Czy rozgryźliśmy RODO? Wszystko o RODO w firmie transportowej i spedycyjnej – [WYWIAD] z ekspertem
Nieuniknione są ponoć dwie sprawy: śmierć oraz podatki. Do listy należy dopisać także RODO, czyli unijne rozporządzenie o ochronie danych osobowych. Dotyczy firm, które gromadzą i wykorzystują dane osobowe, czyli… praktycznie wszystkich. Z uwagi na charakter i specyfikę funkcjonowania proces wdrażania przepisów jest wyjątkowo pracochłonny i skomplikowany w przypadku przedsiębiorstw z branży TSL. O RODO w firmie transportowej i spedycyjnej zapytaliśmy prawnika z Kancelarii Transportowej Legaltrans Katarzynę Sikorę. Czy polskim przewoźnikom udało się wdrożyć wymagania Rozporządzenia? Jakie dane podlegają ochronie? I wreszcie: jakie kary grożą przedsiębiorcy?
Redakcja: Czym przetwarzanie danych osobowych w branży transportowej różni się od tego procesu w innych branżach?
Katarzyna Sikora: Sam proces przetwarzania danych osobowych w przedsiębiorstwach z branży TSL w części opiera się na zasadach podobnych jak w przedsiębiorstwach z innych branż. Należy jednak w szczególności zwrócić uwagę na rodzaj, zakres oraz cel przetwarzania danych osobowych w branży transportowej – i w tym też zakresie dopatrywać się cech charakterystycznych.
Jednym z pierwszych i najczęściej zadawanych przez klientów i ich pracowników pytań są te związane z możliwością przekazywania danych osobowych kierowców – po wejściu w życie rozporządzenia RODO wielu z nich sprzeciwiało się przekazywaniu ich danych klientom czy kontrahentom! Większość firm nie wymaga już jednak od przewoźników czy spedytorów przekazywania danych kierowców, które wykraczałyby poza zakres zwykłych danych identyfikacyjnych. Ponadto według informacji przekazywanych przez klientów, firmy nie wymagają już przesłania kserokopii lub skanów dokumentów kierowcy w celu dokonania awizacji.
Pracownicy firm z branży transportowej powinni pamiętać, iż to właśnie zakres oraz częstotliwość przetwarzanych przez nich danych osobowych (w tym danych osobowych kierowców) jest często większy aniżeli w innych branżach. Stąd też każdorazowo należy dokonać analizy podstawy i zasadności przekazywanych danych, a także zweryfikować podmiot, któremu dane te są przekazywane, z kolei w sytuacji powierzenia przetwarzania danych osobowych – zawrzeć pisemną umowę powierzenia danych. Skoro mowa o umowach powierzenia danych osobowych: również krąg podmiotów, z którymi takie umowy są zawierane, jest charakterystyczny właśnie dla branży transportowej. Często należą do niego np. podmioty świadczące usługi związane z rozliczaniem czasu pracy kierowców, dostarczaniem i obsługą rozwiązań telematycznych czy chociażby kalibracją tachografów.
Należy także pamiętać, iż dane lokalizacyjne, które w branży TSL przetwarzane są masowo, na gruncie przepisów RODO zostały uznane za dane osobowe, są więc objęte zakresem rozporządzenia. Monitorowanie pojazdów, a więc przetwarzanie danych o lokalizacji, niesie więc za sobą obowiązki, które dotyczą większości przedsiębiorstw z branży transportowej. Ale o tym opowiem za chwilę.
RODO w firmie transportowej
Od momentu wejścia w życie przepisów minęło już trochę czasu. W jakim stopniu branża transportowa opanowała ten temat? Czy nadal jest dużo do zrobienia?
Z perspektywy czasu muszę przyznać, iż zarówno my, specjaliści w zakresie ochrony danych osobowych, jak i klienci, przewoźnicy i spedytorzy, musieliśmy nabrać pokory w podejściu do nowych przepisów o ochronie danych osobowych. Klienci z kolei z biegiem czasu nie tylko przyjęli i zrozumieli, że RODO dotyczy wszystkich przedsiębiorstw z branży TSL, lecz przede wszystkim zaczęli angażować się w proces wprowadzania w przedsiębiorstwach procedur ochrony danych osobowych. Przedsiębiorca, który niejednokrotnie latami pracuje nad rozwojem swojej firmy, a w codziennej pracy zatraca świadomość liczby procesów przetwarzania danych osobowych, które mają miejsce w jego firmie, zaczyna dostrzegać potrzebę wdrażania odpowiednich procedur ochrony danych osobowych, a jednocześnie zyskuje okazję do uporządkowania czy optymalizacji niektórych rozwiązań.
Bez wątpienia jednak w branży transportowej do wykonania wciąż pozostaje wiele pracy w tym obszarze. Wciąż bowiem szereg firm odkłada w czasie czynności związane z dostosowaniem swoich firm do nowych obowiązków. Część z przedsiębiorców skorzystało zaś z gotowych dokumentów, które stanowią w ich opinii pełne „dostosowanie do RODO”.
RODO w firmie transportowej
Dokładnie tak – wiele firm jeszcze w ogóle nie wprowadziło zmian, niektóre zaś dopiero teraz podejmuje czynności niezbędne do wdrożenia postanowień rozporządzenia. Czym ryzykują przedsiębiorcy?
Należy ponownie podkreślić, iż każdy przedsiębiorca z branży transportowej powinien wprowadzić w swojej firmie dokumenty oraz procedury, które będą udowadniać wypełnienie wszystkich obowiązków wynikających z przepisów RODO. Branża transportowa jest branżą, której codzienne funkcjonowanie w znacznej mierze opiera się na przetwarzaniu danych osobowych, trzeba więc podkreślić, iż jeśli dojdzie do naruszenia przepisów RODO, Prezes UODO może zastosować dwa rodzaje sankcji: administracyjne i finansowe. Pomimo tego, iż maksymalna wysokość sankcji finansowych jest powszechnie znana [wynosi do 10 000 000 Euro (20 000 000 Euro w przypadku poważnych naruszeń), w przypadku przedsiębiorstwa jest to 2% (4% w przypadku poważnych naruszeń) jego całego rocznego światowego obrotu z poprzedniego roku], często pomija się możliwość zastosowania sankcji administracyjnej. Należy bowiem pamiętać, iż w przypadku sankcji administracyjnej Prezes UODO może m.in. nakazać czasowe lub całkowite ograniczenie przetwarzania bądź całkowity zakaz przetwarzania danych osobowych, co w przypadku przedsiębiorstw z branży TSL może potężnie zaburzyć, a nawet uniemożliwić prawidłowe funkcjonowanie firmy.
RODO w firmie transportowej
Przedsiębiorcom wydaje się, że wprowadzenie w firmie zmian wynikających z Rozporządzenia RODO to kwestia paru dni. W rzeczywistości temat jest nieco bardziej skomplikowany i wymaga trochę więcej czasu…
Przygotowanie przedsiębiorstwa do stosowania nowych przepisów o ochronie danych osobowych jest w rzeczywistości indywidualnym procesem każdego podmiotu. Wbrew opinii części przedsiębiorców nie polega on wyłącznie na przygotowywaniu wzorów dokumentacji, którą to dodatkowo powielić można wśród pozostałych przedsiębiorstw – bądź co bądź przecież z tej samej branży. Dlatego też warto uświadomić sobie, że proces przystosowywania przedsiębiorstwa do przepisów o ochronie danych osobowych należy każdorazowo rozpocząć od analizy rodzaju oraz zakresu danych osobowych przetwarzanych wewnątrz przedsiębiorstwa, wraz z próbą określenia sposobu, celu oraz podstawy prawnej tego przetwarzania. Jak pokazuje bowiem nasze dotychczasowe doświadczenie, dopiero po dokonaniu tych czynności zasadne jest przystąpienie do przygotowywania części dokumentacji, wśród której na szczególną uwagę zasługuje rejestr czynności przetwarzania. Zawarte są w nim m.in. informacje o tym, jakie dane, w jakim celu oraz w oparciu o jakie podstawy prawne zbieramy, a także jakich kategorii osób dotyczą. Rzetelnie sporządzony rejestr będzie więc dokumentem, który z jednej strony pozwoli usystematyzować czynności przetwarzania danych, stanowiąc jednoczenie pomocne narzędzie do wprowadzenia dalszych procedur oraz tworzenia pozostałej dokumentacji. Podobnie jest z polityką ochrony danych osobowych lub też polityką bezpieczeństwa, która powinna stanowić dokument kompleksowy, obejmujący wszystkie zasady i procedury przetwarzania danych wraz ze wskazaniem sposobu ich przetwarzania, a także wykorzystywanych w tym celu systemów informatycznych. Trudno więc wyobrazić sobie, aby miał to być dokument uniwersalny, tożsamy dla każdego przedsiębiorstwa! Reasumując, pomimo tego, iż na pierwszy rzut oka część firm z branży TSL charakteryzuje się podobnymi procesami przetwarzania danych osobowych, do każdego z nich należy podejść indywidualnie.
RODO w firmie transportowej
A jakie powinny być pierwsze kroki przedsiębiorcy po zrealizowaniu przez Państwa, jako kancelarii prawnej, wymagań rozporządzenia w firmie transportowej?
Po dokonaniu analizy rodzaju oraz zakresu danych osobowych przetwarzanych wewnątrz przedsiębiorstwa, określeniu sposobu, celu oraz podstawy prawnej przetwarzania, a także przygotowywaniu rejestru przetwarzania danych, przewoźnik powinien przystąpić do realizacji obowiązków wynikających z rozporządzenia RODO względem swoich pracowników, usługodawców oraz usługobiorców. Istotną kwestią, którą należy uregulować w pierwszej kolejności, są więc procesy związane z przetwarzaniem danych osobowych kandydatów do pracy i pracowników. W tym celu należy sprawdzić aktualność klauzul, które do tej pory były zamieszczane w ogłoszeniach o pracę, oraz dołączyć tzw. obowiązek informacyjny. Kolejną ważną czynnością jest przegląd dotychczasowej dokumentacji pracowniczej, w tym akt osobowych, oraz usunięcie lub anonimizacja dokumentów, które nie powinny się w nich znajdować (jak np. kserokopie dowodów osobistych). Ponadto względem pracowników należy spełnić również obowiązek informacyjny, dzięki któremu dowiedzą się nie tylko, jakie uprawnienia im przysługują, lecz przede wszystkim, jaki jest zakres, cel i podstawa przetwarzania ich danych osobowych. Powyższe nabiera w branży TSL doniosłego znaczenia praktycznego z uwagi na przekazywanie danych kierowców, czy to w celach wykonywania zlecenia transportowego/ spedycyjnego, awizacji, czy też przetwarzania danych o lokalizacji – odpowiednio skonstruowany obowiązek informacyjny powinien rozwiać wątpliwości kierowców co do legalności przetwarzania ich danych. Ważną kwestią jest także przygotowanie upoważnień, które będą regulowały zakres dostępu konkretnych pracowników do określonych danych oraz sposób ich przetwarzania, a także odpowiedzialność za przestrzeganie wprowadzonych procedur bezpieczeństwa. Celem usystematyzowania wprowadzonych zmian oraz procedur zalecane jest także przeprowadzenie instruktażowego szkolenia stanowiskowego.
Kolejnym ważnym z punktu widzenia przedsiębiorcy z branży TSL obowiązkiem nałożonym przez RODO jest weryfikacja zewnętrznych usługodawców. Zanim bowiem administrator przekaże dane osobowe do przetwarzania firmie zajmującej się księgowością, rozliczaniem czasu pracy kierowców, telematyką czy windykacją należności, powinien zweryfikować, czy podmiot ten zapewnia przewidziane przez RODO standardy bezpieczeństwa w zakresie przetwarzania danych osobowych. Następnie należy z takim podmiotem zawrzeć umowę powierzenia przetwarzania danych, która powinna zostać zawarta w formie pisemnej lub elektronicznej. Umowa musi określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora oraz procesora (podmiotu przetwarzającego).
RODO w firmie transportowej
A jakie są obowiązki firmy wobec klientów?
Jeżeli zaś chodzi o klientów, najważniejsza jest realizacja oraz możliwość wykazania realizacji obowiązku informacyjnego związanego z rodzajem, zakresem i celem przetwarzania ich danych osobowych wraz ze wskazaniem podstawy prawnej tego przetwarzania, okresu przetwarzania danych oraz uprawnień, które na gruncie RODO przysługują osobie, której dane dotyczą. Ponadto każdorazowo należy wskazać także dane kontaktowe do administratora danych lub inspektora ochrony danych osobowych – jeżeli taki został powołany. Z perspektywy przedsiębiorców z branży transportowej wykonujących lub zlecających przewozy międzynarodowe istotnym jest także ustalenie wszystkich państw, do których w ramach realizacji przewozów dane osobowe są przekazywane. Jeżeli bowiem przedsiębiorca przetwarza dane osobowe, które są przekazywane do tzw. „państwa trzeciego”, według przepisów faktycznie może to robić tylko, jeśli spełni określone przepisami rozdziału V RODO warunki, takie jak np. zgoda osoby, której dane dotyczą, lub też zastosowanie tzw. klauzul umownych zatwierdzonych przez Komisję Europejską.
Po dokonaniu analizy procesów przetwarzania danych wewnątrz przedsiębiorstwa, przeprowadzeniu inwentaryzacji systemu informatycznego, utworzeniu rejestru czynności przetwarzania, wprowadzeniu konkretnych procedur oraz środków technicznych i organizacyjnych zapewniających odpowiednią ochronę przy przetwarzaniu danych osobowych, czynności te należy ponadto usystematyzować w polityce ochrony danych oraz instrukcji zarządzania systemem informatycznym – stanowiącej kompleksowy dokument lub dokumenty urzeczywistniające wprowadzenie w przedsiębiorstwie procesu ochrony danych osobowych.
RODO w firmie transportowej
Problematyczną kwestią okazuje się także wspomniane przez Panią korzystanie z lokalizatorów GPS. Czy nowe przepisy wpływają w jakiś sposób na tę kwestię?
Jak wiadomo, na gruncie RODO dane lokalizacyjne zostały uznane za dane osobowe. Do tej pory w kontekście RODO oznaczało to więc dodatkowe obowiązki nałożone na przewoźników wykorzystujących lokalizatory oraz systemy typu GPS, w tym w szczególności obowiązek informacyjny względem swoich pracowników. Ostatnimi czasy sytuacja ta jednak nabrała na znaczeniu, w szczególności w przypadku przewoźników wykonujących przewozy towarów wrażliwych. Dnia 1 stycznia 2019 roku zakończył się bowiem okres przejściowy na dostosowanie się przewoźników do zmian wprowadzonych na mocy Ustawy o zmianie ustawy o systemie monitorowania drogowego i kolejowego przewozu towarów z dnia 15 czerwca 2018 r (Dz.U. z 2018 r. poz. 1539), tzw. „SENT GEO”. Obowiązujące przepisy za brak lub niewłaściwe korzystanie z urządzeń geolokalizacyjnych przewidują kary pieniężne, przy czym sankcje mogą zostać nałożone zarówno na przewoźników, jak i kierowców. Powyższe stanowi bezpośrednią przyczynę wzrostu liczby przewoźników wykorzystujących geolokalizatory GPS, przetwarzających więc dane lokalizacyjne.
RODO w firmie transportowej
Czy wdrożenie wymagań Rozporządzenia RODO jest łatwe dla specjalizującej się w tym firmy?
Moje doświadczenie pokazuje, iż aby móc ocenić, czy wdrożenie w firmie wymagań wprowadzonych przepisami RODO będzie procesem „łatwiejszym”, czy też bardziej wymagającym dla osoby bądź zespołu, który ma ten proces przeprowadzić, konieczna jest szczerość przedsiębiorców wobec samych siebie oraz zespołu, z którym współpracują. Jak podkreślałam wcześniej, proces wdrożenia nowych przepisów o ochronie danych osobowych każdorazowo powinien być indywidualnie przygotowany i dostosowany do potrzeb oraz specyfiki danego przedsiębiorstwa. To, czy jest on więc dłuższy, czy krótszy, mniej lub bardziej skomplikowany, zależy każdorazowo od specyfiki, rodzaju i zakresu przetwarzanych danych oraz narzędzi służących do ich przetwarzania.
RODO w firmie transportowej
A czy wprowadzenie regulacji w dużej firmie transportowej, z setkami pracowników i dużym taborem, jest znacznie trudniejsze niż zaimplementowanie postanowień Rozporządzenia w niewielkim, rodzinnym przedsiębiorstwie?
Zdecydowanie tak, a przede wszystkim znacznie bardziej czasochłonne. Wprowadzenie stosownych procedur i dokumentacji każdorazowo uzależnione jest nie tylko od rodzaju, lecz przede wszystkim zakresu i ilości przetwarzanych danych osobowych, a także wykorzystywanych w tym celu systemów i urządzeń. W większych firmach spotykamy się przeważnie z elektronizacją wielu rozwiązań, co wiąże się zaś ze współpracą z informatykami oraz osobami odpowiedzialnymi za środowisko IT. Ponadto w firmie zatrudniającej wielu pracowników sporo czasu należy przeznaczyć na przygotowanie procedur, zaleceń oraz upoważnień stanowiskowych dla konkretnych pracowników.
RODO w firmie transportowej
Czy w swojej współpracy z przewoźnikami w związku z RODO spotkała się Pani z przypadkami, które w jakiś sposób szczególnie zapadły Pani w pamięć?
Od czasu wejścia w życie przepisów RODO także przedsiębiorcy z branży transportowej spotykali się z licznymi absurdami dotyczącymi przetwarzania danych osobowych, o których można by napisać osobny artykuł. W mojej opinii wynika to wyłącznie z nieznajomości oraz niezrozumienia obowiązujących przepisów.
Spotkaliśmy się np. z sytuacjami, w których kierowcy (wcześniej poinformowani o zmianach w przepisach o ochronie danych osobowych oraz którym został przedłożony do podpisania obowiązek informacyjny), nie zapoznając się z treścią otrzymanych dokumentów, po powrocie z trasy zarzucali pracodawcom nieprzestrzeganie przepisów o ochronie danych osobowych, jednocześnie sprzeciwiając się dalszemu przetwarzaniu ich danych osobowych lub też wnioskując o całkowite ich usunięcie – w tym także danych i dokumentów pracowniczych, do których przechowywania pracodawcy są nie tyle uprawnieni, co zobowiązani, a wszystko pod rygorem dokonania zgłoszenia do UODO! Jeżeli zaś chodzi o współpracę z samymi przedsiębiorcami, musimy przyznać, iż jesteśmy zaskoczeni, a zarazem dumni ze świadomości, którą wykazali i wciąż się wykazują. W niektórych przypadkach jedynie potwierdzamy czy uzupełniamy samodzielnie wprowadzane rozwiązania z fizycznym zabezpieczeniem obszaru przetwarzania danych lub pomagamy w przygotowaniu stosownej dokumentacji bądź udzielamy bieżącego wsparcia merytorycznego.
Zdarzyła się również sytuacja, w której nasz zespół spotkał się z wrogością ze strony przedsiębiorcy postrzegającego nas jako ludzi, którzy chcieli wprowadzić kompletnie niepotrzebne nikomu rozwiązania. Kierować miała nami wyłącznie chęć wyłudzenia pieniędzy! Taka postawa przedsiębiorcy wynikała jednak wyłącznie z nieznajomości i niezrozumienia przepisów, zaś sama sytuacja była jednostkowa.
RODO w firmie transportowej
Zakładam, że Rozporządzenie RODO to pewnego rodzaju wyzwanie również dla kancelarii prawnych, które zajmują się jego wdrażaniem w firmach transportowych. Czy czuli się Państwo odpowiednio przygotowani na 25 maja 2018 r.?
Jako osoby specjalizujące się przede wszystkim w zakresie ochrony danych osobowych już dużo wcześniej rozpoczęliśmy szkolenia, które miały na celu nie tylko zapoznanie się z przepisami RODO, lecz przede wszystkim zrozumienie celu wprowadzanych przepisów oraz zmianę w naszym dotychczasowym podejściu do ochrony danych osobowych. Później zaś nastąpił okres rozmów i konsultacji ze specjalistami z innych działów kancelarii, tak aby pozyskaną wiedzę z zakresu ochrony danych osobowych jak najbardziej dostosować do specyfiki i potrzeb przedsiębiorców z branży TSL. Uważam jednak, że to właśnie konsultacje ze specjalistami kancelarii transportowej oraz współpraca z doświadczonymi w branży klientami spowodowała, iż pomimo ówczesnego braku niektórych wytycznych czuliśmy się odpowiednio przygotowani na rozpoczęcie i realizację wdrażania nowych rozwiązań w firmach transportowych i spedycyjnych naszych klientów.
Dziękujemy za rozmowę!
Komentarze
Na razie nie ma komentarzy
Twój komentarz
Jeśli chcesz napisać komentarz, zaloguj się:
lub zarejestruj się.