GDPR va avea un impact major asupra companiilor de transport, a avertizat Alexandra Jivan, partener al Hategan Attorneys, la conferinta Tranzit de la Cluj. Incepand cu 25 mai intra in vigoare un set de reguli noi, menite sa asigure persoanelor fizice un control mai bun al modului in care le sunt prelucrate datele cu caracter personal, reguli aplicabile firmelor de transport, care vor trebui sa aiba un know-how specific cu privire la modul in care prelucreaza si stocheaza aceste date, inclusiv pe cele ale propriilor angajati, ale diversilor furnizori sau ale clientilor.
Ca in multe alte industrii, colectarea de date – fie ea analogica, fie, mai nou, digitala – a schimbat total modul in care companiile de transport isi desfasoara activitatea, multe dintre solutiile menite sa faca diferenta avand la baza prelucrari de date cu caracter personal. Acum, in toata aceasta poveste exista si un „calcai al lui Ahile“, noul Regulament General privind Protectia Datelor (GDPR). De fapt, asa cum a explicat Alexandra Jivan, aceasta legislatie nu reprezinta o noutate, ea fiind adoptata de Parlamentul European in 2016, cu prevederi aplicabile din 25 mai 2018.
GDPR prevede conditii suplimentare Legii 677/2001 privind protectia datelor, stabilind un set de proceduri si reguli ce trebuie respectate de fiecare companie ce prelucreaza date, fie ca e vorba de inregistrari video/audio, colectarea datelor de pe tahograful soferului, inregistrarea pe baza datelor din actul de identitate etc. In plus, noul regulament confera mai multe drepturi persoanelor fizice, cum ar fi dreptul de a fi uitat sau dreptul de restrictionare a prelucrarilor. In functie de situatie, nerespectarea prevederilor poate atrage amenzi uriase, de pana la 4% din cifra de afaceri la nivel de grup sau 20 de milioane de euro – care dintre ele este mai mare. Vestea buna, a punctat avocata Alexandra Jivan, este ca in prima faza nu vor fi aplicate amenzi, cel putin dupa cum au declarat autoritatile, pentru a le da posibilitatea companiilor sa se puna la punct cu GDPR.
Etape premergatoare
Oficialul casei de avocatura a prezentat principalele proceduri urmate pentru un client de-al sau, companie de transport, la alinierea pentru implementarea GDPR. Primul pas este stabilirea foarte clara a datelor cu caracter personal pe care le prelucreaza. Adica orice informatie privind o persoana identificata sau identificabila, cum sunt datele asociatului sau administratorului firmei, chiar daca acesta este o persoana juridica, dat fiind faptul ca este reprezentat de o persoana fizica. In aceasta categorie intra inclusiv colaboratorii, furnizorii sau angajatii, unde sunt le prelucrate o serie de date personale, in cazul soferilor chiar si cele din permisul de conducere.
Odata implementat acest pas, compania trebuie sa stabileasca modul in care prelucreaza respectivele date, indiferent daca doar le acceseaza, colecteaza sau transfera. GDPR se aplica inclusiv in cazul angajatilor, de aceea urmatoarea etapa in implementare se refera la scopul prelucrarii acestor date, iar acest scop poate fi indeplinirea unei obligatii legale, cum ar fi executarea contractului sau inregistrarea sa in REVISAL. Exista insa situatii cand acest scop nu este atat de clar pentru inceput si va trebui stabilit de la caz la caz. Nu in ultimul rand, in cadrul fiecarei operatiuni va trebui stabilita calitatea pe care o are respectiva companie de transport: operator de date sau persoana imputernicita. „In primul caz raspunderea este mai mare si obligatiile ce trebuie indeplinite sunt mai multe. Daca stabiliti scopul si mijloacele prelucrarii, atunci sunteti operator“, a exemplificat Alexandra Jivan. Cel mai simplu exemplu pe care avocata l-a oferit a fost cel al angajatorului, care fata de un angajat este operator de date. „Daca sunteti persoana imputernicita inseamna ca faceti doar anumite operatiuni potrivit indicatiilor si in limitele indicate de operator. Spre exemplu, sunteti un transportator care transporta marfa pentru un client din punctul A in punctul B. Singura legatura este cea cu adresa de livrare. Puteti sa fiti persoana imputernicita si atunci trebuie sa va limitati raspunderea in contractul pe care il incheiati cu respectivul client.“ Tot in cadrul acestei discutii prealabile in care sunt lamurite ce fel de date sunt prelucrate si de ce, compania trebuie sa cunoasca drepturile persoanei vizate, dintre care cel mai important este dreptul la informare, pentru ca in functie de acestea intervin o serie de obligatii. Astfel, persoana ale carei date sunt colectate „trebuie sa stie cine le colecteaza, ce face cu ele, cat timp sunt stocate, unde sunt stocate si tot felul de astfel de detalii, pe care compania trebuie sa i le furnizeze“.
Impactul prelucrarii de date
Odata identificat acest prim scop, urmatorul pas este legat de stabilirea unei liste ce trebuie analizate. Din acest punct de vedere, se discuta de doua tipuri de documente: cele de dreptul muncii (contracte de munca, acte aditionale, contracte de confidentialitate, regulamente interioare, contracte colective de munca etc.) si cele de drept comercial (contracte cu furnizori si clienti). „Toate acestea vor trebui supuse analizei pentru ca implica prelucrare de date cu caracter special, deoarece contractul este incheiat intre societati printr-un reprezentant“, a mai spus Alexandra Jivan.
Raportul de „due diligence“ (identificarea riscurilor din perspectiva GDPR) este cel de-al treilea pas ce trebuie urmat. Toate aceste proceduri de conformitate cu normele GDPR trebuie implementate la nivel legal si la nivel tehnic, de IT, astfel ca analiza de riscuri trebuie facuta din ambele parti. Raportul va fi redactat din perspectiva angajatorului, caz in care se analizeaza situatia angajatilor si calitatea companiei, respectiv operator de date. Cea de-a doua perspectiva este cea a comerciantului, caz in care respectiva companie poate fi operator de date sau persoana imputernicita.
Aspecte sensibile, cazuri practice
Desi pare mai simplu si este mai la indemana pentru orice companie sa foloseasca un formular prin care sa obtina consimtamantul angajatului cu privire la prelucrarea datelor, avocata a atras atentia ca nu intotdeauna aceasta metoda este una buna. Alexandra Jivan a facut referire la opinia exprimata de Grupul de lucru „Articolul 29“, un organism constituit la nivelul UE care ofera directiile de interpretare a GDPR, prin care se afirma ca relatia dintre angajator si angajat este una de subordonare si atunci acest consimtamant nu este liber. De aceea, avocata recomanda alte temeiuri pe care angajatorul sa-si poata baza prelucrarea de date, cel mai des intalnite fiind „interesul legitim“ si „executarea unui contract“. De exemplu, la incheierea contractului de munca, dat fiind faptul ca exista temeiul legitim al executarii contractului, nu trebuie folosit consimtamantul angajatului. La fel, la inregistrarea in REVISAL, pentru ca exista o obligatie legala in acest sens, nu trebuie cerut consimtamantul. „Sau daca montati un tahograf, avand in vedere faptul ca este implicata si monitorizarea soferului, nu ar trebui sa-i cereti neaparat consimtamantul, pentru ca aveti o obligatie legala conform Regulamentului 561.“
In ceea ce priveste protectia datelor angajatilor in fata clientilor, Alexandra Jivan a punctat situatia soferilor, carora multe dintre societatilor comerciale le transmit datele catre destinatari, inclusiv copie a buletinului, „ceea ce este cu siguranta excesiv. Ideea este sa transmiteti doar un numar de telefon, daca e musai puteti spune si numele, dar nu mai mult decat atat.“
Soferii trebuie informati ca sunt monitorizati
Un alt aspect sensibil se refera la tipurile de monitorizare a angajatului. Incepand cu cel mai banal dispozitiv GPS, camerele video din depozit, cladire sau chiar cabina camionului, si pana la supravegherea telefonului si a e-mail-ului, toate acestea trebuie definite foarte clar, fara a intra prea mult in viata privata a persoanei monitorizate, chiar daca este vorba de activitati derulate la locul de munca. Referitor la dispozitivele de urmarire a vehiculelor, avocata a atras atentia asupra faptului ca sistemele trebuie sa urmareasca vehiculul, nu soferul, care are un drept fundamental la viata privata, potrivit Grupului de lucru „Articolul 29“.
Angajatii trebuie informati privind monitorizarea activitatii si scopul acestei monitorizari, iar angajatorul nu trebuie sa devieze de la acest scop, care nu trebuie sa fie unul excesiv. „Pentru ca vorbim despre proportionalitate si subsidiaritate, adica trebuie sa aveti in vedere ca masurile luate in protectia datelor trebuie sa fie proportionale cu scopul, iar datele colectate nu pot fi folosite in alte scopuri decat cele stabilite deja, cu informarea prealabila intodeauna“, a exemplificat Alexandra Jivan. Aceasta s-a mai referit si la diverse tipuri de prelucrari de date, cum sunt cele obtinute prin dispozitivul GPS aflat la bordul camionului. In cazul unui dispozitiv simplu, care doar inregistreaza traseul, locatia etc., exista o justificare clara pentru companie pentru care are respectivul sistem aplicat. Probleme apar doar la sistemele mai complexe, care colecteaza si date despre comportamentul in trafic al soferului, despre a caror existenta angajatul nu a fost informat. „Daca faceti monitorizare video, aveti grija sa nu fie impreuna cu monitorizare audio, sau daca este audio sa se stie clar. La fel locurile de incarcare, cel mai probabil sunt monitorizate video. Trebuie sa stiti ca numerele de inmatriculare sunt date cu caracter personal, prin urmare trebuie sa existe o pictograma si oamenii sa fie informati. In plus, lumea trebuie sa stie ce se intampla cu respectivele date, deci trebuie sa fie undeva afisat vizibil.“
Rreprezentanta casei de avocatura s-a mai referit si la numirea unui Ofiter responsabil cu Protectia Datelor (DPO), care este o procedura recomandata, precum si la securizarea si pastrarea unui dosar dedicat GDPR, in care sa fie incluse politicile interne, participarile la conferinte, seminarii, cursuri absolvite, contractul cu DPO etc., „orice tine de protectia datelor“. Perioada de stocare a datelor colectate nu este prevazuta in mod expres de regulamentul GDPR, iar informatiile obtinute din monitorizare, cum sunt rezultatele tahografelor, pot fi pastrate pe o perioada mai mare de doua luni, dupa care sa fie criptate si folosite la nevoie, in cazul unui control ITM. „In cazul clientului din transporturi, noi am recomandat o perioada de trei ani, deoarece am avut situatia in care a fost dat in judecata si a trebuit sa puna la dispozitie datele de pe tahografe din ultimii trei ani, acesta fiind termenul general de prescriptie. Acum, de exemplu, pentru documentele contabile este justificata perioada de 10 ani, pentru ca aveti legea contabilitatii. De aceea, aveti in vedere faptul ca unele documentele trebuie pastrate un termen mai lung decat altele, deoarece asa prevede legislatia.“
Avocata a oferit managerilor de transport mai multe recomandari, printre care aceea de a-si pregati propriii angajati cu privire la toate principiile de functionare a GDPR, precum si la importanta pastrarii confidentialitatii datelor.