Okazuje się, że brak blokady firmowej w tachografie coraz trudniej uznawać wyłącznie za techniczne niedopatrzenie. Blokada formowa traktowana jest jako klucz dostępu do danych w tachografie umożliwiający pobieranie tych danych przez przedsiębiorcę i tym samym spełnienie wymogu formalnego pobierania danych. Z jednej strony przepisy unijne wskazują, że tachograf cyfrowy zapisuje m.in. tożsamość kierowcy i jego aktywności, a przetwarzanie danych osobowych ma służyć wyłącznie weryfikacji zgodności z regulacjami. Z drugiej strony przeprowadzona przez nas analiza raportów przebiegu i raportu blokad dla przykładowego pojazdu pokazuje, że dane identyfikujące kierowców były widoczne także dla okresów, w których wykaz blokad nie wskazywał aktywnej blokady przedsiębiorstwa. To właśnie dlatego brak blokady przedsiębiorstwa może dziś być oceniany nie tylko jako błąd organizacyjny, ale także jako potencjalny problem w zakresie bezpieczeństwa danych osobowych.

Tachograf zapisuje dane osobowe, nie tylko dane techniczne czy dotyczące aktywności kierowcy 

Unijne rozporządzenie 165/2014 wskazuje, że tachograf cyfrowy rejestruje m.in. przebytą odległość, prędkość, tożsamość kierowcy, czynności kierowcy oraz dane dotyczące kontroli, kalibracji i napraw. To oznacza, że zapis tachografu nie jest wyłącznie historią ruchu pojazdu, ale obejmuje informacje odnoszące się do konkretnej osoby fizycznej. W praktyce transportowej są to więc nie tylko dane techniczne, lecz również dane osobowe powiązane z wykonywaniem pracy kierowcy. 

Co pokazały analizowane raporty

Z przeprowadzonego przez nas eksperymentu wynika, że dane kierowców pojawiały się dla przedziałów czasowych, w których raport blokad, nie wskazywał aktywnej blokady przedsiębiorstwa. W praktyce oznacza to, że brak blokady przedsiębiorstwa w polskich realiach może pozostawić możliwość późniejszej widoczności danych osobowych kierowcy, to jest imienia (imion), nazwiska oraz numeru PESEL, pobieranych za pomocą innej, dowolnej karty przedsiębiorcy, również w raportach generowanych po czasie użytkowania pojazdu przez dany podmiot gospodarczy.

Szczególnie istotne jest to, że w analizowanych materiałach widać zarówno okresy sprzed pierwszej widocznej blokady, jak i z luk między kolejnymi blokadami przedsiębiorstw. Raporty przebiegu pokazują dane identyfikujące kierowców przy zdarzeniach związanych z kartą i aktywnościami pojazdu. To właśnie ten element zmienia ocenę ryzyka. Problem nie jest już czysto hipotetyczny, lecz wynika z samej treści raportów.

Dlaczego brak blokady może być problemem na gruncie RODO

Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679, z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane w dalszej części RODO definiuje „naruszenie ochrony danych osobowych” jako naruszenie bezpieczeństwa prowadzące m.in. do nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Jeżeli więc osoby postronne mogły zapoznać się z imieniem, nazwiskiem i numerem PESEL, to mamy klasyczny przypadek naruszenia ochrony danych osobowych w rozumieniu RODO.

Dodatkowo art. 32 RODO wymaga, aby administrator wdrożył odpowiednie środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa adekwatny do ryzyka, w tym zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Przepis ten nakazuje też uwzględniać ryzyko nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych. Jeżeli takie dane były dostępne dla osób nieuprawnionych, to bardzo silnie przemawia to za naruszeniem art. 32 RODO

W takim przypadku może też dojść również do naruszenia zasady integralności i poufności z art. 5 ust. 1 lit. f RODO, ponieważ dane nie były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem ujawnieniem albo dostępem. Artykuł 83 RODO traktuje naruszenia podstawowych zasad przetwarzania jako kategorię szczególnie doniosłą sankcyjne.

Na gruncie RODO kluczowe znaczenie ma nie tylko to, czy doszło już do ujawnienia danych, ale również to, czy administrator wdrożył odpowiednie środki techniczne i organizacyjne adekwatne do ryzyka przetwarzania. Jeżeli przewoźnik nie stosuje blokady firmowej, problem może zostać oceniony jako brak odpowiedniego środka zabezpieczającego po stronie administratora danych. Z perspektywy przepisów blokada przestaje być więc czynnością techniczną „na później”, a staje się elementem kontroli dostępu do danych.

Czy za brak blokady może grozić sankcja?

Dla przykładu w Niemczech brak blokady przedsiębiorstwa w tachografie nie jest co do zasady przestępstwem, lecz wykroczeniem administracyjnym zagrożonym grzywną. Formalnie przepisy o odpowiedzialności mogą obejmować zarówno przedsiębiorcę jak i zarządzającego transportem. Potencjalna sankcja karna do kilkaset euro. 

W przypadku Polski wygląda to inaczej. W obowiązujących przepisach związanych z transportem nie ma odrębnej taryfy kar za sam brak blokady firmowej w tachografie. Jednakże z uzyskanych przez nas informacji wynika, że Inspekcja Transportu Drogowego, w wyniku stwierdzenia braku blokady firmowej w tachografie, co mogłoby skutkować dostępnością danych osobowych kierowców, skierowała i zamierza kierować wnioski o ukaranie przedsiębiorcy do Urząd Ochrony Danych Osobowych. Co prawda jeszcze nie zostały wydane takie decyzje, ale sprawy są w toku.

Jednakże są już wydane decyzje UODO pokazujące, że za niezastosowanie odpowiednich środków technicznych i organizacyjnych oraz naruszenie zasady integralności i poufności organ może nakładać administracyjne kary pieniężne. Nie oznacza to automatycznie, że każdy brak blokady zakończy się sankcją, ale oznacza, że przewoźnik pozostawia sobie znacznie słabszą pozycję obronną, jeżeli nie potrafi wykazać, że dane osobowe kierowców były zabezpieczone adekwatnie do ryzyka. 

W jednej z decyzji UODO nałożył karę 50 000 zł za brak odpowiednich środków bezpieczeństwa odpowiadających ryzyku przetwarzania. To nie była sprawa związana z tachografami, ale pokazuje kierunek: jeżeli organ uzna, że administrator nie wdrożył adekwatnych zabezpieczeń danych osobowych, sankcja administracyjna jest realna.

Wniosek dla branży

Teza na dziś brzmi tak, że brak blokady firmowej w tachografie może zwiększać ryzyko, że dane osobowe kierowcy nie będą zabezpieczone w sposób adekwatny do ryzyka przetwarzania. Obowiązujące przepisy pokazują, że tachograf przetwarza dane osobowe kierowcy, a analizowane raporty pokazują, że przy braku aktywnej blokady dane identyfikujące kierowcę mogą być później widoczne w raportach dla osób, które nie powinny mieć do nich dostępu. To wystarczający powód, by temat blokady przedsiębiorstwa przestać traktować jako drobiazg techniczny, a zacząć postrzegać go jako element zarządzania ryzykiem RODO w transporcie.

JAG