Polityka RODO – Kontrola Uprawnień Kierowców

Poniższy dokument określa zasady przetwarzania danych osobowych w aplikacji służącej do weryfikacji ważności i aktualności praw jazdy oraz innych uprawnień kierowców. Dokument został przygotowany w celu zapewnienia zgodności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

1. Podstawa Prawna Przetwarzania Danych

W ramach RODO (art. 6 ust. 1) opieramy przetwarzanie danych osobowych na:

1. Uzasadnionym interesie (art. 6 ust. 1 lit. f RODO)

   • Zakres danych: imię, nazwisko, numer blankietu prawa jazdy.
   • Cel: weryfikacja, czy kierowca posiada aktualne uprawnienia wymagane do realizacji zadań (np. prowadzenia pojazdu).
   • Uzasadnienie:
     • Gromadzenie wyłącznie niezbędnych informacji w celu potwierdzenia ważności dokumentów i zapewnienia bezpieczeństwa.
     • Ograniczony wpływ na prywatność – przetwarzamy tylko dane potrzebne do potwierdzenia uprawnień.

2. Wykonaniu umowy (art. 6 ust. 1 lit. b RODO)

   • Zakres danych: imię, nazwisko, numer blankietu prawa jazdy.
   • Cel: realizacja umowy zawartej z pracownikiem lub firmą (podwykonawcą), na mocy której kierowca jest zobowiązany do utrzymania ważnych uprawnień.
   • Uzasadnienie:
     • Weryfikacja posiadanych uprawnień jest konieczna do wywiązania się z warunków umownych (np. świadczenia usług transportowych).

Dlaczego przetwarzamy właśnie te dane?

• Imię i nazwisko pozwalają na identyfikację kierowcy w systemie.
• Numer blankietu prawa jazdy umożliwia weryfikację posiadanych kategorii oraz aktualności dokumentu.

Proporcjonalność i ograniczenie celu

• Zbieramy i przetwarzamy wyłącznie dane osobowe niezbędne do osiągnięcia opisanych wyżej celów.
• Dane nie są wykorzystywane do żadnych innych celów (np. marketingowych) bez odrębnej podstawy prawnej lub dodatkowej zgody.

2. Zasady Minimalizacji Danych

Zgodnie z art. 5 ust. 1 lit. c RODO (zasada minimalizacji danych), przetwarzamy wyłącznie te dane, które są niezbędne do weryfikacji i monitorowania ważności uprawnień.

Dlaczego to ważne?

• Ochrona prywatności: Mniejszy zakres danych ogranicza ryzyko nadużyć i naruszeń.
• Wymóg prawny: RODO nakłada obowiązek przetwarzania danych w sposób proporcjonalny do celu.
• Zwiększone zaufanie: Użytkownicy mają pewność, że zbieramy tylko kluczowe informacje.

Jakie dane przetwarzamy?

• Imię i nazwisko
• Numer blankietu prawa jazdy

Nie gromadzimy dodatkowych danych (np. danych kontaktowych, historii jazdy, lokalizacji), jeśli nie są one ściśle konieczne do potwierdzenia ważności uprawnień.

Nasze praktyki minimalizujące ilość danych

1. Regularne przeglądy danych – sprawdzamy, czy nadal są niezbędne do weryfikacji uprawnień.
2. Brak zbędnych pól formularza – jedynie dane konieczne do weryfikacji.
3. Ograniczony dostęp – dane mogą przeglądać i przetwarzać jedynie upoważnione osoby (administrator systemu, dział HR itp.).

3. Transparentność i Informacja dla Użytkowników

Zapewniamy przejrzystość w procesie przetwarzania danych, tak by każda osoba (kierowca, pracownik) wiedziała:

1. Jakie dane są zbierane,
2. W jakim celu są przetwarzane,
3. Na jakiej podstawie prawnej,
4. Kto ma dostęp do danych,
5. Jakie prawa przysługują osobie, której dane dotyczą.

Jak to realizujemy?

1. Polityka Prywatności / Klauzula Informacyjna

   • Dokument dostępny w aplikacji (zakładka RODO) oraz innych kanałach (strona internetowa, intranet).
   • Zawiera m.in. cele przetwarzania, podstawy prawne, okres przechowywania, odbiorców danych.

2. Czytelna forma

   • Unikamy „prawniczego” języka.
   • Wyjaśniamy kluczowe kwestie (np. zakres danych) w przystępnych listach.

3. Potwierdzenie zapoznania

   • Przy rejestracji lub logowaniu do aplikacji użytkownik może zapoznać się i zaakceptować warunki przetwarzania danych.
   • Informujemy również o istotnych zmianach w polityce (jeśli takie zajdą).

4. Osoba Kontaktowa ds. RODO

   • Wyznaczona osoba do kontaktu (np. Dział HR lub Inspektor Ochrony Danych – jeśli powołany).
   • Dane kontaktowe (e-mail, telefon) są jawnie dostępne.

4. Zapewnienie Praw Osób, Których Dane Dotyczą

Każda osoba, której dane dotyczą, ma prawo do:

1. Dostępu do swoich danych i uzyskania ich kopii.
2. Sprostowania danych nieprawidłowych lub niekompletnych.
3. Usunięcia danych („prawo do bycia zapomnianym”) w uzasadnionych przypadkach.
4. Ograniczenia przetwarzania, jeśli kwestionowana jest podstawa przetwarzania lub prawidłowość danych.
5. Przenoszenia danych, o ile przetwarzanie odbywa się na podstawie umowy lub zgody w sposób zautomatyzowany.
6. Sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO).

Jak korzystać z praw?

• Zgłoszenia można dokonać poprzez e-mail lub formularz kontaktowy w aplikacji.
• Prosimy o wpisanie w tytule wiadomości np. „RODO – Żądanie Usunięcia” lub „RODO – Żądanie Dostępu”.
• Każde żądanie rozpatrujemy niezwłocznie, maksymalnie w ciągu 30 dni. Jeśli nie możemy go spełnić (np. konflikt z innymi przepisami), wyjaśniamy przyczyny odmowy.

5. Środki Bezpieczeństwa Danych

Kładziemy nacisk na bezpieczeństwo, poufność i integralność danych.

1. Szyfrowana transmisja (SSL/TLS) – dane przesyłane przez Internet są chronione.
2. Bezpieczne przechowywanie – hasła, szyfrowanie dysków, role i uprawnienia dostępu.
3. Ograniczony dostęp – jedynie upoważniony personel może przetwarzać dane.
4. Logowanie zdarzeń – rejestrujemy operacje w systemie, co ułatwia wykrywanie nadużyć.
5. Regularne aktualizacje i testy – usuwanie luk w oprogramowaniu, testy penetracyjne.
6. Szkolenia i procedury – cykliczne szkolenia z cyberbezpieczeństwa i postępowania w razie incydentów.

6. Określenie Polityki Retencji (Przechowywania) Danych

Zgodnie z zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO) dane nie są przechowywane dłużej niż jest to niezbędne.

• Okres retencji: Dane (imię, nazwisko, numer blankietu prawa jazdy) przechowujemy przez okres współpracy lub trwania umowy oraz czas wymagany przepisami (np. roszczenia, rozliczenia).
• Po upływie tego okresu dane są anonimizowane lub usuwane.

Sposób zarządzania retencją:

1. Automatyczne kasowanie – system weryfikuje daty wprowadzenia danych i usuwa je, gdy nie są już potrzebne.
2. Przeglądy okresowe – okresowo audytujemy, czy dane nadal są potrzebne.
3. Wnioski o usunięcie – w razie żądania i braku innych podstaw prawnych, dane są usuwane.

Obowiązki prawne: Jeśli przepisy (np. kodeks pracy, podatkowe) nakazują dłuższe przechowywanie, przestrzegamy tych wymogów.

7. Umowy Powierzenia Przetwarzania (Jeśli Korzystasz z Usług Zewnętrznych)

Używamy zewnętrznych dostawców w celu hostingu i utrzymania aplikacji:

• Vercel (serwery fizyczne w UE)
• Google Cloud (serwery fizyczne w UE)

Co zawiera umowa powierzenia?

1. Zakres i cel przetwarzania (dane osobowe, hosting).
2. Środki techniczne i organizacyjne dostawców (szyfrowanie, monitorowanie).
3. Podpowierzenie – zasady zatrudniania dalszych podwykonawców.
4. Okres obowiązywania – tożsamy z okresem współpracy.
5. Zasady usunięcia lub zwrotu danych po zakończeniu współpracy.

Nasze działania:

• Analiza zgodności dostawców – weryfikacja pod kątem spełniania wymogów RODO i lokalizacji serwerów.
• Podpisanie DPA – określające zasady przetwarzania danych.
• Monitorowanie – sprawdzamy, czy dostawcy przestrzegają ustaleń i aktualizujemy dokumentację.

8. Procedura Reagowania na Incydenty (Data Breach)

Choć wdrożyliśmy szereg zabezpieczeń, incydenty bezpieczeństwa mogą się zdarzyć. Naszym celem jest szybka reakcja i minimalizacja szkód.

Kluczowe kroki:

1. Wykrycie i zgłoszenie – pracownik informuje odpowiedzialną osobę (np. IOD lub przełożonego) niezwłocznie po zauważeniu incydentu.
2. Ocena incydentu – określenie zakresu i skutków.
3. Zatrzymanie/ograniczenie naruszenia – odcięcie źródła, zmiana haseł, współpraca z działem IT.
4. Dokumentacja i notyfikacja – rejestr incydentów, ewentualne zgłoszenie do UODO w ciągu 72h, poinformowanie osób poszkodowanych (jeśli jest wysokie ryzyko).
5. Usunięcie przyczyn i zapobieganie – analiza przyczyn (root cause analysis), wprowadzenie działań korygujących.
6. Monitorowanie i aktualizacja procedur – ciągłe doskonalenie.

9. Analiza Ryzyka (Wewnętrzny Dokument)

Przeprowadziliśmy wewnętrzną analizę ryzyka w celu:

• Identyfikacji najważniejszych zagrożeń (ataki hakerskie, nieuprawniony dostęp, błędy ludzkie).
• Oceny prawdopodobieństwa i skutków dla osób, których dane dotyczą.
• Opracowania i wdrożenia środków zaradczych (technicznych, organizacyjnych i proceduralnych).

Wnioski z analizy ryzyka

1. Wysokie standardy bezpieczeństwa – zastosowane środki (szyfrowanie, kontrola dostępu) znacząco ograniczają ryzyko naruszeń.
2. Konieczność ciągłej kontroli – zagrożenia zmieniają się, dlatego regularne przeglądy i audyty są kluczowe.
3. Rola personelu – niezbędne są szkolenia i jasne procedury, ponieważ część incydentów wynika z błędów ludzkich.
4. Retencja danych – dbamy o terminowe usuwanie lub anonimizowanie danych.
5. DPIA (ocena skutków przetwarzania) – na podstawie przeprowadzonej analizy ryzyka uznaliśmy, że DPIA została wykonana. Dokument jest dostępny do wglądu wewnętrznie.

10. Rejestr Czynności Przetwarzania (art. 30 RODO)

Prowadzimy również rejestr czynności przetwarzania zawierający:

• Cele przetwarzania,
• Kategorie przetwarzanych danych,
• Kategorię osób, których dane dotyczą,
• Informacje o przekazywaniu danych odbiorcom zewnętrznym (np. dostawcom chmury),
• Okresy przechowywania,
• Zastosowane środki bezpieczeństwa.

Rejestr jest dokumentem wewnętrznym, udostępnianym w razie kontroli organu nadzorczego (UODO).

11. Inspektor Ochrony Danych (IOD) lub Osoba ds. RODO

• Obowiązek powołania IOD (lub DPO) dotyczy głównie podmiotów przetwarzających dane na dużą skalę lub wrażliwe dane.
• W zależności od skali i charakteru przetwarzania może zajść konieczność powołania IOD. Aktualnie nie wymagamy powołania IOD.

---

Podsumowanie

Dokładamy wszelkich starań, aby przestrzegać wysokich standardów ochrony danych osobowych zgodnie z RODO. Dzięki jasnym procedurom, minimalizacji danych oraz regularnym audytom zapewniamy bezpieczne i przejrzyste przetwarzanie informacji o uprawnieniach kierowców.

W razie pytań lub wątpliwości:

Kontakt:

• E-mail: kontakt@kontrolauprawnien.pl
• Tel.: +48 501 818 046

Prosimy o zamieszczenie w tytule wiadomości frazy „RODO”, aby przyspieszyć obsługę Twojego zapytania.

---

Ostatnia aktualizacja: 14.03.2025