Unele date prelucrate cu ajutorul soluțiilor telematice au caracter personal, adică, potrivit Regulamentului 2016/679 (GDPR), privesc o persoană fizică identificată sau identificabilă, direct sau indirect, în special prin referire la un element de identificare. Datele privitoare la stilul de condus al șoferului, de exemplu, ar putea fi considerate date cu caracter personal din moment ce le putem corobora cu informațiile din documentele de dreptul muncii (fișe de pontaj sau acte adiționale la contratul individual de muncă privitoare la delegare/detașare) și putem determina astfel cine este respectivul șofer. Totuși, așa cum subliniază avocata Alexandra Jivan, partener Legal For, GDPR nu este aplicabil dacă datele prelucrate sunt anonimizate de societate și apoi utilizate în scop statistic.

Așadar, companiile pot apela la această măsură pentru a evita restricțiile impuse de Regulament, tocmai pentru că prin anonimizare (dar nu și prin pseudonimizare!) datele inițiale își pierd caracterul de date cu caracter personal. Se pot crea mecanisme interne prin care datele colectate de sistemele telematice sunt ulterior anonimizate și create ghiduri de conducere corespunzătoare aplicabile în cadrul firmei, ținând cont de informațiile obținute. În măsura în care se dorește folosirea sistemelor telematice pentru a urmări comportamentul unui anumit șofer în trafic, iar anonimizarea datelor nu e folosită în scop statistic, ci eventual în scop de sancționare a acestuia, măsura anonimizării nu va fi probabil acceptată de societate, însă în acest caz trebuie să se aibă în vedere caracterul de date personale și condițiile impuse de legislația aplicabilă acestora (inclusiv cea de garantare a securității datelor și a drepturilor speciale recunoscute persoanelor vizate).

Apoi trebuie să stabilim care este temeiul de drept în baza căruia se face prelucrarea datelor, și pentru asta companiile vor stabili întâi scopul fiecărei operațiuni de prelucrare. De exemplu, datele din contractul de muncă și cele bancare trebuie prelucrate pentru executarea contractului, informațiile din documentele prezentate de șoferi pentru obținerea zilelor libere legale (certificatul de căsătorie, certificatul de deces al unui membru al familiei, adeverința de vaccinare etc.) sunt prelucrate de angajator pentru respectarea obligațiilor sale legale ș.a.m.d. „Referindu-ne strict la datele din sistemele telematice, în măsura în care scopul prelucrării lor este garantarea securității șoferilor și a mărfii transportate, considerăm că temeiul de drept aplicabil este cel indicat de art. 6 alin. 1 lit. f, protejarea intereselor legitime urmărite de operator sau de o parte terță (cum ar fi clientul transportatorului). În consecință, nu temeiul consimțământului șoferului va fi cel aplicabil în astfel de situații, ci cel al interesului legitim al societății, fără a se încălca însă drepturile și libertățile fundamentale ale șoferului în calitate de persoană vizată.“

Restul condițiilor impuse de Regulament trebuie respectate, îndeosebi principiile generale ce presupun faptul că prelucrarea se va face în mod legal, echitabil și transparent față de șofer (acesta trebuie informat în prealabil cu privire la prelucrarea datelor sale prin sistemele respective), că se va face în scopuri determinate, explicite și legitime, cu posibilitatea folosirii ulterioare a datelor în scopuri statistice, că datele prelucrate sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile prelucrării (nu se vor prelucra mai multe informații decât sunt absolut necesare pentru atingerea scopului propus; de exemplu se poate cu dificultate justifica motivul pentru s-ar transmite CNP-ul șoferului către client, însă numele și numărul de telefon sunt elemente a căror transmitere poate fi motivată de necesitatea contactării în cazul unor întârzieri, rezolvarea de chestiuni urgente de logistică etc.), că datele prelucrate sunt exacte, fiind actualizate la nevoie, că sunt păstrate într-o formă care permite identificarea șoferilor pe o perioadă ce nu o depășește pe cea necesară îndeplinirii scopurilor în care sunt prelucrate. Aici se va analiza pentru fiecare prelucrare perioada justificată de păstrare, raportată la scopul specific avut în vedere. De exemplu, păstrarea datelor din sistemele telematice ulterior încetării contractului individual de muncă poate fi un demers greu de justificat de către angajator și deci perioada de păstrare a informațiilor ar trebui de regulă limitată la durata contractului.

Un alt principiu general presupune ca prelucrarea să se facă într-o manieră ce garantează securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale.

Indiferent dacă vorbim despre colectare, stocare, transmitere sau efectuarea oricărei alte operațiuni cu privire la datele cu caracter personal, societățile efectuează o prelucrare, deci, dacă într-adevăr datele respective se înscriu în definiția GDPR, normele acestuia și ale legislației conexe trebuie respectate.

În plus, se va determina scopul prelucrării pentru fiecare operațiuni (de ce avem nevoie de respectivele date? ce vrem să facem cu ele?) și temeiul de drept corelativ. „Este, deci, foarte posibil ca temeiul consimțământului persoanei vizate să nu fie aplicabil în nicio operațiune de prelucrare de acest tip, ci altele să fie temeiurile corecte: încheierea și executarea contractului, îndeplinirea unei obligații legale a societății în calitate de operator sau interesul legitim al acesteia sau al unui terț.“

Prin urmare, transportatorul poate colecta și stoca orice informații care nu sunt date cu caracter personal conform GDPR sau pentru care operațiunea de prelucrare se bazează pe alt temei de drept dintre cele prevăzute de art. 6 din Regulament, decât cel al consimțământului persoanei vizate (relevant fiind deci scopul prelucrării și temeiul corelativ, nu natura informației ce reprezintă dată cu caracter personal, neexistând în acest sens distincție între CNP și numărul de telefon, de exemplu). În plus, va trebui să se țină cont și de dispozițiile Directivei „ePrivacy” 2002/58/EC, ce stabilește standarde specifice pentru orice entități care doresc să stocheze și să acceseze informațiile păstrate pe echipamentele terminale.

Informații ce pot fi transmise clienților numai cu acordul șoferilor

GDPR și legislația conexă nu prevăd un set de date pentru a căror prelucrare să fie necesar consimțământul persoanei vizate, dar prevăd obligația ca orice prelucrare să fie făcută legal, iar asta înseamnă inclusiv să existe un scop legitim și un temei de drept corelativ aplicabil, dintre cele prevăzute de art. 6: persoana vizată (soferul) și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice sau prelucrarea este necesară pentru executarea unui contract la care șoferul este parte, pentru a face demersuri la cererea acestuia înainte de încheierea unui contract, în vederea îndeplinirii unei obligații legale care îi revine operatorului (societății de transport), pentru a proteja interesele vitale ale șoferului sau ale altei persoane fizice, pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul (caz neaplicabil în situația companiilor private de transport) ori în scopul intereselor legitime urmărite de transportator sau de o parte terță (clienții acestuia, spre exemplu), cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale șoferilor.

Nu există însă nicio ordine de preferință la alegerea acestora, adică nu se va prefera temeiul consimțământului în locul celui al interesului legitim, chiar dacă primul temei enumerat e al consimțământului, alegerea trebuind să se facă în funcție de situație.

Mai mult decât atât, folosirea consimțământul ca temei al prelucrării în relația dintre angajator și angajat este nerecomandată în general, aspect constatat, așa cum punctează avocatul Alexandra Jivan, nu doar din jurisprudența CJUE, ci și din ghidurile oferite de European Data Protection Board, deoarece una dintre condițiile consimțământului este aceea că trebuie să fie acordat liber, fără niciun fel de teamă de repercusiuni în caz de refuz. Or, o atare libertate deplină de alegere nu poate exista în relația dintre societate și salariat, care este una de subordonare.

Dacă totuși se stabilește că temeiul pentru o anumită prelucrare este cel al consimțământului, trebuie respectate condițiile prevăzute de art. 7 din GDPR, deci acesta poate fi acordat expres prin semnarea unei note sau în orice altă manieră ce atestă că a fost de acord și demersul poate fi probat (consimțământ implicit). „Dacă se preferă varianta semnării unei note interne, recomandăm ca în prima parte să se detalieze tot ce ține de prelucrare pentru respectarea dreptului său la informare prealabilă și la final să existe rubrica de consimțământ cu indicarea datei.“

Datele foarte sensibile nu pot fi, de obicei, prelucrate

Datele speciale cu caracter personal, de la art. 9 și 10 (care se referă la origine rasială și etnică, opinii politice, confesiune religioasă, convingeri filosofice sau apartenența la sindicate ori prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau viața sexuală sau orientarea sexuală ale unei persoane fizice, precum și datele referitoare la condamnări penale și infracțiuni) sunt singurul aspect reglementat distinct de GDPR.

Prelucrarea acestora este interzisă, cu anumite excepții, printre care se numără situația în care persoana vizată și-a dat consimțământul. Iar datorită gradului ridicat de sensibilitate cu care sunt înzestrate aceste date vor fi necesare măsuri speciale de securitate.

Transportatorii trebuie să se conformeze când pretențiile clienților nu sunt excesive

Când clientul primește datele cu caracter personal ale unui reprezentant al transportatorului (persoana de contact pentru derularea contractului sau șoferul), el prelucrează date cu caracter personal și trebuie să respecte condițiile impuse de GDPR și legislația conexă și, mai mult decât atât, să aibă contracte cu transportatori (în acest caz) care respectă și ei acele prevederi. „Deci, atât timp cât pretențiile clienților nu sunt excesive, ci derivă din necesitatea respectării Regulamentului, transportatorii trebuie să se conformeze. Orice obligații suplimentare pot fi liber negociate de părți, la fel ca obligațiile comerciale generale. Faptul că unii clienți au o poziție dominantă și ajung să le impună transportatorilor mai multe obligații decât cele minime necesare conform legii reprezintă însă o realitate care poate fi schimbată doar prin negociere sau în cel mai rău caz prin asumarea deciziei de a nu încheia contractul.“

Alexandra Jivan mai atrage atenția asupra faptului că, în cazul firmelor de transport de pe burse care le oferă clienților acces la locația în timp real a mărfii prin furnizarea datelor din tahograf, informațiile oferite trebuie selectate atent. Dacă acel client dobândește acces și la datele cu caracter personal ale șoferului, se pune problema legitimității prelucrării lor. Dacă prelucrarea (oferirea accesului) este necesară pentru ca acel client să poată urmări locația vehiculului în timp real, nu se justifică accesul la nicio altă informație suplimentară legată de șofer. „Așadar, subliniem faptul că implementarea conformă a legislației poate constitui un avantaj serios pentru un transportator care a efectuat acest demers în raport cu orice client, prin comparație cu un alt transportator care nu a depus diligențe în acest sens, cu sublinierea că implementarea trebuie făcută corect. Prin urmare, este nevoie de o analiză internă, de crearea unui set de politici adaptate la nevoile societății (cea generală de protecția datelor, de backup, de resurse umane, antivirus, parole, siguranță fizică etc.), de registre și note, de acte adiționale la contracte, de work shop-uri pentru angajați etc. Faptul că, așa cum am văzut în multe cazuri din practica noastră, există o variantă printată a Regulamentului la biroul de resurse umane al unei firme sau au fost copiate niște politici generale, adesea incomplete și neadaptate specificului activității, nu poate reprezenta măsuri corespunzătoare de implementare a GDPR.“

Ajutorul specializat în caz de abuz al autorităților elimină multe neplăceri

Autoritățile de control pot colecta date din tahograf și din sistemele telematice în măsura în care verificarea acestora reprezintă o prerogativă legală a lor, și atunci transportatorii nu se vor putea opune cererii de furnizare a informațiilor. „Dacă însă vorbim despre un abuz de drept din partea acelor entități, transportatorii vor trebui să se opună solicitărilor de comunicare a respectivelor informații. Conform art. 15 din Codul Civil, se consideră abuz de drept exercitarea acestuia în scopul de a vătăma sau păgubi pe altul ori într-un mod excesiv și nerezonabil, contrar bunei-credințe“, sfătuiește avocatul Alexandra Jivan.

Iar dacă autoritatea de control face și alte demersuri ce depășesc cadrul legal ar fi de folos, încă din faza controlului, și ar ajuta la evitarea multor neplăceri dacă firma în cauză ar apela la ajutor specializat din partea unui avocat.

În ceea ce privește tehnologiile de ultimă oră pe care se anunță că le vor folosi inspectorii germani pentru controale în trafic (senzori, camere spectrale etc.) și care le vor permite acestora ca, doar trecând pe lângă un camion, să vadă date cu caracter personal cum sunt cele cu privire la modul de condus și chiar ritmul cardiac al șoferului, Alexandra Jivan consideră că pot fi privite ca măsuri justificate pentru siguranța traficului (deși rămâne sub semnul întrebării caracterul lor neexcesiv de intruziv raportat la scopul menționat), însă autoritățile tot vor trebui să respecte Regulamentul și legislația germană conexă. „Nu ne putem pronunța asupra dispozițiilor legislației germane, întrucât excede competenței avocaților români, însă acestea nu pot contrazice normele GDPR. Regulamentul este direct și pe deplin aplicabil la nivelul statelor membre, legislația națională neputând decât reglementa acolo unde GDPR lasă loc de reglementare.“

Din informațiile Alexandrei Jivan, niciun transportator român nu a fost amendat pentru încălcarea normelor GDPR, însă există spețe (în special hotărâri ale CJUE) care, deși nu se referă la transporturi, au aplicabilitate și în domeniu. De exemplu, neutilizarea consimțământului ca temei al prelucrării datelor cu caracter personal ale angajaților nu viza o firmă de transport, dar se aplică și unei astfel de companii, fiind vorba despre principii general valabile conform Regulamentului.

Spre deosebire de alte domenii, care se bucură de reglementări speciale, Regulamentul și legislația conexă cuprind puține dispoziții specifice unui anumit sector de activitate. „Reglementările sunt deci foarte generale, iar situațiile cărora li se aplică au un grad ridicat de individualitate (situația unei firme de IT e diferită de cea a unei firme de transport din perspectiva GDPR, dar și situația unei anumite firme de transport poate fi diferită de cea a altei firme de transport, în funcție de modul de organizare, contractul încheiat, implementarea efectuată etc.). Tocmai din acest motiv, relevante nu sunt doar dispozițiile legale și jurisprudența în domeniu, ci și ghidurile și opiniile EDPB, care oferă direcțiile generale de interpretare la care se aliniază de marea majoritatea dăților și instanțele în hotărârile pronunțate.“

În afară de poliție, greu poate obține cineva înregistrări de pe camere video

Existența unor camere de luat vederi în parcări presupune clar o prelucrare de date, atât imaginea persoanelor cât și vocea și numerele de înmatriculare reprezentând date cu caracter personal. Drept urmare, așa cum explică avocata Alexandra Jivan, va trebui să existe un indicator cu semnul de cameră de luat vederi poziționat înainte de primele camere, precum și un set de informații, printre care și numele operatorului de date. În măsura în care respectă normele GDPR, operatorul de date va fi persoana indicată ca atare, care poate fi autoritatea publică sau societatea ce administrează respectiva porțiune de drum. În cazul unor incidente, poliția sau instanța de judecată vor putea solicita copia înregistrărilor, deoarece există un temei clar.

Când însă un transportator face o astfel de cerere, rămâne la latitudinea operatorului dacă va accepta sau nu, cu mențiunea că și acesta trebuie să respecte securitatea datelor cu caracter personal și drepturile persoanelor vizate. În practică, de regulă, astfel de solicitări sunt refuzate din motive tehnice, neexistând disponibilitatea tehnică sau de timp pentru a acoperi/anonimiza restul datelor cu caracter personal (celelalte persoane din parcare a căror imagine a fost înregistrată și celelalte numere de înmatriculare) ori din simplul motiv că nu există o obligație legală în acest sens în raport cu alte persoane decât autoritățile competente, și deci operatorul nu are niciun motiv pentru care ar risca o plângere din partea persoanelor vizate pentru transmiterea datelor.