Ochrona danych osobowych w branży transportowej - zalety procesu wdrażania RODO W ostatnim czasie poruszyliśmy kwestię ochrony danych osobowych w kontekście Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Wielu przedsiębiorców dopiero teraz podejmuje czynności niezbędne do wdrożenia postanowień wyżej wymienionego rozporządzenia w codzienne życie firmy. Przygotowanie się do RODO Czynności składające się na proces związany z przygotowaniem firmy do zmian i określonych niniejszym rozporządzeniem wymogów właściciele firm chcą wprowadzić w ciągu kilku dni. Tymczasem jest to proces czasochłonny, co wzięto pod uwagę określając datę zastosowania przepisów niniejszego rozporządzenia na dzień 25 maja 2018 roku. Z tego powodu podejście do tematu, iż wszystko sprowadza się do przygotowania wymaganych dokumentów może okazać się błędne. Trzeba mieć na uwadze, że w rzeczywistości przygotowanie dokumentów takich jak: klauzula informacyjna, polityka ochrony danych osobowych, rejestr czynności przetwarzania danych i innych, wiąże się z dokonaniem wcześniejszych ustaleń, które są niezbędne do sporządzenia prawidłowej, odpowiadającej rzeczywistości dokumentacji. Dotyczy to także branży transportowej. Zasady implementacji RODO
Nie ma jednego wzoru, który można by było stosować niczym kalkę. Przede wszystkim dotyczy to takich dokumentów jak polityka ochrony danych czy rejestr czynności przetwarzania danych osobowych. W obszarze danej branży mogą występować zbieżne punkty, ale nie oznacza to, że dokument opracowany w przedsiębiorstwie X będzie adekwatny do przedsiębiorstwa Y. Polityka ochrony danych oraz RCPD jest pewnego rodzaju odzwierciedleniem procesów zachodzących w firmie, obowiązujących regulaminów itp. W związku z tym przedsiębiorca chcąc sporządzić wyżej wymienione dokumenty musi przeprowadzić nieraz żmudną pracę, mającą na celu ustalenie: wszystkich procesów przetwarzania danych w firmie (czyli odpowiedzieć na pytanie, jakiego rodzaju czynności przetwarzania danych mają miejsce w firmie), jaka kategoria danych w każdym z tych procesów jest przetwarzana, jaka jest ich podstawa prawna, czy zakres przetwarzanych danych nie wykracza poza zakres danych określonych konkretnym przepisem, czy przetwarzamy dane wrażliwe (na jakiej podstawie), kategorii odbiorców danych, czy następuje transfer do państw trzecich, jak długo dane są przechowywane (wskazać konkretny przepis lub określone zdarzenie), w jaki sposób chronimy dane przed nieuprawnionym dostępem, jakie podmioty zewnętrzne przetwarzają dane osobowe (np. księgowość, podmiot rozliczający czas pracy kierowców, hosting), w jaki sposób niszczone są dane osobowe (procedury, podstawy prawne, podmioty zewnętrzne uprawnione do zniszczenia, jeżeli wynika to z przepisów prawa) itd. W przypadku branży transportowej także zakres danych przekazywanych do państw UE w związku z transportem towarów (np. Austria szerszy zakres danych niż np. Niemcy).
Przykładowo, sama czynność przetwarzania danych w ramach zarządzania pracownikami wiąże się z procesem rekrutacyjnym oraz przetwarzania danych osób już zatrudnionych. Przetwarzanie związane jest w tych przypadkach ze zbieraniem oraz przechowywaniem danych osobowych (akt osobowych pracownika). W tym przypadku konkretny przepis kodeksu pracy określa zakres danych osobowych, jakich pracodawca uprawniony żądać od osoby ubiegającej się o zatrudnienie, są to: imię i nazwisko, imiona rodziców, data urodzenia, adres zamieszkania (adres do korespondencji), wykształcenie, przebieg dotychczasowego zatrudnienia. Pracodawca ma też prawo żądać podania innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, ale tylko wtedy jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. Może także żądać podania numeru PESEL. Jednak zarówno w pierwszym, jak i w drugim przypadku udostępnienie tych danych następuje w formie oświadczenia złożonego przez pracownika, którego te dane dotyczą (Ustawa z dnia 26.06.1974, Dz.U.2018,917, tj. z dnia 16.05.2018 r). Uzyskanie szerszego zakresu danych wymaga już wyraźnej zgody pracownika (dobrowolność), jak również wskazania przez pracodawcę celu ich uzyskania oraz okresu przechowywania, z możliwością cofnięcia zgody w każdym czasie. Wydaje się zasadne opracowanie w tym zakresie stosownych procedur (regulaminów) chroniących interesy obu stron. Sprawdź także nasz artykuł pt. RODO nowe obowiązki także dla branży TSL od 25 maja 2018 r. Branża transportowa a RODO Branża transportowa charakteryzuje się procesami przetwarzania danych osobowych, jakich nie obserwujemy w innych dziedzinach. Choćby nawet spedycja, gdzie ze względów bezpieczeństwa i wyeliminowanie zagrożenia kradzieży towaru podczas załadunku zasadna jest identyfikacja kierowcy. W takich sytuacjach także
mamy do czynienia z przetwarzaniem danych. W praktyce powyższe może wiązać się z przekazaniem przez pracodawcę podmiotowi pośredniczącemu w wykonaniu zlecenia lub samemu zleceniodawcy (odbiorcy) niezbędnych do identyfikacji danych kierowcy (wraz z numerem telefonu). W takich przypadkach dane kierowcy nie zostają przekazane bezpośrednio przez niego, tzn. bezpośrednio przez osobę, której dane dotyczą. Branża transportowa wykorzystuje także tzw. dane telematyczne, pozwalające na ustalenie miejsca znajdowania się pojazdu. Jeszcze inną kwestią są tachografy, z których pobierane są dane w celu rozliczenia czasu kierowcy. Mamy więc do czynienia z przetwarzaniem danych z tachografów, z GPS, nie można zapomnieć też o kalibracji tachografów. Stąd konieczność ustalenia podmiotów zewnętrznych (w tym podmiotem rozliczającym czas pracy), z którymi należy sporządzić umowy powierzenia przetwarzania danych. W trakcie przeprowadzania tego rodzaju inwentaryzacji, sprawdzenia posiadanych zasobów w celu przygotowania firmy do RODO możemy uświadomić sobie potrzebę uregulowania niektórych kwestii organizacyjnych, które do tej pory nie były uznawane za potrzebne bądź nie były nawet dostrzegane. Konieczność wskazania konkretnej podstawy prawnej przetwarzania danych w odniesieniu do określonego procesu przetwarzania motywuje do śledzenia aktualnych przepisów z różnych dziedzin prawa. Jednym słowem, jest to okazja do uporządkowania, usprawnienia lub poprawienia pewnych rzeczy związanych z funkcjonowaniem przedsiębiorstwa. Może się też pojawić konieczność opracowania procedur lub algorytmów postępowania, np. na wypadek kradzieży, uszkodzenia tachografu, utraty lub zniszczenia karty kierowcy (istotny dokument jeśli chodzi o przetwarzanie danych). Podsumowanie Praktyka przyniesie z pewnością wiele pytań odnośnie wdrożenia i stosowania wskazanego na wstępie rozporządzenia. Wynika to ze specyfiki działalności jaką jest branża TSL. Niewykluczone, że powyższe wymusi opracowanie pewnych procedur, składających
się na kodeks branżowy z zakresu ochrony danych osobowych. Wszystko w celu zapewnienia właściwej, skutecznej ochrony danych osobowych i związanych z tym praw jednostki, przy jednoczesnym braku zakłóceń w codziennej realizacji zleceń. Stan prawny na 17.06.2018 PODSTAWA PRAWNA: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.