Systemy telematyczne stosowane przez przewoźników rejestrują wiele informacji o pojazdach i kierowcach w czasie rzeczywistym. W praktyce są to dane lokalizacyjne (GPS), parametry jazdy, zachowanie i aktywność kierowcy czy informacje z tachografów. Przetwarzanie tego rodzaju danych naturalnie rodzi pytanie o RODO w transporcie. Jak w kontekście systemów telematycznych wygląda ochrona danych TSL? Jakie obowiązki wynikają z RODO dla przewoźnika, a z czego powinni zdawać sobie sprawę kierowcy i klienci firm transportowych?
Obowiązki przewoźnika to nie tylko przepisy przewozowe czy ustawa o transporcie drogowym, ale również RODO. Transport, ze względu na to, że sięga po liczne dane osobowe zarówno kierowców, jak i samych klientów, wymaga jednocześnie ochrony takich danych przez firmy TSL, by nie doprowadzić do sytuacji, w których prywatność tych osób zostałaby naruszona.
Zasady postępowania z danymi osobowymi oraz obowiązki wynikające z tego dla przewoźników reguluje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
RODO a transport – czy dane telematyczne to dane osobowe?
Nie ulega wątpliwości, że dane telematyczne, czyli dane rejestrowane przez systemy telematyczne stosowane w firmach transportowych, są danymi osobowymi w rozumieniu RODO.
Rozporządzenie nr 2016/679 w art. 4 pkt 1 definiuje „dane osobowe” jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwą do zidentyfikowania osobą fizyczną jest natomiast osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:
- imię i nazwisko,
- numer identyfikacyjny,
- dane o lokalizacji,
- identyfikator internetowy lub
- jeden bądź kilka szczególnych czynników określających jej tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną.
Z czynnością „przetwarzania danych osobowych” mamy z kolei do czynienia, gdy dochodzi do operacji takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, usuwanie lub niszczenie. Dla RODO nie ma przy tym znaczenia, czy następuje to w sposób zautomatyzowany, czy też nie.
W związku z tym, że w firmach transportowych dochodzi do przetwarzania danych osobowych, przewoźnik pełni rolę administratora danych osobowych, którego zadaniem jest ustalenie celów i sposobów przetwarzania danych osobowych.
Telematyka – prawo ochrony danych TSL
Przewoźnik może przetwarzać dane osobowe kierowców i klientów tylko wtedy, gdy istnieje do tego konkretna podstawa prawna wskazana w art. 6 ust. 1 Rozporządzenia nr 2016/679. Z legalnym przetwarzaniem danych osobowych będziemy mieć do czynienia, gdy m.in.:
- istnieje wyraźna zgoda osoby, której dane dotyczą, na przetwarzanie swoich danych w określonym celu;
- przetwarzanie danych jest konieczne do wykonania umowy (np. przewozu towaru) albo do przygotowania się do jej zawarcia na żądanie klienta;
- przetwarzanie danych wynika wprost z przepisów prawa;
- jest potrzebne do uzasadnionych interesów i celów firmy (np. bezpieczeństwo floty, ochrona mienia), o ile nie narusza to praw i wolności osoby, której dane dotyczą.
Przewoźnik, jako administrator danych osobowych, musi przestrzegać zasad przetwarzania danych osobowych wynikających z RODO. W przepisach (art. 5 Rozporządzenia nr 2016/679) wyodrębniono 6 podstawowych zasad, wskazujących, że dane osobowe:
- trzeba przetwarzać zgodnie z prawem, uczciwie i w sposób zrozumiały dla osób, których one dotyczą. Każdy powinien wiedzieć, co dzieje się z jego danymi;
- zbiera się wyłącznie w jasno określonym i uzasadnionym celu (np. realizacja usługi transportowej). Nie wolno wykorzystywać ich później do innych celów, „przy okazji”;
- przetwarza się tylko w takim zakresie, w jakim jest to naprawdę potrzebne, bez gromadzenia nadmiaru informacji „na zapas”;
- powinny być aktualne i prawdziwe. Jeśli są błędne, trzeba je poprawić lub usunąć;
- można przechowywać tylko tak długo, jak jest to potrzebne do danego celu. Gdy przestają być potrzebne, powinny zostać usunięte lub zanonimizowane;
- muszą być odpowiednio chronione przed wyciekiem, kradzieżą, zniszczeniem czy dostępem osób nieuprawnionych.
Wobec kierowców zawodowych zabronione jest w szczególności przetwarzanie przez przewoźnika ich danych w celach prywatnych czy też włączanie systemu GPS zbierającego dane lokalizacyjne poza godzinami pracy, by rejestrować ich aktywność w czasie wolnym. Natomiast względem klientów firm transportowych należy zwracać szczególną uwagę na m.in. sytuację, gdy ich dane są przekazywane podmiotom trzecim – w tym przypadku klienci powinni zostać o tym wyraźnie poinformowani. Istotne jest też to, by przekazywać wyłącznie te dane, które są konieczne do realizacji usługi (np. adres dostawy, dane kontaktowe), a nie pełne profile klientów.
Obowiązki przewoźnika wynikające z RODO
Podstawowym obowiązkiem przewoźnika jest dbanie o to, by przetwarzanie danych osobowych kierowców i firm było realizowane w sposób zgodny z prawem, a więc, by istniała ku temu podstawa prawna. Ponadto, by było one zgodne z podstawowymi zasadami przetwarzania danych osobowych, takich jak zasada minimalizacji danych, integralności i poufności czy prawidłowości. Wymaga to wdrożenia odpowiednich środków technicznych i organizacyjnych, np.: polityki i procedury ochrony danych, zabezpieczenia systemów informatycznych, kontrola dostępu do danych, szyfrowanie i archiwizacja informacji, zawarcie umów powierzenia przetwarzania danych z dostawcami systemów telematycznych, a także szkolenie pracowników i kierowców z zasad ochrony danych osobowych.
Na tym jednak nie kończą się obowiązki przewoźnika, jako administratora danych osobowych. Jego zadaniem jest również przejrzyste informowanie kierowców i klientów o tym, jakie dane osobowe są zbierane przez firmę, w jakim zakresie i celu oraz na jakiej podstawie prawnej. Powinien on dokonać tego jasno, zrozumiale, w łatwo dostępnej formie i prostym językiem. W związku z tym, że osobie, której dane dotyczą, przysługuje m.in. prawo dostępu do przetwarzanych danych, obowiązkiem przewoźnika jest ułatwienie jej realizacji tych uprawnień oraz udzielanie wszelkich niezbędnych informacji dotyczących przetwarzanych danych osobowych.
Do jednych z kluczowych obowiązków przewoźnika w zakresie RODO należy także wdrożenie odpowiednich rozwiązań, niezbędnych do zachowania bezpieczeństwa przetwarzanych danych osobowych, w szczególności poprzez pseudonimizację i szyfrowanie danych osobowych oraz zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
Gdyby doszło natomiast do naruszenia ochrony danych osobowych, administrator takich danych powinien poinformować o tym incydencie odpowiedni organ nadzorczy – bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Ochrona danych TSL a uprawnienia kierowców i klientów firm transportowych
W odniesieniu do telematyki prawo regulujące zasady przetwarzania danych osobowych nie pomija również uprawnień osób, których dane są przetwarzane – w tym przypadku kierowców i klientów firm transportowych.
Rozporządzenie nr 2016/679 przyznaje im w szczególności prawo do: dostępu do danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych i przenoszenia danych. Co więcej osoba, której dane dotyczą, ma również prawo, by w dowolnym momencie, z przyczyn związanych z jej szczególną sytuacją, wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych, jeśli jest ono realizowane w związku z wykonaniem zadania realizowanego w interesie publicznym lub celem wynikającym z prawnie uzasadnionych interesów administratora.
Nasza kancelaria transportowa LEGALTRANS pomoże Ci opracować regulamin i politykę prywatności dla Twojej firmy transportowej z poszanowaniem praw Twoich pracowników i klientów. Jeśli chcesz mieć pewność, że stosujesz środki techniczne i operacyjne zgodne z aktualnymi przepisami RODO, skontaktuj się z naszym zespołem!
