciałbym jednak uspokoić, bo wdrożenie przepisów płacy minimalnej i systemów do rejestracji pracowników w Niemczech czy też we Francji także skutkowało paniką w branży transportowej, która okazała się nieuzasadniona — podkreśla Mariusz Hendzel.

Sprawdź program konferencji "RODO po 25 maja 2018 - doświadczenia praktyków biznesu", 6-7.06.2018, Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Marcin Bołtryk

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Transport i logistyka / Ciężarowe dane osobowe