System awizacji dostaw przetwarza dane osobowe kierowców i przewoźników (imię i nazwisko, numer telefonu, numer rejestracyjny, firma) na podstawie art. 6 ust. 1 lit. f RODO - uzasadnionego interesu administratora. Studio VSS.net realizuje przy tym minimalizację danych, automatyczną anonimizację po okresie retencji oraz nieedytowalne logi dostępu.
Cyfryzacja procesów logistycznych na placu manewrowym i rampach często napotyka opór działów prawnych oraz compliance. Obawy dotyczą głównie tego, jak ochrona danych osobowych kierowców wpłynie na wdrożenie nowego oprogramowania w strukturach firmy. Zgodność z RODO oprogramowanie logistyczne musi gwarantować już na etapie projektowania (privacy by design). System YMS VSS.net zbudowano tak, aby w pełni zabezpieczać proces, jakim jest awizacja dostaw, co przyspiesza akceptację projektu przez audytorów w przedsiębiorstwach z certyfikatem ISO.
Jakie dane osobowe w systemie YMS są przetwarzane podczas rejestracji
Program zbiera tylko te informacje, które są niezbędne do prawidłowej identyfikacji transportu i zabezpieczenia mienia zakładu. Dane osobowe w systemie YMS ograniczają się zazwyczaj do kilku podstawowych punktów: imię i nazwisko kierowcy, numer telefonu do powiadomień SMS o statusie podstawienia pod rampę, numer rejestracyjny pojazdu oraz nazwa firmy przewozowej.
Zgodnie z zasadą minimalizacji oprogramowanie nie wymaga wprowadzania numerów dowodów osobistych czy paszportów, o ile wewnętrzne procedury bezpieczeństwa firmy tego nie nakazują. Ograniczenie zakresu zbieranych informacji do minimum ułatwia zarządzanie bazą i redukuje ryzyko prawne. Dane trafiają do systemu m.in. przez kiosk samoobsługowy oraz moduł powiadomień.

Kartoteka przewoźnika - zakres danych
Kartoteka przewoźnika gromadzi wyłącznie dane potrzebne do obsługi transportu - nazwę firmy, dane kontaktowe i powiązane pojazdy. Taki zakres odpowiada zasadzie minimalizacji danych z RODO i ułatwia późniejszą anonimizację rekordów.
Podstawa prawna przetwarzania danych osobowych w procesach logistycznych
Podstawowym instrumentem prawnym legitymizującym przetwarzanie danych kierowców i przewoźników w systemie awizacyjnym jest art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora. Interes ten wiąże się z zapewnieniem bezpieczeństwa na terenie zakładu pracy, ochroną mienia przed kradzieżą lub zniszczeniem oraz organizacją ruchu pojazdów na placu manewrowym.
W określonych przypadkach, gdy system rejestruje dostawy realizowane przez firmy jednoosobowe powiązane kontraktem z odbiorcą, podstawą może być również art. 6 ust. 1 lit. b RODO - niezbędność do wykonania umowy. Szczegóły przetwarzania opisuje polityka prywatności SoftwareStudio.
Podział ról w procesie ochrony danych między VSS.net a klientem
Dla działów compliance i audytorów ISO istotne znaczenie ma jasne określenie struktury odpowiedzialności za profile użytkowników. W tym modelu klient (przedsiębiorstwo wdrażające system awizacji) występuje jako administrator danych osobowych (ADO) - to on decyduje o celach, zakresie oraz czasie przechowywania informacji.
Platforma VSS.net działa natomiast jako procesor (podmiot przetwarzający). Realizuje operacje na danych wyłącznie na udokumentowane polecenie administratora. Relację tę reguluje precyzyjna umowa powierzenia przetwarzania danych (DPA), która stanowi standardowy i obligatoryjny element wdrożenia systemu w modelu chmurowym.
| Rola | Kto pełni | Zakres odpowiedzialności |
|---|---|---|
| Administrator (ADO) | Klient wdrażający system awizacji | Decyduje o celach, zakresie i czasie przechowywania danych; przyjmuje żądania osób, których dane dotyczą. |
| Procesor | SoftwareStudio Group (VSS.net) | Przetwarza dane wyłącznie na polecenie ADO, zgodnie z umową powierzenia (DPA) i wymogami bezpieczeństwa. |
Automatyczna anonimizacja rekordów i retencja danych po zakończeniu awizacji
Dane identyfikacyjne kierowców nie mogą być przechowywane w systemach IT bezterminowo. VSS.net pozwala na elastyczne definiowanie czasu retencji, po upływie którego następuje automatyczna anonimizacja rekordów.
Po zrealizowaniu dostawy i opuszczeniu placu przez pojazd system - po określonym przez ADO czasie (np. po 30 lub 90 dniach) - bezpowrotnie usuwa imię, nazwisko oraz numer telefonu kierowcy z historii zgłoszenia. W bazie pozostają jedynie informacje statystyczne, takie jak data, godzina operacji, czas trwania rozładunku czy nazwa firmy spedycyjnej. Pozwala to zachować ciągłość raportowania wskaźników KPI przy jednoczesnym spełnieniu wymogu usuwania danych zbędnych.

Historia wjazdów i wyjazdów - rejestr zdarzeń
Rejestr wjazdów i wyjazdów dokumentuje ruch pojazdów na potrzeby bezpieczeństwa zakładu. Po okresie retencji dane identyfikacyjne kierowcy są anonimizowane, a w historii pozostają wyłącznie zapisy zdarzeń i czasy obsługi.
Logi dostępu i techniczne bezpieczeństwo danych awizacja
Aby spełnić unijną zasadę rozliczalności, system VSS.net prowadzi szczegółowe i nieedytowalne logi dostępu do danych. Każda operacja - od wprowadzenia awizacji przez przewoźnika za pośrednictwem sieci Internet, przez weryfikację okna czasowego na portierni, aż po modyfikację przez koordynatora logistyki - jest rejestrowana w logach systemowych.
Oprogramowanie precyzyjnie zapisuje, który użytkownik, kiedy i jaki zakres danych przeglądał lub modyfikował. Cała komunikacja z platformą jest szyfrowana protokołem SSL, co ogranicza ryzyko przechwycenia pakietów informacji. System umożliwia operatorowi natychmiastowe usunięcie lub modyfikację danych na wniosek kierowcy, zapewniając sprawne realizowanie prawa do bycia zapomnianym. Takie techniczne bezpieczeństwo danych awizacja gwarantuje pełną transparentność podczas kontroli i audytów zewnętrznych.

Uprawnienia i kontrola dostępu do danych
Moduł uprawnień pozwala przypisać każdej roli wyłącznie potrzebny zakres dostępu do danych - inny dla ochrony, kierowników i przewoźników zewnętrznych. Połączone z logami dostępu wspiera zasadę rozliczalności wymaganą przez RODO i audyty ISO.