Jesteś właścicielem firmy taksówkarskiej? Dowiedz się jak wprowadzić wytyczne RODO w Twojej korporacji taxi.
Odpowiedzi na najczęściej zadawane pytania związane z RODO udzielił nam inspektor ochrony danych, Pan Dariusz Łydziński z firmy 4 IT SECURITY Sp. z o.o.
Czy może Pan krótko wyjaśnić co właściwie oznacza skrót RODO?
Rozporządzenie o ochronie danych osobowych (RODO) to rozporządzenie unijne, które określa zasady przetwarzania danych osobowych osób fizycznych przez firmy.
Czy rozporządzenie RODO obejmuje firmy taksówkarskie?
Praktycznie każda firma w jakiś sposób przetwarza dane osobowe swoich klientów, dlatego rozporządzenie RODO dotyczy również firm taksówkarskich.
W jaki sposób większość korporacji taxi przetwarza dane osobowe swoich klientów?
Wystarczy, że korporacja taxi przetwarza numer telefonu w celu kontaktu z klientem podczas realizacji zlecenia (np. oddzwania do klienta), to już zgodnie z RODO powinna uzyskać zgodę na jego przetwarzanie, ponieważ numer telefonu jest objęty ochroną danych osobowych.
Dodatkowo jeśli firma taksówkarska zatrudnia pracowników lub współpracuje z innymi przedsiębiorcami (np. taksówkarzami) to przetwarza ich dane osobowe (np. z faktur, umów). Korporacja taxi może być zgodnie z RODO administratorem danych osobowych lub przetwarzającym powierzone dane osobowe.
Jaka jest różnica między administratorem a przetwarzającym dane osobowe?
Firma zbierająca dane osobowe nazywana jest Administratorem Danych Osobowych (tzw. ADO). Ponieważ klienci bezpośrednio do ADO przekazują swoje dane osobowe (np. podczas gdy klient zamawia taxi telefonicznie), musi spełnić wszystkie obowiązki informacyjne wobec osób podających swoje dane osobowe (klientów) i jest odpowiedzialny za ich prawidłowe przetwarzanie.
Natomiast przetwarzający powierzone dane osobowe może je wykorzystywać wyłącznie do celu w jakim zostały powierzone, czyli najczęściej do realizacji usługi (np. gdy taksówkarz przewozi pasażera otrzymując jego dane od korporacji taxi). Powierzenie przetwarzania danych osobowych wymaga zawarcia dodatkowej umowy spełniającej wymogi określone w RODO.
Czy wszystkie firmy taksówkowe są administratorem danych osobowych swoich pasażerów?
Wszystkie, niezależne, działające pod własną marką firmy taksówkowe są administratorem danych osobowych. Natomiast firmy taksówkowe, które działają pod czyjąś marką (np. ogólnopolska aplikacja do zamawiania taksówek), są przetwarzającym powierzone dane osobowe i nie mogą ich wykorzystywać bez zgody ADO. Nie zwalnia to jednak przetwarzających od stosowania odpowiednich zabezpieczeń zgodnych z RODO.
Co w takim razie powinna zrobić korporacja taxi aby spełnić wymogi RODO?
Korporacja taxi powinna się dostosować do wymogów RODO w 4 obszarach:
1. Informować swoich pasażerów (np. poprzez politykę prywatności) o tym co się dzieje dalej z ich danymi osobowymi po tym jak zamówią taksówkę: czy korporacja taxi zamierza wykorzystywać numery telefonów klientów oraz adresy mailowe w celach handlowych (np. do wysyłania informacji o promocjach), czy dane klientów będą wykorzystywane tylko przez korporację taxi, czy też korporacja taxi zamierza przekazywać dane swoich klientów innym firmom.
Uwaga!
Jeżeli korporacja taxi zamierza wykorzystywać dane klientów do celów handlowych wymagana jest dodatkowa zgoda (np. w postaci pola do zaznaczenia).
2. Upoważnić wszystkich pracowników korporacji taxi (dyspozytorki, kierowców jeżeli są zatrudnieni na umowę o pracę) do dostępu do danych osobowych pasażerów.
3. Zawrzeć umowę powierzenia przetwarzania danych osobowych z każdą firmą, która ma dostęp do danych osobowych klientów (np. księgowa, kierowcy jeżeli prowadzą własną działalność gospodarczą, firmy informatyczne świadczące usługi dla korporacji).
4. Przygotować odpowiednią dokumentację wewnętrzną firmy zgodnie z wytycznymi RODO: analizę ryzyka, politykę ochrony danych oraz rejestr czynności przetwarzania.
Dokumentacja taka powinna zawierać informacje dotyczące tego czy np. komputery na których znajdują się dane osobowe są zabezpieczone odpowiednim hasłem, czy pomieszczenie, w którym znajdują się dokumenty zawierające dane osobowe (np. faktury, umowy) jest zamykane na klucz i kto ma dostęp do tego pomieszczenia, itp. Dodatkowo dane osobowe, z których korzysta firma powinny być podzielone na kategorie (np. klienci, kadrowe, kontrahenci) i spisane.
Dokumentacja RODO jest przygotowywana indywidualnie przez każdą firmę w celu dostosowania jej do specyfiki działalność prowadzonej w firmie. Najlepiej zlecić przygotowanie takiej dokumentacji wyspecjalizowanej firmie, np. radcy prawnemu wyspecjalizowanemu w ochronie danych osobowych lub inspektorowi ochrony danych.
Korporacja taxi bez dyspozytorni?
Zaoszczędzić na kosztach dyspozytorni!
Telefoniczne przyjmowanie zleceń przez kierowców w wybranych porach dnia lub 24h/7d.
W jakiej formie korporacja taxi powinna informować pasażerów o ochronie danych osobowych?
Jeżeli klient zamawia taksówkę telefonicznie to można odtworzyć nagrany komunikat informujący o zasadach przetwarzania danych osobowych. Aby nagranie nie było długie, można poinformować klienta pod jakim adresem www może przeczytać szczegółowe warunki przetwarzania danych osobowych (politykę prywatności). Komunikat taki może być odtwarzany gdy klient zamawia taksówkę po raz pierwszy (nie trzeba odtwarzać komunikatu za każdym razem).
Jeżeli klient zamawia taksówkę przez aplikację, wówczas należy zamieścić link do polityki prywatności firmy taksówkowej, czyli dokumentu, w którym pasażer znajdzie informacje, kto zbiera dane osobowe, w jakim celu, na jakich zasadach i jak można je skasować.
Jakie prawa przysługują klientowi zgodnie z RODO?
Klient ma prawo zażądać skasowania jego danych osobowych przez firmę taxi (np. historię jego kursów taksówką). Może również chcieć zrezygnować z otrzymywania informacji o promocjach korporacji taxi (mimo, iż wyraził wcześniej na to zgodę).
Jak i gdzie mogę nabyć dokumentację RODO do swojej firmy?
Dokumentację RODO może sporządzić radca prawny wyspecjalizowany w ochronie danych osobowych lub inspektor ochrony danych i to jest najlepsze rozwiązanie, gdyż wówczas mamy pewność, że jest dostosowana do potrzeb naszej firmy i zgodna z przepisami.
Dziękujemy za rozmowę.
Odpowiedzi na pytania udzielił inspektor ochrony danych, Pan Dariusz Łydziński z firmy 4 IT SECURITY Sp. z o.o.
Żadna z informacji znajdujących się na tej stronie internetowej nie stanowi porady prawnej.
Bardzo interesujące, dobrze się czyta.