Korzystając z tachografu, właściciel firmy transportowej ma więcej obowiązków niż tylko pobranie w odpowiednim terminie zapisanych w nim informacji. Wykorzystywanie takich urządzeń wiąże się bowiem z przetwarzaniem danych osobowych kierowców. Zatem właściciel pojazdu lub przewoźnik – jako administrator danych – ma obowiązek zapewnienia ochrony danych zgodnie z obowiązującymi przepisami. Jak zrobić to prawidłowo?
Dane osobowe w przedsiębiorstwie transportowym przetwarzane są również poprzez systemy nadzoru i kontroli pojazdów czyli popularny tachograf i GPS. Przetwarzane w tych systemach informacje stanowią zbiór danych podlegający ochronie. Za zapewnienie należytego poziomu bezpieczeństwa danych odpowiedzialny jest administrator danych, czyli w praktyce właściciel firmy.
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych zobowiązuje przedsiębiorców do prowadzenia dokumentacji, zastosowania środków ochrony systemów informatycznych, rejestracji zbiorów, jak również prowadzenia rejestrów. Jednak nie zawsze oczywistym jest, jakie dane podlegają ochronie. Często wręcz, przedsiębiorcy nie do końca zdają sobie sprawę z tego, jak wiele systemów, z których korzystają przetwarza dane osobowe.
Przedsiębiorca posiadając w swojej firmie system umożliwiający śledzenie pojazdu, a co za tym idzie system informowania o lokalizacji pracownika, oprócz uwzględnienia miejsca przetwarzania danych w dokumentacji regulującej ochronę danych osobowych powinien:
1. poinformować pracownika o istnieniu systemu nadzoru i kontroli oraz warunkach w jakich jest wykorzystywany,
2. uregulować w regulaminie wewnętrznym firmy warunki oraz cel wykorzystania systemu,
3. udostępnić pracownikowi dostęp do danych oraz umożliwić ich poprawę w przypadku nieprawidłowych lub niepełnych danych.
Dane z systemu nadzoru i kontroli pojazdów podlegają takiej samej ochronie jak baza kontrahentów czy akta osobowe pracowników. Zatem poziom ich bezpieczeństwa może być kontrolowany przez Generalnego Inspektor Ochrony Danych Osobowych wspieranego przez Państwową Inspekcję Pracy.
Konsekwencją nienależytego wykonania obowiązków administratora danych może być dla przykładu konieczność usunięcia danych, kara finansowa o wysokości nawet 200 tysięcy złotych czy kara pozbawienia wolności.
Autorka: Joanna Arendarska – Specjalista ds. prawnych Legal Specialist TransLawyers Widuch i Wspólnicy sp.k.
