Artykuły eksperckie

Rosnące zapotrzebowanie na usługi podmiotów z sektora TSL powoduje, że na rynku pojawia się coraz więcej spedytorów, przewoźników i innych firm zajmujących się koordynowaniem obiegu towarów. Większość z nich przetwarza ogromne ilości danych osobowych zarówno klientów, jak i pracowników. Dlatego tak istotna staje się troska o compliance w zakresie RODO. Co sektor TSL powinien wiedzieć o przetwarzaniu danych osobowych?

Czego dowiesz się z tego artykułu:

• Branża TSL przetwarza duże ilości danych osobowych, którymi należy odpowiednio zarządzać.
• Naruszenie danych osobowych wymaga zgłoszenia incydentu do Prezesa UODO, ale nie w każdym przypadku będzie to niezbędne.
• Kompleksowe wdrożenie RODO wymaga przeprowadzenia audytu, opracowania dokumentacji i procesów orz szkoleń pracowników.

Jakie dane osobowe przetwarza branża TSL?

Branża TSL przetwarza przede wszystkim dane osobowe związane z:

• zatrudnieniem – dane osobowe kierowców, logistyków, dyspozytorów, osób zarządzających transportem,
• realizacją zamówień – dane osobowe klientów organizacji.

W pierwszej kolejności administrator danych osobowych powinien zadbać o legalność przetwarzania tych danych. Konieczne jest spełnienie przynajmniej jednej przesłanki legitymizującej, o których mowa w art. 6 RODO. Z reguły będzie to zgoda osoby, której dane dotyczą, konieczność wykonania umowy przez administratora albo wykonanie obowiązku ciążącego na administratorze z mocy prawa.

Niekiedy administrator danych osobowych będzie mógł też powołać się na przesłankę uzasadnionego interesu, np. w celu monitorowania stanu floty pojazdów, zużycia paliwa, czy zapobiegania nadużyciom związanym z transportem. Rozważając uzasadniony interes, należy jednak pamiętać o teście równowagi, czyli zestawieniu interesu administratora z interesem osoby, której dane dotyczą i dokonanie oceny, czy ingerencja w dane osobowe nie jest w danym przypadku nadmierna.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Jak zadbać o przestrzeganie RODO w branży TSL?

Przetwarzając dane osobowe, administrator powinien pamiętać o realizacji ciążącego na nim obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO. Osoba, której dotyczy przetwarzanie danych, powinna otrzymać informacje dotyczące:

• tożsamości i danych kontaktowych administratora danych i jego przedstawiciela,
• danych kontaktowych inspektora ochrony danych osobowych, jeśli został on powołany,
• celu i podstaw prawnych przetwarzania danych osobowych,
• odbiorcach danych osobowych lub kategoriach tych odbiorców,
• przekazania danych osobowych na terytorium państw trzecich,
• retencji danych osobowych,
• uprawnień przysługującym osobom, których dane dotyczą.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Opracowanie dokumentacji RODO na potrzeby firm z branży TSL

Dokumentacja RODO obejmuje szereg dokumentów, które są niezbędne dla zarządzania danymi osobowymi zgodnie z prawem. Do tych najważniejszych z pewnością należy zaliczyć rejestr czynności przetwarzania danych osobowych, który zawiera kompleksowe informacje o wszystkich procesach przetwarzania danych w organizacji. Określa cel, podstawę, okres retencji, a także sposób ochrony danych.

Konieczne jest też przygotowanie polityki ochrony danych osobowych, czyli dokumentu, który określa m.in. zasady postępowania z danymi, metody ich ochrony, czy działanie rekomendowane w przypadku incydentu.

Do innych dokumentów RODO istotnych z punktu widzenia branży TSL można zaliczyć:

• ocenę skutków dla ochrony danych osobowych (DPIA),
• umowy powierzenia przetwarzania danych, jeżeli wybrane procesy są outsourcowane na inne podmioty (np. firmę zajmującą się przewozem specjalistycznych towarów ADR),
• formularz zgody na przetwarzanie danych osobowych,
• rejestr naruszeń przepisów RODO.

Cała dokumentacja powinna być tworzona w takiej postaci, aby w razie potrzeby dało się ją przekazać do wglądu organowi nadzorczemu.

Nie można zapominać o roli szkoleń personelu w zakresie RODO. Często do incydentu dochodzi właśnie z powodu błędu ludzkiego, nie zaś wadliwie działającego algorytmu. Dlatego warto cyklicznie edukować pracowników. Przedmiotem szkoleń mogą być nie tylko same przepisy, ale także polityka zarządzania danymi osobowymi w miejscu pracy, ochrona przed cyberprzestępczością (np. phishingiem), czy zarządzanie upoważnieniami w organizacji.

Jak zarządzać incydentem RODO w branży TSL?

Każdy incydent w zakresie RODO powinien być odpowiednio obsłużony. W ten sposób administrator danych osobowych nie tylko zmniejsza negatywne skutki zagrożenia, ale także dąży do wykazania zasady rozliczalności i uniknięcia wysokiej kary finansowej.

W pierwszej kolejności należy ocenić, czy incydent powinien zostać zgłoszony organowi nadzorczemu. Zgodnie z art. 33 ust. 1 in media RODO, nie zgłasza się incydentu, jeżeli ryzyko, że naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych jest mało prawdopodobne. Jeśli incydent podlega zgłoszeniu, należy tego dokonać w ciągu 72 godzin od stwierdzenia naruszenia. W przypadku niedochowania terminu zgłoszenie uzupełnia się o wyjaśnienie opóźnienia.

Jeśli do incydentu doszło po stronie procesora, np. przewoźnika realizującego zlecenia na rzecz spedytora, ma on obowiązek niezwłocznie powiadomić o tym fakcie administratora danych, ale sam nie zgłasza uchybienia do Prezesa UODO. Powinien tego dokonać administrator.

Nie należy zapominać, że art. 34 ust. 1 RODO obliguje administratora do przekazania informacji o incydencie również osobom, których dane zostały naruszone, jeżeli incydent może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Teoretyczne można się z tego obowiązku zwolnić, ale administrator będzie musiał wykazać wystąpienie przynajmniej jednej z przesłanek, o których mowa w art. 34 ust. 3 RODO, np. udowodnić, że zawiadomienie wymagałoby niewspółmiernie dużego wysiłku i wystarczający będzie publiczny komunikat lub inny, podobny środek.

Sprawdź również: Kiedy i komu należy zgłaszać naruszenie ochrony danych osobowych?

Jak chronić dane osobowe w branży TSL?

Skuteczne zabezpieczenie integralności i kompletności danych, a także ochrona ich przed modyfikacją wymagają holistycznego spojrzenia na obowiązki administratora. Poza opracowaniem kompletu dokumentacji i szkoleniem personelu duże znaczenie ma implementacja różnego rodzaju zabezpieczeń informatycznych. Warto spojrzeć chociażby na nowoczesne tachografy cyfrowe, które zapisują m.in. imię i nazwisko kierowcy, numer karty kierowcy, miejsce zamieszkania i datę urodzenia. W praktyce stosuje się m.in. następujące rozwiązania:

• szyfrowanie i anonimizacja danych,
• zarządzanie dostępem do rejestrów, w których znajdują się dane osobowe,
• kontrolę pomieszczeń i urządzeń w organizacji,
• zabezpieczenia transmisji danych między urządzeniami.

W zależności od skali przetwarzania danych osobowych administrator może wdrożyć różnego rodzaju zabezpieczenia – od prostych i darmowych algorytmów kryptograficznych, po uwierzytelnianie dwuskładnikowe, czy szyfrowanie AES-256 bitów.

Duże znaczenie mają też regularne audyty w zakresie bezpieczeństwa danych osobowych. Weryfikacja dokumentacji, zabezpieczeń informatycznych i wiedzy pracowników powinna być dokonywana cyklicznie, a także po każdym zdarzeniu, które może skutkować zwiększonym ryzykiem naruszenia danych osobowych, np. podpisanie umowy z nowym dostawcą CRM.

Jakie korzyści płyną z wdrożenia RODO w firmie TSL?

Zasadniczą korzyścią z wdrożenia RODO jest compliance i możliwość uniknięcia sankcji. Dodatkowo transparentne zasady przetwarzania danych osobowych zwiększają zaufanie klientów i kontrahentów.

Jak długo należy przechowywać dokumenty RODO w branży TSL?

Rozporządzenie RODO nie określa w sposób sztywny terminów przechowywania dokumentów, ale należy pamiętać o zasadzie minimalizacji przetwarzania danych i ograniczeniu retencji do minimum. Dla przykładu dokumenty rekrutacyjne przechowuje się przez okres 3 lat z uwagi na możliwe roszczenia związane z dyskryminacją, a zgody marketingowe do czasu wycofania tej zgody przez osobę, której dane dotyczą.

Sprawdź również: Kara za brak wyznaczenia Inspektora Ochrony Danych (IOD)

Wdrożenie RODO w branży TSL – jak możemy Ci pomóc?

Dzisiaj ochrona danych osobowych (i biznesowych) w branży TSL jest ważniejsza, niż kiedykolwiek wcześniej. Kancelaria After Legal świadczy kompleksową obsługę prawną z zakresu RODO dla podmiotów działających w branży transportowej, spedycyjnej i logistyce. Dla naszych klientów:

• przeprowadzamy audyty compliance RODO,
• identyfikujemy bieżące potrzeby organizacji z zakresu danych osobowych,
• opracowujemy komplet dokumentacji na potrzeby RODO,
• szkolimy pracowników i kadrę zarządzającą z zakresu ochrony danych osobowych,
• zapewniamy reprezentację przed organem nadzorczym.