Wybór systemu do zarządzania flotą – perspektywa prawna

Wybór systemu do zarządzania flotą to ważna decyzja. Jest wiele kryteriów, które należy wziąć pod uwagę przy podejmowaniu decyzji. Dzisiaj opowiem o aspektach prawnych dotyczących danych osobowych, które bywają marginalizowane, mimo, że niedopatrzenia w tym zakresie mogą skutkować wysoką karą pieniężną i stratami wizerunkowymi.

Wybór systemu do zarządzania flotą - perspektywa prawna

Powierzenie przetwarzania danych osobowych

W systemie do zarządzania flotą są gromadzone dane osobowe, np. pracowników, kierowców. Administratorem tych danych osobowych jest podmiot korzystający z systemu, np. spółka.

Administrator ponosi odpowiedzialność za bezpieczeństwo i poufność przetwarzanych danych osobowych. Wyciek, atak hakerski lub inny podobny incydent naraża administratora na karę pieniężną nawet do 10 mln euro lub 2% całkowitego obrotu z poprzedniego roku obrotowego.

Jeżeli system do zarządzania flotą jest wdrażany na własnej infrastrukturze, administrator musi samodzielnie zadbać o jej bezpieczeństwo. Ułatwieniem może być wybór systemu w modelu SaaS, gdzie infrastrukturę zapewnia jego dostawca.

W tym drugim przypadku kluczowe jest jednak zawarcie z dostawcą systemu odpowiedniej umowy powierzenia przetwarzania danych osobowych. Taka umowa musi odpowiadać wymogom RODO, ale niekoniecznie wymaga zachowania formy pisemnej – może zostać zawarta również elektronicznie.

W przypadku usług SaaS, do zawarcia umowy powierzenia przetwarzania danych często dochodzi poprzez akceptację regulaminu uwzględniającego w swojej treści zasady powierzenia. Dlatego przed podjęciem decyzji o wyborze systemu należy zapoznać się z dokumentacją udostępnianą przez dostawcę, upewniając się, że wątek powierzenia danych jest właściwie zaopiekowany.

Weryfikacja podmiotu przetwarzającego

Zawarcie umowy powierzenia przetwarzania danych osobowych samo w sobie nie daje jeszcze pewności, że dostawca systemu do zarządzania flotą rzeczywiście dba o bezpieczeństwo danych osobowych przetwarzanych w systemie.

Obowiązkiem administratora danych osobowych jest nie tylko zawarcie z podmiotem przetwarzającym (dostawcą systemu) umowy powierzenia, ale przede wszystkim wybór takiego podmiotu przetwarzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Realizacją tego obowiązku jest weryfikacja podmiotu przetwarzającego, która może polegać np. na przekazaniu podmiotowi specjalnej ankiety zawierającej pytania zmierzające do ustalenia czy podmiot przetwarzający spełnia wymogi RODO.

W realiach usług SaaS-owych ankietowanie nie zawsze jest możliwe do przeprowadzenia, ale minimum powinno być zapoznanie się z dokumentacją podmiotu przetwarzającego pod kątem stosowanych środków mających na celu zapewnienie bezpieczeństwa danym
osobowym.

Taka dokumentacja (np. lista środków technicznych i organizacyjnych służących zapewnieniu odpowiedniego bezpieczeństwa danym osobowym) niekoniecznie musi być publicznie dostępna na stronie internetowej, ale podmiot przetwarzający powinien przekazać ją administratorowi danych na jego żądanie.

Weryfikacja podmiotu przetwarzającego jest istotna, ponieważ administrator danych osobowych może ponieść odpowiedzialność również za skutki uchybień podmiotu
przetwarzającego. Dlatego przy weryfikacji podmiotu przetwarzającego należy dążyć do jak najdalej posuniętej należytej staranności.

Zarządzanie uprawnieniami i zakresami dostępu

Ponieważ w systemie do zarządzania flotą dochodzi do przetwarzania danych osobowych, system ten powinien zapewniać możliwość kontroli nad tym, kto i jakie operacje może wykonywać na tych danych osobowych. Przykładowo, kierownik jest uprawniony do modyfikacji określonych informacji, a pracownik wyłącznie do ich przeglądania w ograniczonym zakresie.

Zakres dostępu i uprawnień powinien odpowiadać regułom wypracowanym w firmie na etapie wdrożenia RODO. Czasem zdarza się, że na potrzeby konkretnego systemu opracowuje się zasady jemu dedykowane, z uwagi na jego odrębność od innych systemów wykorzystywanych do przetwarzania danych. Najczęściej jednak dąży się do tego, żeby raz wypracowane procedury można było stosować uniwersalnie, niezależnie od przyjętych rozwiązań technologicznych.

W związku z tym, wybierając system do zarządzania flotą, należy zweryfikować jakie daje on możliwości w zakresie kontroli nad dostępami do określonych zasobów i możliwymi do wykonania czynnościami dotyczącymi tych zasobów i upewnić się, że funkcje systemu umożliwiają konfigurację odpowiadającą wypracowanym w tym zakresie procedurom.

Nadawaj kierowcom uprawnienia do samodzielnego pobierania pojazdów

Zyskaj czas, bez utraty kontroli

Rozliczalność czynności wykonywanych na danych

Jedną z podstawowych zasad RODO jest rozliczalność.

W kontekście przetwarzania danych osobowych w systemie do zarządzania flotą, realizacją tej zasady jest zapewnienie, żeby każdą czynność wykonywaną na danych (np. wprowadzenie informacji do systemu, modyfikacja, usunięcie) można było udowodnić i przypisać do konkretnego użytkownika.

Żeby było to możliwe, system musi, w pierwszej kolejności, zapewniać funkcję tworzenia indywidualnych kont dla każdej osoby, która korzysta z systemu.

Nigdy nie powinno być tak, że z jednego konta korzysta więcej niż jedna osoba, ponieważ zaburza to rozliczalność. Idąc dalej, system do zarządzania flotą powinien zapewniać możliwość odtworzenia, np. z logów, który użytkownik i kiedy wykonał określone operacje na danych.

W związku z tym, wybierając system do zarządzania flotą, należy zweryfikować jakie daje on możliwości w zakresie zarządzania użytkownikami i rejestrowania ich działań.

Retencja danych osobowych

Jednym z najczęściej zaniedbywanych obszarów w zakresie danych osobowych jest ich retencja.

Przedsiębiorcy mają tendencję do przechowywania danych w nieskończoność, podczas gdy podstawową zasadą RODO jest ograniczenie przetwarzania danych wyłącznie do okresu, gdy jest to faktycznie niezbędne, np. na potrzeby wykonywania umowy.

Zasady retencji danych to temat na obszerny poradnik, ale w kontekście wyboru systemu do zarządzania flotą kluczowe jest ustalenie, jakie możliwości w tym zakresie zapewnia system.

Choć wydaje się oczywiste, że tak podstawowa funkcja jak usuwanie danych powinna być zawsze dostępna w każdym systemie informatycznym, to czasem diabeł tkwi w szczegółach, np. niemożliwym okazuje się usunięcie jakiegoś wycinka informacji bez wymazania większej całości.

W związku z tym, wybierając system do zarządzania flotą, należy zweryfikować jakie daje on możliwości w zakresie usuwania poszczególnych informacji w nim gromadzonych.

Kontrola nad danymi

Korzystając z systemu do zarządzania flotą, jego użytkownik powinien mieć pełną kontrolę nad gromadzonymi przez siebie w systemie zasobami.

Rola dostawcy systemu powinna sprowadzać się wyłącznie do podejmowania czynności uzgodnionych z klientem, najczęściej do przechowywania danych.

Choć niewyobrażalnym wydaje się, by dostawca systemu do zarządzania flotą próbował wykorzystywać powierzone mu dane w jakiś swoich własnych celach, to jednak dla pewności należy zweryfikować regulamin usługi czy aby nie znajdują się w nim jakieś budzące wątpliwości postanowienia co do korzystania z zasobów gromadzonych w systemie. W dobie rozwoju sztucznej inteligencji, coraz częściej zdarza się, że część modeli biznesowych opiera się na wykorzystywaniu danych przekazywanych przez użytkownika na potrzeby uczenia maszynowego.

W związku z tym, wybierając system do zarządzania flotą, należy zweryfikować, czy użytkownik ma pełną kontrolę nad gromadzonymi w systemie zasobami i czy dostawca systemu nie ma czasem jakiś pokus, żeby z tych zasobów robić również inny użytek.

Obsługa żądań podmiotów uprawnionych

RODO przyznaje osobom, których dane są przetwarzane, szereg uprawnień, np. prawo dostępu do swoich danych, prawo uzyskania ich kopii, prawo sprostowania danych.

Podmiotem odpowiedzialnym za realizację tych uprawnień jest zawsze administrator danych osobowych. Choć dostawca systemu do zarządzania flotą nie ma w tym zakresie żadnych konkretnych obowiązków, to może przewidzieć w systemie dodatkowe funkcje ułatwiające obsługę ewentualnych żądań, np. łatwy eksport zgromadzonych danych na temat konkretnego użytkownika.

Brak takich funkcji nie jest zaniedbaniem, ale ich obecność może stanowić wartość dodaną braną pod uwagę przy wyborze.

Realizacja obowiązku informacyjnego

Podobnie jak obsługa żądań podmiotów uprawnionych, tak i realizacja obowiązku informacyjnego wynikającego z RODO może być sferą, w której system do zarządzania flotą
oferuje wartość dodaną.

Przykładowo, system może zapewniać opcję wysyłki wiadomości realizującej obowiązek informacyjny do osoby, której dane po raz pierwszy trafiają do systemu. Nie jest to wprawdzie wielka rewolucja, biorąc pod uwagę, że obowiązek informacyjny można zrealizować w inny sposób, np. mailowo, poprzez załącznik do umowy czy dokument wydawany pracownikowi, ale w niektórych sytuacjach obsługa tego procesu z wykorzystaniem systemu do zarządzania flotą może okazać się czynnikiem wpływającym na atrakcyjność oferty dla konkretnego podmiotu.

Podsumowanie

Wybór systemu do zarządzania flotą często ogranicza się do porównania funkcji i ceny. Przy podejmowaniu decyzji warto jednak zwrócić również uwagę na kwestie prawne związane z przepisami o ochronie danych osobowych (m.in. RODO), ponieważ z jednej strony system może zapewniać wartość dodaną poprzez pewne dodatkowe rozwiązania, a z drugiej strony ewentualne braki mogą skutkować odpowiedzialnością za niewłaściwe postępowanie z danymi osobowymi, w tym również finansową.

Wojciech Wawrzak

Radca prawny i autor bloga praKreacja.pl

Radca prawny, autor bloga praKreacja.pl i założyciel specjalistycznej kancelarii prawnej praKreacja.legal. Obsługuje branże kreatywną i e-commerce. Udziela konsultacji, przygotowuje umowy, regulaminy i inne potrzebne dokumenty.