Logowanie do Webfleet
Dział sprzedaży
22 346 00 94
Kontakt
Informacje prawne
Kontakt

Unijne Ogólne Rozpo­rzą­dzenie o Ochronie Danych a firma Webfleet

Pobierz przewodnik

25 maja 2018 roku wchodzi w życie unijne Ogólne Rozpo­rzą­dzenie o Ochronie Danych Osobowych (RODO). RODO zastąpi istniejące krajowe prawa ochrony prywatności obowią­zujące obecnie w 28 państwach człon­kow­skich. Rozpo­rzą­dzenie RODO zastąpi te przepisy prawa i będzie poniekąd stanowić ich uaktu­al­nioną wersję, jako że uwzględnia najnowsze opinie i orzeczenia różnych organów regula­cyjnych z całej Unii Europej­skiej, a także elementy, które mają kluczowe znaczenie w dzisiejszym świecie online, w którym żyjemy. W praktyce oznacza to, że większość wymogów uwzględ­niają już istniejące prawa, uważamy więc, że wprowa­dzenie rozpo­rzą­dzenia RODO nie powinno mieć dużego wpływu na codzienne wykonywanie działal­ności.*

Najważ­niejsze założenia Ogólnego Rozpo­rzą­dzenia o Ochronie Danych Osobowych

Podobnie jak poprzednie przepisy i prawa dotyczące prywatności, rozpo­rzą­dzenie RODO ma na celu ochronę interesów i praw osób fizycznych w sytuacji, gdy ich dane są wykorzy­stane do różnych celów, co ma umożliwić ich obsługę, oraz w trosce o interesy innych podmiotów w celu zapewnienia korzyści gospo­dar­czych i dobra ogółu. W związku z tym należy zwracać szczególną uwagę na posta­no­wienia RODO w środowisku pracy.

Poniżej prezen­tujemy kilka ważnych nowych elementów rozpo­rzą­dzenia RODO, które w naszej ocenie wymagają szczególnej uwagi ze strony klientów Webfleet.

Główne zmiany w zakresie nowych przepisów, które wejdą w życie:

  1. Osoba fizyczna, w tym także pracownik, jest w kontekście rozpo­rzą­dzenia RODO w centrum uwagi i głównie na niej koncentrują się przepisy

    Podstawowym założeniem rozpo­rzą­dzenia RODO jest zapewnienie ludziom większych możliwości w odniesieniu do ich danych. W końcu dane dotyczące danej osoby stanowią odzwier­cie­dlenie jej tożsamości, zachowań i preferencji — czyli tworzą jej obraz. Zgodnie z posta­no­wie­niami RODO osoby fizyczne muszą zostać z wyprze­dzeniem w pełni poinfor­mowane o tym, co stanie się z ich danymi: które dane zostaną wykorzy­stane, a także przez kogo, dlaczego i jak długo będą wykorzy­stywane. Osoby te muszą też mieć wpływ na wspomniane aspekty, np. poprzez wyrażenie zgody, aktywny kontakt, a także poprzez możliwość zażądania zaprze­stania wykorzy­sty­wania ich danych, choć w tym kontekście obowiązują pewne ograni­czenia.

  2. Odpowie­dzialność i podejście oparte na analizie ryzyka

    Firma podejmująca decyzje o tym, co spotka dane pozyskane od osób fizycznych, musi wziąć na siebie tę odpowie­dzialność i móc udowodnić, że odpowiednie procedury są realizowane w sposób prawidłowy oraz z posza­no­waniem praw osób fizycznych i postanowień RODO. Bez względu na to, jakie działania względem tych danych wykonujesz, zawsze musisz brać pod uwagę zagrożenia, na jakie mogą być narażone osoby fizyczne, których te dane dotyczą. Z naszej perspektywy rodzi to potrzebę prowadzenia dokumen­tacji dotyczącej działań wykony­wanych względem danych oraz przyczyn, dla których ich przetwa­rzanie było konieczne. Zgodnie z rozpo­rzą­dzeniem RODO zostanie wyznaczony (wykonujący czynności w niepełnym wymiarze czasu) Inspektor Ochrony Danych, którego obowiązkiem będzie nadzo­ro­wanie spełnienia tego wymogu, jeśli zostanie osiągnięty określony w rozpo­rzą­dzeniu RODO próg (np. jeśli główna działalność firmy zakłada monito­ro­wanie osób na dużą skalę).

  3. Kompleksowa kontrola

    W naszej opinii celem rozpo­rzą­dzania RODO jest ujedno­li­cenie poprzednich i rozbieżnych przepisów prawa dotyczących ochrony prywatności obowią­zu­jących na terenie Unii Europej­skiej. Z punktu widzenia firm wielo­na­ro­dowych korzy­sta­jących z naszych usług, zwłaszcza tych, których pojazdy przekra­czają granice, można to uznać za korzyść. Może to także oznaczać, że firmy wielo­na­rodowe wykonujące działalność na terenie Unii Europej­skiej będą musiały mieć do czynienia wyłącznie z jednym organem regula­cyjnym — działającym na terenie kraju, w którym mieści się siedziba główna firmy. Także osoby fizyczne mogą współ­pra­cować z organami regula­cyjnymi w swoim kraju.

  1. Surowsze wymogi dotyczące zabez­pieczeń

    Zgodnie z RODO dane muszą być chronione przed wszelkiego rodzaju nieau­to­ry­zo­wanym użyciem w oparciu o ocenę stopnia wrażliwości danych. Dane związane z lokalizacją uważa się za dane wrażliwe, jako że mogą one ujawnić wiele informacji o danej osobie. W związku z powyższym wymagane jest stosowanie technicznych i organi­za­cyjnych środków bezpie­czeństwa mających na celu ograni­czenie ryzyka. W przypadku, gdy środki te się nie sprawdzą, skutkiem czego będzie zdarzenie związane z zagrożeniem bezpie­czeństwa, w zależności od powagi zdarzenia posta­no­wienia RODO mogą narzucić wymóg powia­do­mienia władz w ciągu 72 godzin, a także powia­do­mienia osób, których dotyczą dane, jeśli zdarzenie to może mieć na nie poważny wpływ.

  2. Grzywny

    Rozpo­rzą­dzenie RODO zapewnia organom regula­cyjnym, czuwającym nad ochroną prywatności, różnorodne uprawnienia wykonawcze. Jednym z nich jest możliwość nakładania grzywien w przypadku braku zgodności z przepisami. Zgodnie z posta­no­wie­niami RODO kwoty grzywien mogą sięgać nawet 4% globalnego rocznego dochodu na incydent, zależnie od powagi poszcze­gólnych naruszeń postanowień RODO.

Szersze kwestie ujęte w rozpo­rzą­dzeniu RODO zaczerp­nięte z obowią­zu­jących wcześniej przepisów.

Ogólne Rozpo­rzą­dzenie o Ochronie Danych Osobowych (RODO) definiuje dane jako dane osobowe osób na terenie Unii Europej­skiej oraz wpływa na wykorzy­sty­wanie tych danych w kontekście ich „przetwa­rzania”, które z kolei obejmuje gromadzenie, przecho­wy­wanie, przesyłanie i używanie.

Nasza opinia na temat kilku podsta­wowych zasad określonych w rozpo­rzą­dzeniu RODO, które zostały zaczerp­nięte z obowią­zu­jących wcześniej przepisów prawa:

  1. Dane osobowe

    Pojęcie danych osobowych ma kluczowe znaczenie dla całej treści rozpo­rzą­dzenia RODO. Zasadniczo pod pojęciem tym kryją się wszelkie dane, które mogą lub mogłyby zostać powiązane z osobą, której tożsamość można ziden­ty­fi­kować. Kategoria ta obejmuje dane, które można uzyskać w oparciu o unikalne identy­fi­katory, takie jak numery rejestra­cyjne pojazdu, numer VIN i/lub inne identy­fi­katory urządzeń. Naszym zdaniem warto zauważyć, że w kontekście rozpo­rzą­dzenia RODO nie ma znaczenia to, kto byłby w stanie ziden­ty­fi­kować tożsamość osoby. Jeśli istnieje możliwość ziden­ty­fi­ko­wania danej osoby w oparciu o określone dane, to dane te uznaje się za dane osobowe, nawet jeśli identy­fi­kacja w istocie nigdy nie ma miejsca. Naszym zdaniem znajomość czyjegoś imienia i nazwiska nie jest wymagana, by dane dotyczące danej osoby można było uznać za dane osobowe. Należy zauważyć, że posiadanie danych osobowych nie wyklucza ich użycia — narzuca jedynie konieczność zachowania zgodności z rozpo­rzą­dzeniem RODO i spełnienia określonych warunków.

  2. Tylko konkretne, wstępnie określone cele

    Rozpo­rzą­dzenie RODO umożliwia wykorzy­sty­wanie danych osobowych w co najmniej jednym ze wstępnie zdefi­nio­wanych celów. Cele te muszą być konkretne i jasno określone. Osoba fizyczna musi być w stanie zrozumieć, do czego sprowadza się dany cel. Osoba fizyczna powinna być w stanie odpowie­dzieć na pytanie: czy ten przypadek użycia w istocie odpowiada celowi użycia?.

  3. Przydatność do określonego celu oraz ograni­czenia dotyczące rodzaju, ilości i czasu

    Rozpo­rzą­dzenie RODO określa dla danych osobowych „normy” odnoszące się do ich rodzaju, ilości oraz czasu przecho­wy­wania dostosowane do określonego celu. Oznacza to, że można przetwarzać tylko te dane, w przypadku których jest to niezbędne, i tylko w dozwolonym stopniu i przez dozwolony czas.

  4. Zrozumiałe wyjaśnienie z wyprze­dzeniem

    Naszym zdaniem przetwa­rzanie danych osobowych wymaga sporzą­dzenia jasnego, konkretnego i zrozu­miałego wyjaśnienia. Powinno ono przypominać podręcznik, a nie umowę. Wyjaśnienie należy, rzecz jasna, przedstawić osobom fizycznym przed rozpo­częciem korzystania z danych, które ich dotyczą, oraz zapewnić możliwość wglądu w nie w późniejszym czasie.

  1. Konieczność spełnienia wymogów legalnego przetwa­rzania danych

    W celu umożli­wienia przetwa­rzania danych osobowych w sposób zgodny z rozpo­rzą­dzeniem RODO wymaga zapewnienia odpowiedniej podstawy prawnej. Istnieje sześć podstaw prawnych umożli­wia­jących przetwa­rzanie danych.

    1. Uzyskanie wyraźnej zgody konkretnej osoby na przetwa­rzanie jej danych w określonym celu
    2. Wykonanie umowy
    3. Zapewnienie zgodności z wymogami prawnymi
    4. Ochrona istotnych interesów osoby, której dotyczą dane, lub innej osoby
    5. Umożli­wienie wykonania zadania w interesie publicznym lub wykonywania władzy publicznej
    6. Przetwa­rzanie jest niezbędne ze względu na uzasadniony interes, którego dochodzi admini­strator danych.
    Przejdź do zawartości

    Naszym zdaniem cztery z tych sześciu podstaw prawnych dotyczą firm. Podstawą prawną do przetwa­rzania danych dla Webfleet mogłaby być, na przykład, wyraźna zgoda właściciela tych danych. Należy pamiętać, że zgodnie z rozpo­rzą­dzeniem RODO nie we wszystkich sytuacjach uzyskanie zgody jest wymagane lub nawet pożądane (dotyczy to zwłaszcza stosunku pracy). Rozpo­rzą­dzenie RODO dopuszcza użycie danych osobowych bez zgody osoby, której one dotyczą, w stopniu, w jakim jest to konieczne w celu wypełnienia warunków umowy zawartej z kontra­hentem. Może się także okazać, że istnieje określony przepis prawa, który wymaga użycia danych osobowych. W takich przypadkach uzyskanie zgody na użycie danych nie jest wymagane.

    Zgodnie z punktem 6 powyżej, rozpo­rzą­dzenie RODO dopuszcza także przetwa­rzanie danych osobowych bez pytania o zgodę ich właściciela w przypadku stwier­dzenia uzasad­nionego interesu. Zwykle dotyczy to wykrycia oszustwa, nadużycia, problemów z bezpie­czeń­stwem i analizy danych biznesowych. Punkt ten może także mieć zasto­so­wanie do środowiska pracy i dotyczyć sytuacji, których nie uwzględnia umowa o pracę, na przykład różno­rodnych celów, do jakich wykorzy­stuje się dane telema­tyczne. Naszym zdaniem w tych przypadkach należy jednak zgromadzić jedynie minimalną ilość danych wymaganych do danego celu (aby zmini­ma­li­zować wpływ na prywatność osoby fizycznej) i upewnić się, ze gromadzenie wspomnianych danych przebiega w sposób zgodny z posta­no­wie­niami RODO.

  2. Prawa osób fizycznych do wglądu w dane, odmowy zgody na gromadzenie danych oraz do poprawiania, usuwania i pobierania/przesyłania danych

    Rozpo­rzą­dzenie RODO przyznaje prawa osobom, których dane są przetwa­rzane. Rozpo­rzą­dzenie RODO daje osobom, których dotyczą dane, możliwość uzyskania dostępu do danych i wglądu w nie oraz możliwość uzyskania ich kopii. Jeśli dane są niepra­wi­dłowe, osoba, której one dotyczą, może zażądać ich poprawienia. Osoby takie mają także prawo uzyskać kopię danych w formatach przezna­czonych do odczytu kompu­te­rowego oraz usunąć te dane w przypadku, gdy zostały one zgromadzone i użyte w oparciu o uzyskaną zgodę lub w związku z wykonaniem umowy.

  3. Ochrona poufności, integral­ności i dostępności danych przy użyciu skutecznych środków bezpie­czeństwa

    Zgodnie z rozpo­rzą­dzeniem RODO dane osobowe należy zabez­pieczyć. Oznacza to, że muszą one być skutecznie chronione przed nieau­to­ry­zo­wanym i bezprawnym dostępem, użyciem i utratą. Zgodnie z rozpo­rzą­dzeniem RODO procedury mające na celu spełnienie tego warunku muszą być realizowane na bieżąco w oparciu o ocenę ryzyka prowadzącą do zasto­so­wania właściwych środków technicznych i organi­za­cyjnych. Wdrożenie i utrzymanie tych środków technicznych i organi­za­cyjnych jest niezbędne do spełnienia tego celu.

Role podmiotu przetwa­rza­jącego dane i admini­stratora danych określone w Ogólnym Rozpo­rzą­dzeniu o Ochronie Danych Osobowych.

W Webfleet pomagamy naszym klientombyć bliżej spraw swoich kierowców.

Działając na polecenie naszych klientów, jesteśmy podmiotem przetwa­rza­jącym dane i w związku z tym gromadzimy przy użyciu naszego sprzętu informacje dotyczące pojazdów i kierowców w ramach reali­zo­wania naszych usług z zakresu zarządzania flotą pojazdów. Przetwa­rzamy te dane i prezen­tujemy je za pośred­nictwem naszych aplikacji, inter­ne­towych interfejsów użytkownika i interfejsów aplikacji.

Cel przetwa­rzania danych zgodnie z Ogólnym Rozpo­rzą­dzeniem o Ochronie Danych Osobowych.

  1. Nasi klienci korzystają z naszych produktów do celów optyma­li­zacji floty. Oto wybrane przykłady i cele ich zastosowań:
    • Monito­ro­wanie pojazdów
    • Styl jazdy i oszczędność paliwa
    • Komunikacja z kierowcą
    • Dane tachografu i pozostałe informacje dotyczące czasu jazdy
    • Możliwość zarządzania ogromną ilością danych i sporzą­dzania uwzględ­nia­jących je raportów w celu optyma­li­zacji działal­ności
    • Integracja z rozwią­za­niami innych firm
  1. Jakie dane gromadzimy i przetwa­rzamy w imieniu naszych klientów?
    • Dane trans­ak­cyjne: dane generowane w wyniku korzystania z naszych produktów, ze szczególnym uwzględ­nieniem urządzeń.
    • Dane zarządzane i zawartość tworzona przez użytkow­ników: dane tworzone przez użytkow­ników produktów firmy Webfleet.
    • Dane agregowane: uwzględ­niające analizę staty­styczną dane pochodne względem danych trans­ak­cyjnych.

Na przykład na naszej stronie inter­ne­towej gromadzimy dane osobowe w celu nawiązania kontaktu z naszymi klientami — w przypadku tych danych rolę admini­stratora pełni Webfleet.

Ochrona danych przez firmę Webfleet, a rozpo­rzą­dzenie RODO.

W firmie Webfleet przeana­li­zo­wa­liśmy wpływ RODO od 2012 roku, czyli momentu opubli­ko­wania pierwszych projektów tego rozpo­rzą­dzenia. Na przestrzeni minionych lat uwzględ­nia­liśmy założenia RODO w swoich procesach rozwoju, a także podczas opraco­wy­wania produktów z zakresu telematyki. Dla nas rozpo­rzą­dzenie RODO nie jest żadną rewolucją — to raczej element naszej ewolucji. Aby ułatwić zapewnienie zgodności z posta­no­wie­niami tego rozpo­rzą­dzenia, sformu­ło­wa­liśmy 5 podsta­wowych zasad projek­towych.

Zasady projektowe Webfleet dotyczące przetwa­rzania danych:

  1. Klient Webfleet na miejscu kierowcy

    Firma Webfleet zawsze działa według instrukcji otrzymanych od klienta Webfleet. Dane odnoszą się wyłącznie do klienta i to klient ma pełną kontrolę. Oznacza to, że klient otrzymuje rozwiązanie z możliwością zaawan­so­wanej konfi­gu­racji. Proponujemy różne cele, do jakich można wykorzystać nasze rozwiązania, jednak to klient firmy Webfleet podejmuje ostateczną decyzję co do ich zastosowań oraz dokładnej konfi­gu­racji i obsługi systemu.

  2. Szacunek względem interesów innych partnerów

    Nasz system można skonfi­gu­rować, tak aby rozpoznawał wielu różnych partnerów o różnych rolach, obowiązkach i możli­wo­ściach. Klienci firmy Webfleet mogą na przykład zezwalać kierowcom na rozgra­ni­czanie podróży służbowych i prywatnych, a osoby nadzorujące kierowców mogą zostać objęte ograni­cze­niami w zakresie widocznych dla nich danych. Wspieramy klientów firmy Webfleet także w zakresie posza­no­wania praw osób fizycznych, np. w kontekście dostępu do danych oraz ich usuwania przez osoby, których one dotyczą.

  3. Dane i przydatność do celu — nie mniej i nie więcej

    Klienci firmy Webfleet mogą na różne sposoby konfi­gu­rować ilość groma­dzonych danych oraz czas, przez jaki dane te są przecho­wywane. Aby ułatwić działanie klientom firmy Webfleet, wprowa­dzi­liśmy rozsądne wartości domyślne odnoszące się do różnych przypadków użycia, które mają zwykle zasto­so­wanie w ramach działal­ności naszych klientów flotowych, jednakże klienci firmy Webfleet mogą w dowolny sposób odejść od tych ustawień domyślnych.

  1. Trzeba umieć wyjaśnić, w przeciwnym razie lepiej tego nie robić

    Zawsze staramy się mieć pewność, że wszyscy mają świadomość tego, w jaki sposób ich dane są wykorzy­stywane. W tym celu dostarczamy odpowiednie materiały objaśniające, w tym podręczniki online i materiały szkoleniowe, sporządzone prostym i zrozumiałym językiem.

  2. Ochrona przed niewła­ściwym użyciem i wykrywanie jego przypadków

    Bezpie­czeństwo informacji stanowi dla firmy Webfleet, priorytet. Co roku weryfi­kujemy zgodność z normami i odnawiamy certy­fi­kację. Najlepszym sposobem postę­po­wania względem naruszeń danych osobowych jest, rzecz jasna, niedo­pusz­czanie do ich wystąpienia. Wypadki jednak się zdarzają, dlatego też firma Webfleet zachęca do wdrożenia starannie przemy­ślanego systemu reagowania na zdarzenia, który będzie uwzględniać procesy szybkiego powia­da­miania i procedury ułatwiające rozwiązanie problemu.

wf gdpr whitepaper

Pobierz przewodnik po najlepszych praktykach dotyczących RODO dla telematyki

wf gdpr whitepaper

Bogaty w informacje przewodnik po najlepszych praktykach dotyczących Ogólnego Rozpo­rzą­dzenia o Ochronie Danych Osobowych (RODO) oraz telematyki — z praktycznym planem działania — pomoże Ci odpowiednio się przygotować, by spełnić wszystkie wymagania nowego rozpo­rzą­dzenia.

Pobierz przewodnik

Więcej informacji na temat Ogólnego Rozpo­rzą­dzenia o Ochronie Danych Osobowych.

W razie dalszych pytań dotyczących Ogólnego Rozpo­rzą­dzenia o Ochronie Danych Osobowych prosimy o kontakt tutaj.

Dowiedz się więcej o Ogólnym Rozpo­rzą­dzeniu o Ochronie Danych Osobowych z zasobów Komisji Europej­skiej i brytyj­skiego Komisarza ds. Informacji (ICO), korzystając z poniższych linków:

Więcej informacji na temat ochrony, bezpie­czeństwa i prywatności danych firmy Webfleet.

W Webfleet zobowią­zujemy się do przestrze­gania zasad bezpie­czeństwa informacji i ochrony danych. Nieustannie inwestujemy w nasz dział inżynie­ryjny oraz w wypróbowane technologie, procesy i pracowników, mając na celu dostar­czanie naszym klientom najbardziej nieza­wodnych usług telema­tycznych, jakie są dostępne na rynku.

Będąc jednym z najwięk­szych dostawców usług telema­tycznych na świecie, inwestycje w oferowane przez nas usługi są wyjątkowo ważne. Chcemy mieć pewność, że jesteśmy i będziemy najlepszym partnerem dla Twojej firmy. Dlatego nieustannie wprowadzamy udosko­na­lenia. Więcej informacji o bezpie­czeń­stwie i prywatności danych w platformie Webfleet można znaleźć tutaj.

WYŁĄCZENIE ODPOWIE­DZIAL­NOŚCI PRAWNEJ: informacje zawarte na stronie inter­ne­towej firmy Webfleet są podane wyłącznie do celów infor­ma­cyjnych i stanowią wyraz naszego stanowiska względem poruszanego tematu. Nie należy rozumieć ich jako porady prawnej dotyczącej omawianego tematu. Ponadto informacje zawarte na stronie inter­ne­towej mogą nie odzwier­ciedlać bieżącego prawnego stanu faktycznego. Nie należy kierować się tymi infor­ma­cjami bez zasię­gnięcia porady prawnej.