RODO w branży TSL. Jak zwiększyć bezpieczeństwo danych?

25 lipca 2018

Inspektor danych osobowych, podmiot przetwarzający dane, audyt bezpieczeństwa, mapowanie przepływu informacji – to tylko nieliczne z haseł, które od końca maja zaczęły towarzyszyć firmom sektora TSL w ich codziennej pracy. Niestety, RODO to dla wielu przedsiębiorców wciąż spory problem. Szczególnie w przypadku firm transportowych, które codziennie gromadzą i przetwarzają ogromną liczbę danych.

Regulacje związane z RODO nałożyły na firmy transportowe szereg obowiązków związanych z bezpieczeństwem danych osobowych. Przedsiębiorstwa musiały stworzyć specjalne procedury oraz przygotować szereg dokumentów związanych z bezpieczeństwem danych. Jak pokazuje praktyka, najtrudniejszym elementem jest kontrola przestrzegania RODO na co dzień.

RODO obejmuje wszystkich

Niezależnie czy jesteś właścicielem dużej firmy transportowej posiadającej setki ciężarówek, czy lokalnym spedytorem – RODO w mniejszy lub większy sposób będzie Ciebie dotyczyło. Regulacje stawiają bowiem w centrum uwagi osobę fizyczną, która może zostać zidentyfikowana bezpośrednio lub pośrednio – nie tylko poprzez imię i nazwisko czy PESEL, ale również poprzez numer rejestracyjny lub identyfikacyjny pojazdu (VIN).

W przypadku firm sektora TSL, jednym z wrażliwych zagadnień jest wykorzystanie danych o kierowcach i lokalizacji. Zbieranie danych osobowych ma jednak związek z uzasadnionym interesem firmy, która poprzez wykorzystanie systemu telematycznego dba zarówno o efektywność biznesu, jak i bezpieczeństwo kierowcy, pojazdu i towaru, co jest istotną informacją w aspekcie RODO.

Dariusz Terlecki, Dyrektor Sprzedaży w TomTom Telematics Polska

Pracownik musi być poinformowany

Aby przetwarzać dane osobowe zgodnie z zapisami RODO, trzeba mieć ku temu ważny powód, a cel wykorzystania musi być wcześniej określony. Najprostszą i najczęściej spotykaną podstawą przetwarzania danych jest zgoda danej osoby. Warto jednak pamiętać, że zgoda ta musi być jednoznaczna, nie może być w żaden sposób wymuszana i może zostać wycofana w każdej chwili. Oprócz wyrażenia zgody istnieją też inne podstawy umożliwiające przetwarzanie danych. W branży TSL najczęściej są nimi „uzasadniony interes” lub „umowne uzasadnienie przetwarzania danych osobowych”. Zgodnie z tym pierwszym, właściciel floty może monitorować i zbierać dane na temat paliwa po to, aby sprawdzać, czy nie dochodzi do nadużyć lub kontrolować dane dotyczące prędkości i lokalizacji w celu ochrony zdrowia i bezpieczeństwa kierowców. Z kolei „umowne powody przetwarzania danych” oznaczają na przykład konieczność wykorzystywania danych telematycznych w celu rejestrowania czasu rozpoczęcia i zakończenia pracy kierowców. Powody te mogą być uwzględnione w umowie o pracę. Niezależnie od przyczyny zbierania danych, musimy pamiętać, że osoba, której dane są przetwarzane, musi zostać o tym poinformowana oraz wyrazić na to zgodę.

Segregator w szafie, czy system telematyczny?

Niezależnie od tego, czy dane osobowe przechowujemy w formie papierowej, czy cyfrowej – obowiązki są bardzo podobne. Przede wszystkim należy zachować wszelkie procedury związane z dostępem do informacji. – RODO nakłada obowiązek oceny ryzyka i przeprowadzenia audytu związanego z ochroną danych osobowych. Należy więc sprawdzić jak wygląda sytuacja na dziś, zidentyfikować potencjalne zagrożenie oraz opracować plan postępowania w przypadku niewłaściwego wykorzystania danych. Dodatkowo, w przypadku większych firm konieczne jest wyznaczenie tzw. inspektora ds. ochrony danych (DPO) – mówi Dariusz Terlecki.

RODO nakłada obowiązek oceny ryzyka i przeprowadzenia audytu związanego z ochroną danych osobowych. Należy więc sprawdzić jak wygląda sytuacja na dziś, zidentyfikować potencjalne zagrożenie oraz opracować plan postępowania w przypadku niewłaściwego wykorzystania danych. Dodatkowo, w przypadku większych firm konieczne jest wyznaczenie tzw. inspektora ds. ochrony danych (DPO)

Dariusz Terlecki, Dyrektor Sprzedaży w TomTom Telematics Polska

Która forma przechowywania i przetwarzania dokumentów jest bezpieczniejsza? Według eksperta TomTom Telematics, systemy telematyczne, takie jak np. platforma WEBFLEET, przetwarzają dużo więcej informacji i posiadają dużo więcej zabezpieczeń i funkcji, które minimalizują ryzyko naruszeń. W przeciwieństwie do „tradycyjnej” formy segregatora zamkniętego w szafie, ryzyko niepowołanego dostępu do danych jest bowiem dużo mniejsze, a ich codzienna obsługa – wyraźnie łatwiejsza.

Sprawdź, czy Twój system jest bezpieczny

Jak pokazuje praktyka, nie wszystkie dostępne na rynku rozwiązania spełniają kryteria RODO

Producenci rozwiązań telematycznych mieli dużo czasu, aby przygotować się do zmian, jakie weszły w maju. My zaczęliśmy prace nad dostosowaniem systemów już w 2012 roku, tak aby z dniem wejścia w życie ustawy nasi klienci mieli pewność, że nasza platforma działa zgodnie z prawem

Dariusz Terlecki, Dyrektor Sprzedaży w TomTom Telematics Polska

Niestety, wciąż część systemów nie posiada odpowiednich zabezpieczeń lub nie są one zbieżne z zasadami ochrony danych w Unii Europejskiej. Dlatego korzystając z systemu telematycznego lub decydując się na jego zakup, warto sprawdzić kilka elementów, m.in.:

1. Zabezpieczenia systemu – możliwość szyfrowanego logowania, bezpieczny transfer danych;

2. Sposób przechowywania – kontrola nad archiwizowanymi w systemie danymi – m.in. wiadomościami tekstowymi, zamówieniami, danymi dotyczącymi podróży, czy raportami;

3. Kontrola dostępu– możliwość ograniczenia dostępu do danych w zależności od potrzeb informacyjnych pracowników;

4. Certyfikaty bezpieczeństwa – bezpieczeństwo danych powinno być potwierdzone poprzez specjalne akredytacje, takie jak np. ISO/IEC 27001:2013;

5. Ochrona prywatności – dostępność funkcji włączenia i wyłączenia lokalizacji dla kierowców, tak aby mogli używać trybu podróży prywatnej i służbowej.

Niezależnie czy podróże naszych kierowców spisujemy w zeszycie, czy używamy do tego systemu telematycznego, zapewnienie ochrony danych to priorytet. Nowe przepisy określają bowiem nie tylko, co należy zrobić, ale także co grozi w przypadku naruszenia ochrony danych osobowych. Maksymalna grzywna za naruszenie przepisów może wynieść 20 mln euro lub cztery procent obrotu rocznego firmy, w zależności od tego, która z tych kwot jest wyższa.

Dariusz Terlecki, Dyrektor Sprzedaży w TomTom Telematics Polska

Więcej informacji o RODO w branży TSL można znaleźć w poradniku przygotowanym przez TomTom Telematics, dostępnym pod adresem: https://telematics.tomtom.com/pl_pl/webfleet/legal/general-data-protection-regulation/