GDPR și monitorizarea GPS

Article GDPR si monitorizarea prin GPS

În prezent, tehnologia ocupă din ce în ce mai mult din viața noastră privată, precum și din afacerea noastră, apelăm la tehnologie pentru o mulțime de soluții la probleme vechi, o soluție comună pentru o mulțime de probleme care implică flote de mașini este monitorizarea locației GPS. În afară de prevenirea evidentă a furtului și a utilizării abuzive, aceasta poate veni cu o mulțime de alte beneficii, în funcție de specificul afacerii în care s-ar putea afla, inclusiv, dar fără a se limita la gestionarea rutelor și a consumului de combustibil, gestionarea afacerii vs utilizarea privată a mașinilor pentru a calcula costurile, chiar și îndeplinirea potențială a anumitor obligații legale. Chiar și cu atât de multe avantaje potențiale, este recomandabil să nu vă grăbiți într-o astfel de prelucrare, deoarece poate implica mai multe cerințe decât v-ați fi dat seama la început din perspectiva protecției datelor.

Înțelegerea drepturilor angajaților

Primul aspect care trebuie stabilit este că confidențialitatea angajaților este un drept fundamental al omului care se aplică și la locul de muncă. Articolul 8 din Convenția Europeană a Drepturilor Omului recunoaște acest drept, subliniind necesitatea unei așteptări rezonabile de confidențialitate pentru angajați. Hotărârile recente ale Curții Europene a Drepturilor Omului (CEDO) au consolidat acest principiu, în special în ceea ce privește urmărirea la bordul vehiculelor și posibila încălcare a dreptului unei persoane la viață privată și la protecția datelor. Principala concluzie din acest aspect este că, deși monitorizarea ar putea fi utilă și justificată, trebuie să rămână în anumite limite pentru a fi conformă cu legea din motivele pe care le vom discuta mai jos.

În acest sens, putem consulta decizia Tribunalului Administrativ din Lüneburg (Germania) nr. 04 A 12/19. În timpul evaluării acestei situații, instanța a concluzionat că, întrucât monitorizarea GPS ar colecta date de localizare atât în timpul programului de lucru, cât și în afara orelor de lucru, ceea ce o face deosebit de intruzivă pentru angajați. Sistemul GPS ar putea fi oprit în timpul orelor de lucru, dar numai cu dificultăți semnificative, ceea ce a determinat instanța să concluzioneze că, având în vedere așteptarea rezonabilă a vieții private în afara orelor de lucru, aplicabilitatea oricărui temei juridic pentru o astfel de monitorizare ar fi grav împiedicată și, prin urmare, nu ar fi aplicabilă.

Conformitatea legală și GDPR

Regulamentul general privind protecția datelor (GDPR) dictează normele privind confidențialitatea datelor în cadrul Uniunii Europene. Datele de localizare, un aspect esențial al urmăririi vehiculelor, sunt considerate date cu caracter personal în temeiul GDPR, fapt confirmat de mai multe ori atât de organismele de reglementare din țările UE, cât și de EDPB. Angajatorii care utilizează sisteme de urmărire a vehiculelor nu numai că colectează date legate de vehicul, ci și informații personale despre angajații lor, cum ar fi locația lor și chiar modele comportamentale (deoarece multe soluții de urmărire oferă acum feedback despre comportamentul șoferului, iar unele chiar alerte atunci când sunt atinse anumite praguri de viteză sau alte criterii).

Pentru a asigura conformitatea cu GDPR, așa cum am menționat anterior, angajatorii trebuie să stabilească un temei juridic valabil pentru prelucrarea datelor cu caracter personal, altfel prelucrarea nu poate fi legală. Cele 6 temeiuri juridice permise de regulament sunt consimțământul, necesitatea contractului, obligația legală, interesele vitale, sarcina publică sau interesele legitime. Cu toate acestea, deoarece consimțământul vine cu o serie de cerințe stricte pentru a fi aplicabil și valabil, este puțin probabil ca acesta să poată fi susținut pentru o astfel de activitate de prelucrare. EDPB a subliniat în Ghidul 05/2020 că valabilitatea consimțământului depinde de echilibrul de putere dintre părți, ca atare este foarte puțin probabil ca un angajat să poată consimți în mod liber la o activitate pe care angajatorul o solicită. Un aspect care a fost confirmat și de autoritatea austriacă pentru protecția datelor în decizia DSB-D213.658, în care s-a constatat că consimțământul ca temei juridic pentru monitorizarea GPS nu poate constitui un temei juridic valabil din cauza neîndeplinirii criteriilor de valabilitate menționate mai sus. Cu toate acestea, autoritatea nu a exclus că există un interes legitim în efectuarea unei astfel de monitorizări, ca atare este vorba despre alegerea temeiului juridic corect și efectuarea analizei adecvate pentru punerea în aplicare a măsurilor.

Interesele legitime și drepturile angajaților

Deși există foarte puține excepții în care ar putea fi aplicabile alte temeiuri juridice, cum ar fi pentru îndeplinirea unor cerințe legale stricte pentru monitorizarea rutelor anumitor tipuri de mărfuri, în majoritatea cazurilor temeiul juridic utilizat pentru efectuarea monitorizării GPS va fi interesul legitim al operatorului, fiind acela de prevenire a furtului,  gestionarea proceselor operaționale de livrare sau alte aspecte, cum ar fi gestionarea consumului de combustibil. Cu toate acestea, interesul legitim nu ar trebui privit ca o carte blanche de a face orice și oricând, și acesta are anumite cerințe care trebuie îndeplinite pentru a fi valabil și apărat în cazul unei plângeri sau al unei investigații, unul dintre cele mai importante aspecte privind utilizarea interesului legitim este evaluarea interesului legitim (LIA) în timpul căreia sunt cântărite drepturile și libertățile fundamentale ale persoanelor vizate interesele legitime ale societății pentru a evalua proporționalitatea măsurilor planificate în ceea ce privește monitorizarea.

Angajatorii trebuie să ia în considerare cu atenție proporționalitatea și necesitatea atunci când implementează noile tehnologii, în special cele la care angajații nu se așteaptă sau de care nu sunt conștienți. Transparența și proporționalitatea sunt fundamentale, în special atunci când se invocă interese legitime pentru a justifica prelucrarea datelor cu caracter personal. Angajatorii trebuie să se asigure că sunt prelucrate numai datele strict necesare scopului identificat, iar angajații sunt pe deplin informați cu privire la existența și scopul urmăririi în conformitate cu obligațiile de transparență.

Un alt aspect cheie al unei evaluări a interesului legitim este analiza alternativelor mai puțin intruzive pentru scopurile declarate. Ca atare, dacă puteți atinge același scop cu eforturi rezonabile fără a monitoriza angajații, regula generală este că ar trebui. În cursul zilei de 2 octombrie 2023, Autoritatea austriacă pentru protecția datelor a ajuns la o concluzie în cazul 2022-0.021.739 privind monitorizarea GPS în care a declarat că, deși operatorul avea scopuri rezonabile pentru urmărirea kilometrajului mașinilor și a consumului de combustibil, datorită faptului că nu au existat incidente anterioare care să justifice astfel de măsuri preventive stricte privind furtul și faptul că urmărirea kilometrajului și a combustibilului ar putea fi efectuată într-un mai puțin Într-un mod intruziv, așa cum s-a procedat în trecut, nu există niciun interes legitim pe care s-ar putea baza pentru urmărirea locației GPS a vehiculelor, invalidând astfel legalitatea prelucrării din cauza lipsei unui temei juridic.

Efectuarea evaluărilor impactului asupra protecției datelor (DPIA)

Dincolo de cerințele pentru o evaluare valabilă a interesului legitim, având în vedere potențialul impact ridicat și intruziunea în viața privată a persoanei, este important să se efectueze o evaluare a impactului asupra protecției datelor (DPIA) în care să fie luate în considerare toate aspectele semnificative ale prelucrării și ale capacităților tehnice, pentru a prevedea mai bine impactul potențial asupra persoanelor vizate,  în cazul nostru, angajații a căror locație este monitorizată.

Pe de altă parte, toate autoritățile pentru protecția datelor trebuie să publice o listă a activităților de prelucrare pentru care este obligatorie o DPIA, colectarea datelor de localizare, în special a locațiilor geografice, fiind una dintre activitățile menționate de Autoritatea Română ca trebuind să fie supuse unei DPIA înainte de implementarea acesteia.

Evaluările impactului asupra protecției datelor (DPIA) reprezintă o componentă esențială pentru asigurarea conformității cu GDPR. DPIA evaluează scopul, necesitatea, riscurile și măsurile de atenuare legate de prelucrarea datelor cu caracter personal și, după cum s-a menționat anterior, capacitățile tehnice și organizaționale și configurarea activităților de prelucrare, precum și măsurile potențiale de atenuare care trebuie implementate pentru efectuarea fiabilă a monitorizării într-un mod conform.

Măsuri practice de conformitate

Realizarea unui amestec armonios de valorificare a tehnologiei pentru eficiență, respectând în același timp confidențialitatea angajaților, nu este o sarcină ușoară și necesită implementarea unor măsuri practice de conformitate:

  1. Delimitarea scopului urmaririi Angajatorii ar trebui să limiteze urmărirea la orele de lucru și la regiunile predefinite, accesând datele de localizare numai în situații de urgență. Există deja anumite recomandări specifice oferite de WP29 cu privire la soluțiile de limitare a monitorizării doar la ceea ce este relevant. După cum am menționat mai sus, restricționarea monitorizării locațiilor în afara orelor de lucru, asociată cu o pornire automată a înregistrării datelor de localizare în cazul în care vehiculul depășește o anumită zonă predefinită, sunt modalități excelente de limitare a domeniului de aplicare al monitorizării, păstrând în același timp vehiculele în siguranță în caz de furt.
  2. Transparență și educație: Ar trebui furnizate politici clare privind urmărirea utilizării dispozitivelor, inclusiv măsuri de renunțare la confidențialitate. Informarea angajaților care utilizează vehiculele și care, prin urmare, sunt supuși monitorizării este o cerință clară pentru verificarea obligațiilor de transparență stabilite de GDPR la articolele 12 și 13, în plus, este foarte puțin probabil ca, fără informarea adecvată a angajaților, LIA și DPIA menționate anterior să aibă un rezultat pozitiv. Pe de altă parte, instruirea angajaților care gestionează soluția și au acces la date se poate dovedi a fi una dintre cele mai bune investiții pe care le poate face o companie, deoarece poate ajuta la identificarea potențialelor probleme și la ridicarea acestora către persoanele potrivite care le vor aborda în mod corespunzător.
  3. Atenuarea intruziunii: Angajatorii ar trebui să se asigure că urmărirea este limitată la ceea ce este strict necesar pentru scopul identificat, adică dacă scopul este acela de a preveni furtul și alte incidente conexe, nu puteți utiliza monitorizarea pentru a evalua și performanța angajaților, deoarece aceasta ar depăși scopul declarat pentru care au fost efectuate evaluările și informarea.

Menținerea conformității

Din păcate, deoarece majoritatea proceselor care se învârt în jurul protecției datelor necesita mai mult decat o analiza singulara la momentul implementarii, există anumite măsuri necesare pentru a asigura conformitatea continuă a activității de prelucrare, în cazul în care monitorizarea este aplicabilă, există chiar și o nevoie mai strictă pentru ca măsurile de întreținere corespunzătoare să fie puse în aplicare și efectuate în mod corespunzător în mod corespunzător, având în vedere impactul potențial ridicat asupra persoanelor vizate. Iată câteva strategii suplimentare pentru a asigura conformitatea pe termen lung:

1. Audituri periodice și verificări ale conformității

Auditurile periodice ale utilizării sistemului de urmărire și ale practicilor de manipulare a datelor pot identifica potențialele abateri de la politicile de confidențialitate stabilite. Aceste audituri ar trebui să cuprindă atât aspecte tehnologice, cât și procedurale.

2. Programe de instruire și conștientizare a angajaților

Educarea angajaților cu privire la politicile companiei privind urmărirea în vehicul și confidențialitatea datelor este crucială. Sesiunile regulate de instruire și atelierele de lucru pot spori gradul de conștientizare a angajaților și pot încuraja utilizarea responsabilă a sistemului de urmărire.

3. Privacy by Design and by Default

Implementarea măsurilor de confidențialitate în proiectarea sistemului de urmărire este esențială. În mod implicit, sistemul ar trebui să acorde prioritate confidențialității, limitând colectarea datelor și asigurându-se că este capturată cea mai mică cantitate de informații personale necesare pentru scopul propus.

4. Interacționați cu reprezentanții angajaților

Stabiliți canale de comunicare cu reprezentanții angajaților sau cu sindicatele pentru a răspunde preocupărilor legate de urmărirea în vehicul și confidențialitatea datelor. Implicarea angajaților în procesul de luare a deciziilor poate duce la soluții mai bune care echilibrează nevoile operaționale și confidențialitatea. De asemenea, este important de menționat că acest aspect este o cerință legală și în România conform Legii 190/2018, întrucât procesele care implică monitorizarea la locul de muncă trebuie implementate numai după consultarea reprezentanților angajaților sau a sindicatelor.

Concluzia

Tehnologia de urmărire în vehicul deține un potențial imens de a revoluționa gestionarea flotei și de a optimiza operațiunile de afaceri. Cu toate acestea, implementarea responsabilă este esențială pentru valorificarea beneficiilor sale, fără a compromite confidențialitatea angajaților. Găsirea echilibrului corect între eficiența operațională și confidențialitatea individuală este un efort continuu care necesită angajament și vigilență din partea angajatorilor. Prin aderarea la cerințele legale, promovarea transparenței și încorporarea practicilor centrate pe confidențialitate, organizațiile pot optimiza procesele astfel încât să profite de valoarea maximă a tehnologiilor menționate într-un cadru legal și conform.

 

Pentru detalii si suport pentru impementarea conforma a unei solutii de GPS ne puteti scrie la office@decalex.ro 

 

Alexandru BORLAN 

 

Senior Privacy & Data Protection Consultant la Decalex

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Data nașterii prelucrată de magazinele online ar putea fi considerată ilegală

Opinia EDPB vs “Pay or Okay”

Opinia EDPB vs “Pay or Okay”

Moderarea conținutului în Regatul Unit

Moderarea conținutului în Regatul Unit

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

CJUE: Publicitatea digitală si licitarea datelor cu caracter personal

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI