Rîndurile de mai jos nu vor fi considerate o opinie juridică.

Pe parcursul ultimelor 2 săptămîni am avut de răspuns de 3 ori la aceeași întrebare: avem GPS pe mașini, cum asigurăm conformitatea cu GDPR?

În înțelegerea mea lucrurile sînt mai puțin complicate decît la prima vedere. Spun asta deoarece acest tip de date nu sînt încadrate la  „categoriil speciale„ deși în opinia mea sînt foarte sensibile: dacă supraveghez mașina pot să constat că mergi des la un spital/sediu de partid/biserică….caz în care ajungem la „categorii speciale de date„ și discutăm doar despre consimțămînt.

Putem avea pe de o parte „interesul legitim al organizației„ (sau poate chiar „derularea unui contract„ dacă avem în vedere o închiriere/car sharing) iar pe de altă parte „drepturile persoanei vizate„ care poate fi angajat sau client (!).

Ca operator, responsabilitățile încep încă de la Art. 5, cel cu principiile:

Datele cu caracter personal sunt prelucrate în mod legal, echitabil și transparent față de persoana vizată („legalitate, echitate și transparență”);

Prin urmare angajatul/clientul trebuie obligatoriu informat despre existența sistemului de monitorizare a autovehicului precum și despre scopul pentru care datele vor fi colectate și utilizate (o politică internă și o informare)

În ceea ce privește legalitatea prelucrării (Art. 6), eu am identificat următoarele situații:

• consimțămîntul șoferului/persoanei vizate;
• executarea unui contract;
• îndeplinirea unei sarcini de interes public (serviciile de ambulanță/SMURD, de exemplu)
  
• interese legitime.

Cred că poate exista și „îndeplinirea unei obligații legale„

Cele mai multe organizații, aflate în situația despre care scriu, vor încerca probabil să evite „consimțămîntul„ și să se bazeze pe „interesul legitim„. Aici însă trebuie acordată o foarte mare atenție între păstrarea echilibrului dintre „interesul legitim„ și „drepturile persoanei vizate„.

Să analizăm acum cîteva situații practice, reale:

a) Șoferul este plătit în funcție de numărul de kilometri parcurși, respectarea timpilor etc. În acest caz urmărirea mașinii ar trebuie să fie reglementată și în contractul de muncă, caz în care consider că nu este nevoie de consimțămînt, baza legală fiind executarea contractului de muncă.

b) O firmă închirează mașini sau are un serviciu de car sharing. În aceast caz, pe lîngă executarea unui contract există și interesul legitim al organizației: prevenirea fraudei/furtului.

c) Dacă se permite utlizarea autovehicului în scopuri personale, persoana vizată trebuie să aibă posibilitatea să oprească sistemul de monitorizare (sau o formă de opt-out). În acest caz consider că este nevoie de consimțămînt.

Articolul 12, cel care clarifică parte din Articolul 5, vizează Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate. Aici vom găsi o trimitere către Articolul 13 Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată:

(a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;

(b) datele de contact ale responsabilului cu protecția datelor, după caz;

(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;(d) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmărite de operator sau de o parte terță;

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(f) dacă este cazul, intenția operatorului de a transfera date cu caracter personal către o țară terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menționate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanțiile adecvate sau corespunzătoare și la mijloacele de a obține o copie a acestora, în cazul în care acestea au fost puse la dispoziție.

(2) În plus față de informațiile menționate la alineatul (1), în momentul în care datele cu caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă:

(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(b) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;

(c) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în orice moment, fără a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia;

(d) dreptul de a depune o plângere în fața unei autorități de supraveghere;

(e) dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;

(f) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

(3) În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu alineatul (2).

Consider că monitorizarea unui vehicul este justificată atunci cînd se face cu scopul de de livra bunuri sau transporta persoane sau cînd scopul prelucrării este asigurarea siguranței persoanelor. Monitorizarea mașinii unui angajat după ce acesta își termină programul de lucru este o prelucrare excesivă.

Trebuie definită clar perioada de stocare a acestora date, cît mai rezonabil posibil (3-6 luni ar trebui să fie suficient). Dacă vor fi prelucrate ulterior, trebuie anonimizate.

Mai multe detalii în Opinion 2/2017 on data processing at work.

Un exemplu de politică în cazul platformei web Audi on demand