Evropské Obecné nařízení o ochraně osobních údajů a společnost Webfleet

25. května 2018 vejde v platnost Obecné nařízení EU o ochraně osobních údajů(GDPR). Nařízení GDPR nahradí stávající zákony na ochranu dat jednot­livých států ve všech 28 členských zemích Evropské unie. Nařízení GDPR lze považovat za náhradu a vylepšení těchto zákonů, které zahrnuje nejnovější názory a úsudky různých regulačních orgánů z celé EU, ale také aspekty, které jsou zásadní v online světě, ve kterém žijeme. V praxi to znamená, že většina požadavků je již právně zakotvených, proto by podle nás zavedení nařízení GDPR nemělo předsta­vovat žádné potíže.*

Hlavní prvky Obecného nařízení o ochraně osobních údajů

Stejně jako starší zákony a předpisy ohledně soukromí dat je i nařízení GDPR cíleno na ochranu zájmů a práv jednotlivců, jejichž data jsou využívána k různým účelům, které jsou prospěšné jim i ostatním, z důvodu ekono­mického zisku nebo veřejného blaha. Nařízení GDPR je tedy třeba důkladně zvážit v pracovním prostředí.

Zde uvedeme několik důležitých nových aspektů zařízení GDPR, které podle našeho názoru vyžadují zvláštní pozornost zákazníků společnosti Webfleet:

Hlavní změny v novém nařízení, které vstupuje v platnost:

  1. Jednotlivec, i jako zaměstnanec, hraje ústřední roli

    Cílem nařízení GDPR je zlepšit situaci jednotlivců z hlediska kontroly nad osobními údaji. Údaje o člověku koneckonců odrážejí jeho identitu, chování a záliby: definují jej. Nařízení GDPR stanovuje, že jednotlivci musí být předem plně informováni o tom, co se děje s jejich daty: jaká data jsou využívána, proč jsou využívána, po jakou dobu a kým. Musí rovněž být schopni tyto činnosti ovlivnit, např. poskytnutím povolení, uzavřením smlouvy nebo mít do určité míry možnost na požádání zastavit užívání svých dat.

  2. Zodpo­vědnost a přístup založený na riziku

    Pokud jakožto firma rozhodujete o tom, jak se nakládá s daty jednotlivců, musíte tuto zodpo­vědnost skutečně plnit, respektovat práva jednotlivců a nařízení GDPR a být schopní toto náležitě doložit. Při veškerém nakládání s daty je třeba zvážit rizika pro dotyčnou osobu. Podle našeho názoru je proto nutné mít dokumentaci činností souvi­se­jících s údaji a odůvodněním, proč tyto údaje zpraco­váváte. Nařízení GDPR vyžaduje jmenování pracovníka ochrany soukromí osobních údajů (na částečný úvazek), který bude na toto dohlížet, v případě, že se vás týkají podmínky stanovené v nařízení GDPR (například pokud je součástí vaší hlavní aktivity sledování lidí ve velkém měřítku).

  3. Univerzální regulační úřad

    Podle našeho názoru bylo nařízení GDPR vytvořeno za účelem sjednocení starších nesourodých zákonů na ochranu soukromí v EU. To může znamenat výhodu pro nadnárodní firmy využívající naše služby, zejména pokud mají vozidla, která překračují hranice. Mohlo by to také znamenat, že při provozu nadnárodní firmy v rámci EU bude třeba jednat pouze s jedním regulačním úřadem, a to v zemi, kde je hlavní sídlo. Podobně mohou jednotlivci komunikovat s regulačním úřadem ve své zemi.

  1. Přísnější bezpeč­nostní požadavky

    Nařízení GDPR vyžaduje, aby data byla chráněna proti všem druhům neopráv­něného použití na základě vyhodnocení citlivosti dat. Data o poloze jsou považována za citlivá, protože o člověku odhalují řadu informací. Proto je nutné mít zavedená technická a organizační bezpeč­nostní opatření, která sníží rizika. Pokud tato opatření selžou a dojde k narušení bezpečnosti, nařízení GDPR v závislosti na závažnosti narušení vyžaduje, aby do 72 hodin byly upozorněny příslušné úřady a také subjekty, o jejichž údaje se jedná, pokud by to pro ně mohlo mít významné následky.

  2. Pokuty

    Nařízení GDPR dává regulačním orgánům pro ochranu soukromí různé možnosti pro vymáhání dodržování nařízení. Jednou z nich je možnost udílet pokuty v případě nedodr­žování pokynů. Nařízení GDPR stanovuje, že tyto pokuty mohou dosáhnout až výše 4 % celosvě­tových ročních výnosů za případ v závislosti na závažnosti konkrétního porušení nařízení GDPR.

Obecnější aspekty Obecného nařízení o ochraně osobních údajů, které se nemění oproti starším zákonům.

Obecné nařízení o ochraně osobních údajů (GDPR) definuje data jako osobní údaje občanů EU a popisuje jejich požívání jako „zpracování“, což může znamenat shromaž­ďování, uchovávání, převod nebo používání.

Náš pohled na několik hlavních principů GDPR, které se nemění oproti starším zákonům:

  1. Osobní údaje

    Zásadním prvkem nařízení GDPR je pojem „osobní údaje“. V podstatě jde o jakákoli data, která lze vztáhnout k identi­fi­ko­va­telné osobě. To zahrnuje data, která mohou být označena abstraktními jedinečnými identi­fi­kátory, jako jsou SPZ, čísla VIN (Vehicle Identi­fi­cation Number) nebo další identi­fi­kátory zařízení. Podle nás je důležité si uvědomit, že podle nařízení GDPR nezáleží na tom, kdo je vlastně schopný provést identi­fikaci. Pokud z daných dat někdo dokáže identi­fi­kovat jednotlivce, musí být tato data považována za osobní údaje, ačkoli vůbec nedošlo k reálné identi­fikaci. Dle našeho názoru není nutné znát něčí jméno k tomu, aby byla data o nich považována za osobních údaje. Je třeba si uvědomit, že disponování osobními údaji neznamená, že je nelze používat. Jde o to, že v tomto případě platí nařízení GDPR a je třeba splnit jisté podmínky.

  2. Pouze předem definované, konkrétní účely

    Nařízení GDPR umožňuje, aby se osobní údaje používaly k jednomu nebo více předem definovaným účelům. Ty musí být konkrétní a jasně popsané. Daná osoba musí být schopna porozumět, co daný účel znamená. Osoba by měla být schopná odpovědět na tuto otázku: Spadá tento případ použití opravdu do daného účelu?

  3. Vhodnost pro daný účel a omezení daná druhem, objemem a časem

    Nařízení GDPR vyžaduje zpracování osobních dat „v náležité míře“ podle toho, o jaký typ, objem a délku uchovávání jde v souladu se stanoveným účelem. „V náležité míře“ znamená zpracovávat pouze nezbytný objem nebo po nezbytnou dobu a tyto hodnoty nepře­kra­čovat.

  4. Srozu­mi­telné vysvětlení předem

    Podle našeho názoru vyžaduje zpracování osobních údajů dobře napsané, uživatelsky přívětivé vysvětlení. Mělo by jít spíše o příručku, nikoli o smlouvu. Vysvětlení musí být samozřejmě daným osobám k dispozici předtím, než začnete využívat jejich data, a musí jim zůstat dostupné.

  1. Je nutné splnit podmínky zákonného zpracování

    Aby bylo možné legálně zpracovávat osobní údaje, vyžaduje nařízení GPDR platný právní základ v tomto rozsahu. Zpracování může mít šest právních základů.

    1. Souhlas, kde je poskytnut výslovný souhlas u konkrétního předmětu
    2. Plnění smlouvy
    3. Dodržování zákonných povinností
    4. Ochrana zásadních zájmů dotyčné nebo jiné osoby
    5. Nutnost provedení úkonu ve veřejném zájmu nebo z moci úřední
    6. Zpracování je nutné pro účely legitimních zájmů správce.
    Přejít na obsah

    Podle našeho názoru jsou čtyři z těchto šesti právních základů relevantní pro firmy. Například zákonným základem pro zpracování dat pro společnost Webfleet může být výslovný souhlas. Upozor­ňujeme, že nařízení GDPR nevyžaduje souhlas ve všech případech a ani není vždy žádoucí, zejména v zaměst­na­neckém poměru. Nařízení GDPR ošetřuje používání osobních dat bez souhlasu v rozsahu nutném k plnění smlouvy s protistranou. Je také možné, že existuje konkrétní zákon vyžadující použití osobních údajů. V těchto případech není nutné žádat o souhlas.

    Co se týče bodu 6 výše, nařízení GDPR rovněž umožňuje zpracování osobních údajů bez žádosti o souhlas, když je to ve vašem zákonném zájmu. Zpravidla se to týká vyšetřování podvodu, zneužití, bezpeč­nostních problémů a firemní analýzy. To se může rovněž vztahovat na pracovní prostředí a souviset se situacemi, které nepokrývá zaměst­na­necká smlouva, například různé účely, ke kterým je využívána telematika vozidel. V těch případech však doporu­čujeme shromaž­ďovat pouze minimum dat potřebných k danému účelu (v zájmu minima­lizace dopadu na právo soukromí jednotlivce) a zajistit, aby bylo jasné, že tento sběr dat probíhá v souladu s nařízením GDPR.

  2. Právo jednotlivce na přístup, opravu, námitku, smazání a stažení/převod

    Nařízení GDPR poskytuje jednot­livcům práva při zpracování jejich dat. GDPR nařizuje přístup a umožňuje osobám, o jejichž data se jedná, zobrazení dat a vytvoření kopie. Pokud jsou data nesprávná, mohou požádat o opravu. Tyto osoby mají rovněž právo na strojově čitelnou kopii dat a na smazání dat v případě, že byla získána a použita na základě souhlasu nebo v souvislosti s plněním smlouvy.

  3. Ochrana důvěrnosti, integrity a dostupnosti pomocí patřičných bezpeč­nostních opatření

    Osobní údaje je podle nařízení GDPR třeba uchovávat v bezpečí. To znamená, že musí být dobře chráněna před neopráv­něným a nezákonným přístupem, použitím a ztrátou. Podle nařízení GDPR je nutné na základě zhodnocení rizika průběžně zavádět adekvátní technická a organizační opatření. Toto jsou technická a organizační opatření, která je nutné zavést a za tímto účelem udržovat.

Role zpraco­vatele dat a správce dat podle Obecného nařízení o ochraně osobních údajů.

Ve společnosti Webfleet, pomáháme našim zákazníkům zlepšit spojení se svými řidiči.

Jako zpracovatel dat se řídíme pokyny našich zákazníků ke shromaž­ďování informací o vozidlech a řidičích při poskytování služeb správy vozového parku prostřed­nictvím našeho hardwaru a tato data zpraco­váváme a prezen­tujeme prostřed­nictvím našich aplikací, uživa­tel­ských rozhraní na webu a rozhraní API.

Účel zpracování dat vyžadovaný Obecným nařízením o ochraně osobních údajů.

  1. Naši zákazníci využívají naše produkty k optima­lizaci vozového parku, některé příklady využití/účelu uvádíme zde:
    • Sledování vozidel
    • Styl jízdy a úspora paliva
    • Komunikace s řidičem
    • Informace o tachografu a zbývající době řízení
    • Rozsáhlé výkazy pro vedoucí pracovníky za účelem optima­lizace firmy
    • Integrace řešení třetích stran
  1. Jaká data shromaž­ďujeme a zpraco­váváme z pověření našich zákazníků?
    • Transakční data: Data vytvořená při používání našich produktů, zejména zařízení.
    • Data spravovaná uživatelem a uživatelský obsah: Data vytvořená uživateli produktů Webfleet.
    • Souhrnná data: Data získaná z trans­akčních dat pomocí statistické analýzy.

Například při jednání se zákazníky se osobní údaje shromažďují na našem webu a společnost Webfleet je správcem těchto dat.

Ochrana osobních údajů ve společnosti Webfleet, a nařízení GDPR.

Společnost Webfleet se zabývala vlivem nařízení GDPR již od roku 2012, kdy byly zveřejněny první návrhy. Tyto znalosti hrály během uplynulých let zásadní roli v našem vývoji a rozvoji nabídky produktů Telematics pro zákazníky. Nařízení GDPR pro nás představuje evoluci, nikoli revoluci. V zájmu zabezpečení správného chodu věcí jsme zavedli pět hlavních funkčních principů:

Funkční principy zpracování dat společností Webfleet:

  1. Zákazník společnosti Webfleet má hlavní slovo

    Společnost Webfleet vždy jedná podle pokynů zákazníka společnosti Webfleet. Data se týkají pouze zákazníka, který nad nimi má proto kontrolu. To znamená, že zákazníkovi nabízíme řešení se širokými možnostmi konfigurace. Doporu­čujeme různé účely, ke kterým je lze použít, zákazník společnosti Webfleet však činí konečné rozhodnutí, ke kterým účelům je využívat a do jaké míry konfi­gu­rovat a používat systém.

  2. Respek­tování zájmů zainte­re­so­vaných subjektů

    Náš systém je možné konfi­gu­rovat tak, aby rozpoznal řadu různých zainte­re­so­vaných osob s různými rolemi, povinnostmi a kvali­fi­kacemi v různých situacích. Zákazníci společnosti Webfleet například mohou umožnit řidičům rozlišovat mezi firemními a soukromými cestami a vedoucí řidičů mohou být omezeni v tom, co vidí a mohou provádět. Rovněž podporujeme zákazníky společnosti Webfleet a dodržujeme práva jednotlivců například ohledně přístupu a mazání jejich dat.

  3. Data pro daný účel – ne více, ne méně

    Zákazníci společnosti Webfleet mohou různě nakon­fi­gu­rovat, jaká data se shromažďují a jak dlouho se uchovávají. V zájmu usnadnění pro zákazníky společnosti Webfleet jsme zahrnuli rozumná výchozí nastavení podle různých případů použití našimi zákazníky s vozovými parky, zákazníci společnosti Webfleet však mohou tato výchozí nastavení volně měnit.

  1. Pokud to nedokážeme vysvětlit, neděláme to

    Prosazujeme a zajišťujeme, aby všichni věděli o tom, jak se jejich data používají. Za tím účelem poskytujeme informační materiály včetně inter­ne­tových příruček a školicích materiálů, které jsou psané srozu­mi­telným stylem.

  2. Hlídání a ochrana proti zneužití

    Zabezpečení informací je pro společnost Webfleet, zásadní a je každý rok externě ověřováno a certi­fi­kováno. Nejlepším způsobem, jak se vypořádat s únikem dat, je samozřejmě úplně se mu vyhnout. K nehodám však dochází, a proto společnost Webfleet zajišťuje ráznou reakci na nehody, jejíž součástí je okamžitě upozornění zákazníka, se kterým spolu­pracuje při řešení.

wf gdpr whitepaper

Stáhněte si Příručku s osvědčenými postupy pro telematiku a nařízení GDPR

wf gdpr whitepaper

Komplexní příručka s osvědčenými postupy, která se zabývá Obecným nařízením o ochraně osobních údajů v oblasti telematiky a obsahuje užitečný akční plán s kroky pro dodržování tohoto nařízení.

Stáhnout příručku

Další informace o Obecném nařízení o ochraně osobních údajů

Pokud máte další dotazy ohledně Obecného nařízení o ochraně osobních údajů, kontaktujte nás zde.

Další informace o Obecném nařízení o ochraně osobních údajů od Evropské komise a úřadu Information Commis­si­oners Office (ICO) naleznete na odkazech níže:

Další informace o ochraně, zabezpečení a soukromí dat ve společnosti Webfleet,.

Ve společnosti Webfleet, bereme zabezpečení informací a soukromí dat velice vážně. Soustavně investujeme do naší techniky, osvědčených technologií, procesů a personálu, abychom vám mohli vždy poskytnout ty nejspo­leh­li­vější telematické služby na trhu.

Jelikož jsme jedním z největších posky­to­vatelů telema­tických služeb, neustálé investice do našich služeb jsou pro nás důležité. Stále pracujeme na zlepšování, abychom si mohli být jisti, že jsme nejlepším partnerem pro vaši firmu – nyní i v budoucnu. Další informace o zabezpečení a soukromí dat na platformě služeb společnosti Webfleet naleznete zde.

PRÁVNÍ ZŘEKNUTÍ SE ODPOVĚD­NOSTI: Informace na webu společnosti Webfleet mají pouze informační charakter a vyjadřují náš pohled na dané téma. Neměly by být považovány za právní poradenství k tomuto tématu. Informace na webových stránkách navíc nemusí odpovídat nejno­vějšímu právnímu vývoji. Podle těchto informací se neřiďte bez právní konzultace.