7 minute read
Naruszenia ochrony danych osobowych w praktyce branży TSL
from 15 Czas na transport
by Inelo
Przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 165/2014 w sprawie tachografów stosowanych w transporcie drogowym i uchylające rozporządzenie Rady (EWG) nr 3821/85 w sprawie urządzeń rejestrujących stosowanych w transporcie drogowym oraz zmieniające rozporządzenie (WE) nr 561/2006 Parlamentu Europejskiego i Rady w sprawie harmonizacji niektórych przepisów socjalnych odnoszących się do transportu drogowego, a także przepisy prawa polskiego, m.in. art. 25 ustawy z dnia 16 kwietnia 2004 r. o czasie pracy kierowców (Dz.U. 2019 r. poz. 1412 tj.), regulują kwestie użycia przez firmy z branży transportowej tachografów, które to pozwalają na ewidencjonowanie czasu pracy kierowców zgodnie z przepisami prawa krajowego i unijnego. Należy w tym miejscu uczulić Administratorów z branży TSL, iż w kontekście konieczności wykorzystania przez branżę transportową tego rodzaju urządzeń na Administratorze, zgodnie z art. 48 ustawy z dnia 5.07.2018 r. o tachografach (Dz.U.2020.900 t.j.), ciąży obowiązek zabezpieczenia danych pobranych z tachografu cyfrowego i karty kierowcy przed ich utratą oraz dostępem osób nieuprawnionych, a także zapewnia takie przechowywanie danych, aby były one czytelne i uporządkowane. Tym samym Administrator powinien zgodnie z art. 25 RODO zapewnić odpowiednie środki techniczne i organizacyjne celem wdrożenia zabezpieczeń pozwalających na spełnienie wymogów RODO. Brak wprowadzenia zatem odpowiednich zabezpieczeń odczytów z tachografów (w tym tachografów cyfrowych), może doprowadzić do ujawnienia danych osobowych tamże zawartych w postaci tożsamości kierowcy, punktów jego położenia, a zatem danych o lokalizacji, aktywności kierowcy, pomiaru jego czasu, co może stanowić sytuację skutkującą naruszeniem ochrony danych osobowych zatrudnionego u Administratora kierowcy poprzez ujawnienie ww. danych. Zatem, celem zapewnienia ochrony danych osobowych zawartych w pamięci tychże urządzeń, należy wprowadzić zabezpieczenia techniczne i organizacyjne reglamentujące dostęp do danych znajdujących się na tych urządzeniach w postaci np. blokady przedsiębiorstwa, która pozwala na ograniczenie dostępu do znajdujących się na nim danych osobowych. Inna osoba, która nie jest osobą uprawnioną, nie będzie mogła dokonać odczytu zawartych w pamięci tachografu danych.
Advertisement
Obowiązki wynikające z RODO w zakresie danych znajdujących się w listach przewozowych CMR i w związku z identyfikacją kierowców
Art. 4 Konwencji o umowie międzynarodowego przewozu drogowego towarów (CMR) i Protokołu podpisania sporządzonego w Genewie 19 maja 1956 r. traktuje wprost o tym, iż list przewozowy jest dowodem zawarcia umowy przewozu, zaś art. 5 CMR zobowiązuje do jego wystawienia w trzech oryginalnych egzemplarzach podpisanych przez nadawcę i przewoźnika. Art. 6 CMR wskazuje na zakres danych przekazywanych w związku z powyższym procesem przez ww. strony umowy przewozu. Wśród nich znajdują się również dane osobowe w postaci: nazwiska (nazwy) i adresu nadawcy, nazwiska (nazwę) i adresu przewoźnika, nazwiska (nazwy) i adresu odbiorcy. W związku z powyższym, na przedsiębiorcy TSL występującym w roli przewoźnika ciąży odpowiedzialność za należyte przetwarzanie danych osobowych zawartych w liście przewozowym i wprowadzenie zabezpieczeń organizacyjnych i technicznych wynikających z art. 25 RODO. Zatem, w kontekście przetwarzania danych osobowych zawartych we wskazanych powyżej dokumentach, przedsiębiorca z branży TSL w momencie wykonania umowy przewozu powinien wprowadzić zabezpieczenia zapobiegające ujawnieniu danych osobowych zawartych w dokumentach przewozowych osobom niepowołanym. W razie bowiem udostępnienia danych osobowych osobie nieupoważnionej dojdzie do sytuacji wymagającej rozważenia, czy doszło do naruszenia ochrony danych osobowych i jaki skutek odniosło to zdarzenia dla osób, których dane przetwarza w owych dokumentach. Analizując powyższe w relacjach przetwarzania danych osobowych przez podmioty z branży TSL, stwierdzić należy, iż przewoźnik wykonując umowę przewozu i mając dostęp do listu przewozowego, może przetwarzać dane osobowe nadawcy, bądź odbiorcy będących osobami fizycznymi prowadzącymi działalność gospodarczą. Strony takiej umowy bardzo często rozważają zawarcie umowy powierzenia przetwarzania danych osobowych
zgodnie z art. 28 ust. 3 RODO, aby uregulować wzajemne relacje na gruncie RODO. Nie jest to jednak odpowiednia konstrukcja, gdyż każdy z podmiotów występuje tutaj w roli niezależnego Administratora danych zawartych w dokumentach przekazywanych przewoźnikowi w postaci np. listu przewozowego. O zawarciu umowy powierzenia przetwarzania danych osobowych pamiętać jednak należałoby w sytuacji, kiedy np. przewoźnik korzysta z usług wsparcia administracyjnego innego podmiotu w obsłudze procesu obsługi klienta, gdzie dane jego kontrahentów, w tym te zawarte w dokumentach przewozowych są przetwarzane na jego zlecenie. W braku zawarcia umowy powierzenia przetwarzania danych osobowych wówczas, gdy stan faktyczny i prawny wymaga od zleceniodawcy i zleceniobiorcy, aby taka umowa została sporządzona oraz sfinalizowana, w sytuacji kontroli organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „PUODO” z pewnością zostanie to podniesione przez Urząd jako niezgodność z przepisami. Powszechnym zagadnieniem jest również identyfikacja kierowców przez uczestników rynku i przekazywanie danych identyfikujących dany transport pomiędzy klientami oraz spedycjami i przewoźnikami. Zakres danych, z którym mamy często do czynienia to: imię, nazwisko, numer dokumentu tożsamości i nr telefonu kierowcy przekazywane w celu późniejszej weryfikacji danych podczas załadunku lub w celu bezpośredniego kontaktu w ramach realizacji zlecenia. Dla części uczestników rynku wystarczającym i bezpiecznym jest podanie imienia i nazwiska kierowcy oraz numeru pojazdu, który ma realizować przewóz. Co za tym idzie, zgodnie z zasadą minimalizacji danych (czyli niezbędności, adekwatności i stosowności danych osobowych do celów ich przetwarzania) można poddać pod wątpliwość przekazywanie danych osobowych kierowców w postaci numeru dokumentu tożsamości, bądź jak jeszcze gdzieniegdzie numeru PESEL (zwłaszcza, że dane te bywają przesyłane pomiędzy stronami zlecenia drogą mailową otwartym tekstem w treści wiadomości).
Co należy zrobić, jeśli przedsiębiorca uzna, iż doszło do naruszenia ochrony danych osobowych?
W przypadku np. ujawnienia danych osobowych osobie niepowołanej, art. 33 oraz art. 34 RODO nakładają na Administratora obowiązek zgłoszenia naruszenia ochrony danych osobowych. Artykuł 33 RODO nakłada na Administratora obowiązek zgłoszenia naruszenia ochrony danych osobowych PUODO bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Wobec powyższego, każdy Administrator, w tym przedsiębiorca z branży TSL, winien znać i rozumieć definicję naruszenia ochrony danych osobowych, która znajduje się w art. 4 pkt. 12 RODO; która stanowi, iż jest to: „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.” Jeżeli przedsiębiorca po dokonaniu stosowanej analizy i oceny uzna, że w przypadku opisanym powyżej (w kontekście m.in. niewprowadzenia stosownych zabezpieczeń urządzeń, którymi się posługuje świadcząc usługę i ujawnienia danych na nich zawartych), zachodzą obie opisane przesłanki w postaci naruszenia ochrony danych osobowych oraz większego aniżeli małe prawdopodobieństwo, iż naruszenie skutkowało będzie ryzykiem naruszenia praw i wolności osoby, której dane dotyczą, to ma on wówczas obowiązek dokonania zgłoszenia naruszenia organowi nadzorczemu tj. Prezesowi Urzędu Ochrony Danych Osobowych zgodnie z instrukcjami zamieszczonymi na stronie internetowej organu. Jak widać jest sporo sytuacji wokół podstawowych zagadnień istotnych dla praktyki codziennej podmiotów z branży, które mogą mieć swoje konsekwencje na gruncie RODO, a zatem warto mieć na uwadze standardy ochrony danych osobowych prowadząc działalność w sektorze TSL.
KRZYSZTOF MAŁECKI
Założyciel i partner zarządzający agencji digital FFW Communication, a także agencji ochrony wizerunku Re: buzz i firmy SEO Organic Search. Wcześniej manager w działach PR i korporacyjnych HP i Getin Banku. Przez lata zdobywał doświadczenie, realizując złożone projekty komunikacyjne dla branży finansowej, technologicznej, ubezpieczeniowej, FMCG, logistycznej. Zdobywca nagród branżowych i wyróżnień.
REPUTACJA ONLINE
– CZYLI JAK JEDEN WPIS MOŻE ZAWAŻYĆ NA KONTRAKCIE
Często na co dzień nie zdajemy sobie sprawy, jak rewolucja internetowa zmieniła nasze życie i nasze biznesy: systemy zarządzania flotą, aplikacje logistyczne, monitoring pojazdów online – ciężko nam sobie dziś wyobrazić branżę transportową bez tego rodzaju funkcjonalności. Ostatnie 20 lat to niesamowite przyspieszenie i często zredefiniowanie wielu aspektów prowadzenia firmy. Stojące za rogiem technologie 5G w połączeniu z Internet of Things zwiastują kolejne szanse na szybszy rozwój, powiększenie biznesu i skalowalność. Zanim jednak damy się ponieść fali kolejnej rewolucji, warto przyjrzeć się też kilku zagrożeniom, których istnienia czasem możemy nie być do końca świadomi.
Sam o sobie
Kiedyś wszystko było prostsze – jeśli prowadziłeś swój biznes dobrze, twoi klienci byli zadowoleni, zwiększali wartość kontraktów, a czasem szepnęli jakieś dobre słowo na twój temat znajomym, którzy w kolejnym kroku kontaktowali się z tobą. Reputacja biznesowa i opinia na temat twojej firmy pocztą pantoflową przechodziły z osoby na osobę. Internet wiele zmienił. Dziś nadal musisz dobrze robić swoją robotę, ale warto przy okazji zadbać także o kilka elementów online, które uwiarygodnią cię i odpowiednio spozycjonują na rynku. Pominę tu tak oczywiste elementy jak strona internetowa twojej firmy. Dziś to po prostu must have – warto, żeby była responsywna (bo przecież ponad 60 proc. ruchu w sieci to ruch z urządzeń mobilnych) i miała dobrze zrobione SEO, by indeksować się w Google. Zanim twój nowy potencjalny klient rozważy współpracę z tobą, będzie chciał dowiedzieć się o tobie więcej. W pierwszym kroku odwiedzi twoją stronę, ale w kolejnym zerknie też,
