RODO UNIJNE OGÓLNE ROZPORZĄDZENIE O OCHRONIE DANYCH A FIRMA TOMTOM TELEMATICS

RODO UNIJNE OGÓLNE ROZPORZĄDZENIE O OCHRONIE DANYCH A FIRMA TOMTOM TELEMATICS

25 maja 2018 roku wchodzi w życie unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) . RODO zastąpi istniejące krajowe prawa ochrony prywatności obowiązujące obecnie w 28 państwach członkowskich. Rozporządzenie RODO zastąpi te przepisy prawa i będzie poniekąd stanowić ich „uaktualnioną wersję”, jako że uwzględnia najnowsze opinie i orzeczenia różnych organów regulacyjnych z całej Unii Europejskiej, a także elementy, które mają kluczowe znaczenie w dzisiejszym świecie online, w którym żyjemy. W praktyce oznacza to, że większość wymogów uwzględniają już istniejące prawa, uważamy więc, że wprowadzenie rozporządzenia RODO nie powinno mieć dużego wpływu na codzienne wykonywanie działalności.*

 

Najważniejsze założenia Ogólnego Rozporządzenia o Ochronie Danych Osobowych

Podobnie jak poprzednie przepisy i prawa dotyczące prywatności, rozporządzenie RODO ma na celu ochronę interesów i praw osób fizycznych w sytuacji, gdy ich dane są wykorzystane do różnych celów, co ma umożliwić ich obsługę, oraz w trosce o interesy innych podmiotów w celu zapewnienia korzyści gospodarczych i dobra ogółu. W związku z tym należy zwracać szczególną uwagę na postanowienia RODO w środowisku pracy.

Poniżej prezentujemy kilka ważnych nowych elementów rozporządzenia RODO, które w naszej ocenie wymagają szczególnej uwagi ze strony klientów TomTom Telematics.

Główne zmiany w zakresie nowych przepisów, które wejdą w życie:

  1. Osoba fizyczna, w tym także pracownik, jest w kontekście rozporządzenia RODO w centrum uwagi i głównie na niej koncentrują się przepisy

Podstawowym założeniem rozporządzenia RODO jest zapewnienie ludziom większych możliwości w odniesieniu do ich danych. W końcu dane dotyczące danej osoby stanowią odzwierciedlenie jej tożsamości, zachowań i preferencji — czyli tworzą jej obraz. Zgodnie z postanowieniami RODO osoby fizyczne muszą zostać z wyprzedzeniem w pełni poinformowane o tym, co stanie się z ich danymi: które dane zostaną wykorzystane, a także przez kogo, dlaczego i jak długo będą wykorzystywane. Osoby te muszą też mieć wpływ na wspomniane aspekty, np. poprzez wyrażenie zgody, aktywny kontakt, a także poprzez możliwość zażądania zaprzestania wykorzystywania ich danych, choć w tym kontekście obowiązują pewne ograniczenia.

  1. Odpowiedzialność i podejście oparte na analizie ryzyka

Firma podejmująca decyzje o tym, co spotka dane pozyskane od osób fizycznych, musi wziąć na siebie tę odpowiedzialność i móc udowodnić, że odpowiednie procedury są realizowane w sposób prawidłowy oraz z poszanowaniem praw osób fizycznych i postanowień RODO. Bez względu na to, jakie działania względem tych danych wykonujesz, zawsze musisz brać pod uwagę zagrożenia, na jakie mogą być narażone osoby fizyczne, których te dane dotyczą. Z naszej perspektywy rodzi to potrzebę prowadzenia dokumentacji dotyczącej działań wykonywanych względem danych oraz przyczyn, dla których ich przetwarzanie było konieczne. Zgodnie z rozporządzeniem RODO zostanie wyznaczony (wykonujący czynności w niepełnym wymiarze czasu) Inspektor Ochrony Danych, którego obowiązkiem będzie nadzorowanie spełnienia tego wymogu, jeśli zostanie osiągnięty określony w rozporządzeniu RODO próg (np. jeśli główna działalność firmy zakłada monitorowanie osób na dużą skalę).

  1. Kompleksowa kontrola

W naszej opinii celem rozporządzania RODO jest ujednolicenie poprzednich i rozbieżnych przepisów prawa dotyczących ochrony prywatności obowiązujących na terenie Unii Europejskiej. Z punktu widzenia firm wielonarodowych korzystających z naszych usług, zwłaszcza tych, których pojazdy przekraczają granice, można to uznać za korzyść. Może to także oznaczać, że firmy wielonarodowe wykonujące działalność na terenie Unii Europejskiej będą musiały mieć do czynienia wyłącznie z jednym organem regulacyjnym — działającym na terenie kraju, w którym mieści się siedziba główna firmy. Także osoby fizyczne mogą współpracować z organami regulacyjnymi w swoim kraju.

  1. Surowsze wymogi dotyczące zabezpieczeń

Zgodnie z RODO dane muszą być chronione przed wszelkiego rodzaju nieautoryzowanym użyciem w oparciu o ocenę stopnia wrażliwości danych. Dane związane z lokalizacją uważa się za dane wrażliwe, jako że mogą one ujawnić wiele informacji o danej osobie. W związku z powyższym wymagane jest stosowanie technicznych i organizacyjnych środków bezpieczeństwa mających na celu ograniczenie ryzyka. W przypadku, gdy środki te się nie sprawdzą, skutkiem czego będzie zdarzenie związane z zagrożeniem bezpieczeństwa, w zależności od powagi zdarzenia postanowienia RODO mogą narzucić wymóg powiadomienia władz w ciągu 72 godzin, a także powiadomienia osób, których dotyczą dane, jeśli zdarzenie to może mieć na nie poważny wpływ.

  1. Grzywny

Rozporządzenie RODO zapewnia organom regulacyjnym, czuwającym nad ochroną prywatności, różnorodne uprawnienia wykonawcze. Jednym z nich jest możliwość nakładania grzywien w przypadku braku zgodności z przepisami. Zgodnie z postanowieniami RODO kwoty grzywien mogą sięgać nawet 4% globalnego rocznego dochodu na incydent, zależnie od powagi poszczególnych naruszeń postanowień RODO.

 

Szersze kwestie ujęte w rozporządzeniu RODO zaczerpnięte z obowiązujących wcześniej przepisów.

Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) definiuje dane jako dane osobowe osób na terenie Unii Europejskiej oraz wpływa na wykorzystywanie tych danych w kontekście ich „przetwarzania”, które z kolei obejmuje gromadzenie, przechowywanie, przesyłanie i używanie.

 

Nasza opinia na temat kilku podstawowych zasad określonych w rozporządzeniu RODO, które zostały zaczerpnięte z obowiązujących wcześniej przepisów prawa:

  1. Dane osobowe

Pojęcie danych osobowych ma kluczowe znaczenie dla całej treści rozporządzenia RODO. Zasadniczo pod pojęciem tym kryją się wszelkie dane, które mogą lub mogłyby zostać powiązane z osobą, której tożsamość można zidentyfikować. Kategoria ta obejmuje dane, które można uzyskać w oparciu o unikalne identyfikatory, takie jak numery rejestracyjne pojazdu, numer VIN i/lub inne identyfikatory urządzeń. Naszym zdaniem warto zauważyć, że w kontekście rozporządzenia RODO nie ma znaczenia to, kto byłby w stanie zidentyfikować tożsamość osoby. Jeśli istnieje możliwość zidentyfikowania danej osoby w oparciu o określone dane, to dane te uznaje się za dane osobowe, nawet jeśli identyfikacja w istocie nigdy nie ma miejsca. Naszym zdaniem znajomość czyjegoś imienia i nazwiska nie jest wymagana, by dane dotyczące danej osoby można było uznać za dane osobowe. Należy zauważyć, że posiadanie danych osobowych nie wyklucza ich użycia — narzuca jedynie konieczność zachowania zgodności z rozporządzeniem RODO i spełnienia określonych warunków.

  1. Tylko konkretne, wstępnie określone cele

Rozporządzenie RODO umożliwia wykorzystywanie danych osobowych w co najmniej jednym ze wstępnie zdefiniowanych celów. Cele te muszą być konkretne i jasno określone. Osoba fizyczna musi być w stanie zrozumieć, do czego sprowadza się dany cel. Osoba fizyczna powinna być w stanie odpowiedzieć na pytanie: „czy ten przypadek użycia w istocie odpowiada celowi użycia?”

  1. Przydatność do określonego celu oraz ograniczenia dotyczące rodzaju, ilości i czasu

Rozporządzenie RODO określa dla danych osobowych „normy” odnoszące się do ich rodzaju, ilości oraz czasu przechowywania dostosowane do określonego celu. Oznacza to, że można przetwarzać tylko te dane, w przypadku których jest to niezbędne, i tylko w dozwolonym stopniu i przez dozwolony czas.

  1. Zrozumiałe wyjaśnienie z wyprzedzeniem

Naszym zdaniem przetwarzanie danych osobowych wymaga sporządzenia jasnego, konkretnego i zrozumiałego wyjaśnienia. Powinno ono przypominać podręcznik, a nie umowę. Wyjaśnienie należy, rzecz jasna, przedstawić osobom fizycznym przed rozpoczęciem korzystania z danych, które ich dotyczą, oraz zapewnić możliwość wglądu w nie w późniejszym czasie.

  1. Konieczność spełnienia wymogów legalnego przetwarzania danych

W celu umożliwienia przetwarzania danych osobowych w sposób zgodny z rozporządzeniem RODO wymaga zapewnienia odpowiedniej podstawy prawnej. Istnieje sześć podstaw prawnych umożliwiających przetwarzanie danych.

– Uzyskanie wyraźnej zgody konkretnej osoby na przetwarzanie jej danych w określonym celu

– Wykonanie umowy

– Zapewnienie zgodności z wymogami prawnymi

– Ochrona istotnych interesów osoby, której dotyczą dane, lub innej osoby

– Umożliwienie wykonania zadania w interesie publicznym lub wykonywania władzy publicznej

– Przetwarzanie jest niezbędne ze względu na uzasadniony interes, którego dochodzi administrator danych.

Naszym zdaniem cztery z tych sześciu podstaw prawnych dotyczą firm. Podstawą prawną do przetwarzania danych dla TomTom Telematics mogłaby być, na przykład, wyraźna zgoda właściciela tych danych. Należy pamiętać, że zgodnie z rozporządzeniem RODO nie we wszystkich sytuacjach uzyskanie zgody jest wymagane lub nawet pożądane (dotyczy to zwłaszcza stosunku pracy). Rozporządzenie RODO dopuszcza użycie danych osobowych bez zgody osoby, której one dotyczą, w stopniu, w jakim jest to konieczne w celu wypełnienia warunków umowy zawartej z kontrahentem. Może się także okazać, że istnieje określony przepis prawa, który wymaga użycia danych osobowych. W takich przypadkach uzyskanie zgody na użycie danych nie jest wymagane.

Zgodnie z punktem 6 powyżej, rozporządzenie RODO dopuszcza także przetwarzanie danych osobowych bez pytania o zgodę ich właściciela w przypadku stwierdzenia uzasadnionego interesu. Zwykle dotyczy to wykrycia oszustwa, nadużycia, problemów z bezpieczeństwem i analizy danych biznesowych. Punkt ten może także mieć zastosowanie do środowiska pracy i dotyczyć sytuacji, których nie uwzględnia umowa o pracę, na przykład różnorodnych celów, do jakich wykorzystuje się dane telematyczne. Naszym zdaniem w tych przypadkach należy jednak zgromadzić jedynie minimalną ilość danych wymaganych do danego celu (aby zminimalizować wpływ na prywatność osoby fizycznej) i upewnić się, ze gromadzenie wspomnianych danych przebiega w sposób zgodny z postanowieniami RODO.

 

  1. Prawa osób fizycznych do wglądu w dane, odmowy zgody na gromadzenie danych oraz do poprawiania, usuwania i pobierania/przesyłania danych

Rozporządzenie RODO przyznaje prawa osobom, których dane są przetwarzane. Rozporządzenie RODO daje osobom, których dotyczą dane, możliwość uzyskania dostępu do danych i wglądu w nie oraz możliwość uzyskania ich kopii. Jeśli dane są nieprawidłowe, osoba, której one dotyczą, może zażądać ich poprawienia. Osoby takie mają także prawo uzyskać kopię danych w formatach przeznaczonych do odczytu komputerowego oraz usunąć te dane w przypadku, gdy zostały one zgromadzone i użyte w oparciu o uzyskaną zgodę lub w związku z wykonaniem umowy.

  1. Ochrona poufności, integralności i dostępności danych przy użyciu skutecznych środków bezpieczeństwa

Zgodnie z rozporządzeniem RODO dane osobowe należy zabezpieczyć. Oznacza to, że muszą one być skutecznie chronione przed nieautoryzowanym i bezprawnym dostępem, użyciem i utratą. Zgodnie z rozporządzeniem RODO procedury mające na celu spełnienie tego warunku muszą być realizowane na bieżąco w oparciu o ocenę ryzyka prowadzącą do zastosowania właściwych środków technicznych i organizacyjnych. Wdrożenie i utrzymanie tych środków technicznych i organizacyjnych jest niezbędne do spełnienia tego celu.

 

Role podmiotu przetwarzającego dane i administratora danych określone w Ogólnym Rozporządzeniu o Ochronie Danych Osobowych.

W TomTom Telematics, pomagamy naszym klientom zbliżyć się do swoich kierowców.

Działając na polecenie naszych klientów, jesteśmy podmiotem przetwarzającym dane i w związku z tym gromadzimy przy użyciu naszego sprzętu informacje dotyczące pojazdów i kierowców w ramach realizowania naszych usług z zakresu zarządzania flotą pojazdów. Przetwarzamy te dane i prezentujemy je za pośrednictwem naszych aplikacji, internetowych interfejsów użytkownika i interfejsów aplikacji.

 

Cel przetwarzania danych zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych.

Nasi klienci korzystają z naszych produktów do celów optymalizacji floty. Oto wybrane przykłady i cele ich zastosowań:

– Monitorowanie pojazdów

– Styl jazdy i oszczędność paliwa

– Komunikacja z kierowcą

– Dane tachografu i pozostałe informacje dotyczące czasu jazdy

– Możliwość zarządzania ogromną ilością danych i sporządzania uwzględniających je raportów w celu optymalizacji działalności

– Integracja z rozwiązaniami innych firm

 

Jakie dane gromadzimy i przetwarzamy w imieniu naszych klientów?

– Dane transakcyjne: dane generowane w wyniku korzystania z naszych produktów, ze szczególnym uwzględnieniem urządzeń.

– Dane zarządzane i zawartość tworzona przez użytkowników: dane tworzone przez użytkowników produktów firmy TomTom Telematics.

– Dane agregowane: uwzględniające analizę statystyczną dane pochodne względem danych transakcyjnych.

Na przykład na naszej stronie internetowej gromadzimy dane osobowe w celu nawiązania kontaktu z naszymi klientami — w przypadku tych danych rolę administratora pełni TomTom Telematics.

 

Ochrona danych przez firmę TomTom Telematics, a rozporządzenie RODO.

W firmie TomTom Telematics przeanalizowaliśmy wpływ RODO od 2012 roku, czyli momentu opublikowania pierwszych projektów tego rozporządzenia. Na przestrzeni minionych lat uwzględnialiśmy założenia RODO w swoich procesach rozwoju, a także podczas opracowywania produktów z zakresu telematyki. Dla nas rozporządzenie RODO nie jest żadną rewolucją — to raczej element naszej ewolucji. Aby ułatwić zapewnienie zgodności z postanowieniami tego rozporządzenia, sformułowaliśmy 5 podstawowych zasad projektowych.

Zasady projektowe TomTom Telematics dotyczące przetwarzania danych:

  1. Klient TomTom Telematics na miejscu kierowcy

Firma TomTom Telematics zawsze działa według instrukcji otrzymanych od klienta TomTom Telematics. Dane odnoszą się wyłącznie do klienta i to klient ma pełną kontrolę. Oznacza to, że klient otrzymuje rozwiązanie z możliwością zaawansowanej konfiguracji. Proponujemy różne cele, do jakich można wykorzystać nasze rozwiązania, jednak to klient firmy TomTom Telematics podejmuje ostateczną decyzję co do ich zastosowań oraz dokładnej konfiguracji i obsługi systemu.

  1. Szacunek względem interesów innych partnerów

Nasz system można skonfigurować, tak aby rozpoznawał wielu różnych partnerów o różnych rolach, obowiązkach i możliwościach. Klienci firmy TomTom Telematics mogą na przykład zezwalać kierowcom na rozgraniczanie podróży służbowych i prywatnych, a osoby nadzorujące kierowców mogą zostać objęte ograniczeniami w zakresie widocznych dla nich danych. Wspieramy klientów firmy TomTom Telematics także w zakresie poszanowania praw osób fizycznych, np. w kontekście dostępu do danych oraz ich usuwania przez osoby, których one dotyczą.

  1. Dane i przydatność do celu — nie mniej i nie więcej

Klienci firmy TomTom Telematics mogą na różne sposoby konfigurować ilość gromadzonych danych oraz czas, przez jaki dane te są przechowywane. Aby ułatwić działanie klientom firmy TomTom Telematics, wprowadziliśmy rozsądne wartości domyślne odnoszące się do różnych przypadków użycia, które mają zwykle zastosowanie w ramach działalności naszych klientów flotowych, jednakże klienci firmy TomTom Telematics mogą w dowolny sposób odejść od tych ustawień domyślnych.

  1. Trzeba umieć wyjaśnić, w przeciwnym razie lepiej tego nie robić

Zawsze staramy się mieć pewność, że wszyscy mają świadomość tego, w jaki sposób ich dane są wykorzystywane. W tym celu dostarczamy odpowiednie materiały objaśniające, w tym podręczniki online i materiały szkoleniowe, sporządzone prostym i zrozumiałym językiem.

  1. Ochrona przed niewłaściwym użyciem i wykrywanie jego przypadków

Bezpieczeństwo informacji stanowi dla firmy TomTom Telematics, priorytet. Co roku weryfikujemy zgodność z normami i odnawiamy certyfikację. Najlepszym sposobem postępowania względem naruszeń danych osobowych jest, rzecz jasna, niedopuszczanie do ich wystąpienia. Wypadki jednak się zdarzają, dlatego też firma TomTom Telematics zachęca do wdrożenia starannie przemyślanego systemu reagowania na zdarzenia, który będzie uwzględniać procesy szybkiego powiadamiania i procedury ułatwiające rozwiązanie problemu.

Więcej informacji na temat Ogólnego Rozporządzenia o Ochronie Danych Osobowych.

W razie dalszych pytań dotyczących Ogólnego Rozporządzenia o Ochronie Danych Osobowych prosimy o kontakt tutaj.

Dowiedz się więcej o Ogólnym Rozporządzeniu o Ochronie Danych Osobowych z zasobów Komisji Europejskiej i brytyjskiego Komisarza ds. Informacji (ICO), korzystając z poniższych linków:

Oficjalne zasady i przepisy prawa dotyczące ochrony danych

Uproszczone przedstawienie założeń rozporządzenia RODO dla MŚP

Pytania i odpowiedzi — informacje uzyskane od Komisji Europejskiej

Samoocena — zasoby brytyjskiego Komisarza ds. Informacji (ICO) 

Więcej informacji na temat ochrony, bezpieczeństwa i prywatności danych firmy TomTom Telematics.

W TomTom Telematics, zobowiązujemy się do przestrzegania zasad bezpieczeństwa informacji i ochrony danych. Nieustannie inwestujemy w nasz dział inżynieryjny oraz w wypróbowane technologie, procesy i pracowników, mając na celu dostarczanie naszym klientom najbardziej niezawodnych usług telematycznych, jakie są dostępne na rynku.

Będąc jednym z największych dostawców usług telematycznych na świecie, inwestycje w oferowane przez nas usługi są wyjątkowo ważne. Chcemy mieć pewność, że jesteśmy i będziemy najlepszym partnerem dla Twojej firmy. Dlatego nieustannie wprowadzamy udoskonalenia. Więcej informacji o bezpieczeństwie i prywatności danych w platformie TomTom Telematics można znaleźć tutaj.

 

* WYŁĄCZENIE ODPOWIEDZIALNOŚCI PRAWNEJ: informacje zawarte na stronie internetowej firmy TomTom Telematics są podane wyłącznie do celów informacyjnych i stanowią wyraz naszego stanowiska względem poruszanego tematu. Nie należy rozumieć ich jako porady prawnej dotyczącej omawianego tematu. Ponadto informacje zawarte na stronie internetowej mogą nie odzwierciedlać bieżącego prawnego stanu faktycznego. Nie należy kierować się tymi informacjami bez zasięgnięcia porady prawnej.