System awizacji dostaw przetwarza dane osobowe kierowców i przewoźników (imię i nazwisko, numer telefonu, numer rejestracyjny, firma) na podstawie art. 6 ust. 1 lit. f RODO - uzasadnionego interesu administratora. Studio VSS.net realizuje przy tym minimalizację danych, automatyczną anonimizację po okresie retencji oraz nieedytowalne logi dostępu.
Cyfryzacja procesów logistycznych na placu manewrowym i rampach często napotyka opór działów prawnych oraz compliance. Obawy dotyczą głównie tego, jak ochrona danych osobowych kierowców wpłynie na wdrożenie nowego oprogramowania w strukturach firmy. Zgodność z RODO oprogramowanie logistyczne musi gwarantować już na etapie projektowania (privacy by design). System YMS VSS.net zbudowano tak, aby w pełni zabezpieczać proces, jakim jest awizacja dostaw, co przyspiesza akceptację projektu przez audytorów w przedsiębiorstwach z certyfikatem ISO.
Jakie dane osobowe w systemie YMS są przetwarzane podczas rejestracji
Jakie dane osobowe w systemie YMS są przetwarzane podczas rejestracjiProgram zbiera tylko te informacje, które są niezbędne do prawidłowej identyfikacji transportu i zabezpieczenia mienia zakładu. Dane osobowe w systemie YMS ograniczają się zazwyczaj do kilku podstawowych punktów: imię i nazwisko kierowcy, numer telefonu do powiadomień SMS o statusie podstawienia pod rampę, numer rejestracyjny pojazdu oraz nazwa firmy przewozowej.
Zgodnie z zasadą minimalizacji oprogramowanie nie wymaga wprowadzania numerów dowodów osobistych czy paszportów, o ile wewnętrzne procedury bezpieczeństwa firmy tego nie nakazują. Ograniczenie zakresu zbieranych informacji do minimum ułatwia zarządzanie bazą i redukuje ryzyko prawne. Dane trafiają do systemu m.in. przez kiosk samoobsługowy oraz moduł powiadomień.
Kartoteka przewoźnika - zakres danych
Kartoteka przewoźnika gromadzi wyłącznie dane potrzebne do obsługi transportu - nazwę firmy, dane kontaktowe i powiązane pojazdy. Taki zakres odpowiada zasadzie minimalizacji danych z RODO i ułatwia późniejszą anonimizację rekordów.
Podstawa prawna przetwarzania danych osobowych w procesach logistycznych
Podstawa prawna przetwarzania danych osobowych w procesach logistycznychPodstawowym instrumentem prawnym legitymizującym przetwarzanie danych kierowców i przewoźników w systemie awizacyjnym jest art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora. Interes ten wiąże się z zapewnieniem bezpieczeństwa na terenie zakładu pracy, ochroną mienia przed kradzieżą lub zniszczeniem oraz organizacją ruchu pojazdów na placu manewrowym.
W określonych przypadkach, gdy system rejestruje dostawy realizowane przez firmy jednoosobowe powiązane kontraktem z odbiorcą, podstawą może być również art. 6 ust. 1 lit. b RODO - niezbędność do wykonania umowy. Szczegóły przetwarzania opisuje polityka prywatności SoftwareStudio.
Podział ról w procesie ochrony danych między VSS.net a klientem
Podział ról w procesie ochrony danych między VSS.net a klientemDla działów compliance i audytorów ISO istotne znaczenie ma jasne określenie struktury odpowiedzialności za profile użytkowników. W tym modelu klient (przedsiębiorstwo wdrażające system awizacji) występuje jako administrator danych osobowych (ADO) - to on decyduje o celach, zakresie oraz czasie przechowywania informacji.
Platforma VSS.net działa natomiast jako procesor (podmiot przetwarzający). Realizuje operacje na danych wyłącznie na udokumentowane polecenie administratora. Relację tę reguluje precyzyjna umowa powierzenia przetwarzania danych (DPA), która stanowi standardowy i obligatoryjny element wdrożenia systemu w modelu chmurowym.
| Rola | Kto pełni | Zakres odpowiedzialności |
|---|---|---|
| Administrator (ADO) | Klient wdrażający system awizacji | Decyduje o celach, zakresie i czasie przechowywania danych; przyjmuje żądania osób, których dane dotyczą. |
| Procesor | SoftwareStudio Group (VSS.net) | Przetwarza dane wyłącznie na polecenie ADO, zgodnie z umową powierzenia (DPA) i wymogami bezpieczeństwa. |
Automatyczna anonimizacja rekordów i retencja danych po zakończeniu awizacji
Automatyczna anonimizacja rekordów i retencja danych po zakończeniu awizacjiDane identyfikacyjne kierowców nie mogą być przechowywane w systemach IT bezterminowo. VSS.net pozwala na elastyczne definiowanie czasu retencji, po upływie którego następuje automatyczna anonimizacja rekordów.
Po zrealizowaniu dostawy i opuszczeniu placu przez pojazd system - po określonym przez ADO czasie (np. po 30 lub 90 dniach) - bezpowrotnie usuwa imię, nazwisko oraz numer telefonu kierowcy z historii zgłoszenia. W bazie pozostają jedynie informacje statystyczne, takie jak data, godzina operacji, czas trwania rozładunku czy nazwa firmy spedycyjnej. Pozwala to zachować ciągłość raportowania wskaźników KPI przy jednoczesnym spełnieniu wymogu usuwania danych zbędnych.
Historia wjazdów i wyjazdów - rejestr zdarzeń
Rejestr wjazdów i wyjazdów dokumentuje ruch pojazdów na potrzeby bezpieczeństwa zakładu. Po okresie retencji dane identyfikacyjne kierowcy są anonimizowane, a w historii pozostają wyłącznie zapisy zdarzeń i czasy obsługi.
Logi dostępu i techniczne bezpieczeństwo danych awizacja
Logi dostępu i techniczne bezpieczeństwo danych awizacjaAby spełnić unijną zasadę rozliczalności, system VSS.net prowadzi szczegółowe i nieedytowalne logi dostępu do danych. Każda operacja - od wprowadzenia awizacji przez przewoźnika za pośrednictwem sieci Internet, przez weryfikację okna czasowego na portierni, aż po modyfikację przez koordynatora logistyki - jest rejestrowana w logach systemowych.
Oprogramowanie precyzyjnie zapisuje, który użytkownik, kiedy i jaki zakres danych przeglądał lub modyfikował. Cała komunikacja z platformą jest szyfrowana protokołem SSL, co ogranicza ryzyko przechwycenia pakietów informacji. System umożliwia operatorowi natychmiastowe usunięcie lub modyfikację danych na wniosek kierowcy, zapewniając sprawne realizowanie prawa do bycia zapomnianym. Takie techniczne bezpieczeństwo danych awizacja gwarantuje pełną transparentność podczas kontroli i audytów zewnętrznych.
Uprawnienia i kontrola dostępu do danych
Moduł uprawnień pozwala przypisać każdej roli wyłącznie potrzebny zakres dostępu do danych - inny dla ochrony, kierowników i przewoźników zewnętrznych. Połączone z logami dostępu wspiera zasadę rozliczalności wymaganą przez RODO i audyty ISO.
Najczęstsze pytania o RODO w systemie awizacji
Najczęstsze pytania o RODO w systemie awizacjiJakie dane osobowe przetwarza system awizacji dostaw?
System ogranicza się do danych niezbędnych do identyfikacji transportu: imię i nazwisko kierowcy, numer telefonu do powiadomień SMS, numer rejestracyjny pojazdu oraz nazwa firmy przewozowej. Zgodnie z zasadą minimalizacji oprogramowanie nie wymaga numerów dowodów ani paszportów, o ile nie nakazują tego wewnętrzne procedury bezpieczeństwa zakładu.
Na jakiej podstawie prawnej przetwarzane są dane kierowców?
Podstawą jest art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes administratora, związany z bezpieczeństwem zakładu, ochroną mienia i organizacją ruchu pojazdów. W przypadku transportów realizowanych przez firmy jednoosobowe powiązane umową z odbiorcą podstawą może być też art. 6 ust. 1 lit. b RODO - niezbędność do wykonania umowy.
Kto jest administratorem, a kto procesorem danych?
Administratorem danych osobowych (ADO) jest klient wdrażający system - to on decyduje o celach, zakresie i czasie przechowywania danych. Studio VSS.net działa jako procesor (podmiot przetwarzający) i realizuje operacje wyłącznie na udokumentowane polecenie administratora. Relację reguluje umowa powierzenia przetwarzania danych (DPA), będąca elementem wdrożenia w modelu chmurowym.
Jak długo system przechowuje dane i jak je usuwa?
Czas retencji definiuje administrator. Po jego upływie - na przykład po 30 lub 90 dniach od zakończenia awizacji - system automatycznie anonimizuje rekord, bezpowrotnie usuwając imię, nazwisko i numer telefonu kierowcy. W bazie pozostają wyłącznie dane statystyczne (data, godzina, czas rozładunku, nazwa spedycji), co pozwala zachować raportowanie KPI.
Jak system realizuje prawo do bycia zapomnianym?
Operator może na wniosek kierowcy natychmiast usunąć lub zmodyfikować jego dane. Każda taka operacja trafia do nieedytowalnych logów dostępu, a cała komunikacja z platformą jest szyfrowana protokołem SSL. Dzięki temu obsługa żądań usunięcia danych jest sprawna i w pełni rozliczalna podczas audytów.
Słownik pojęć - RODO i ochrona danych w awizacji
Słownik pojęć - RODO i ochrona danych w awizacji- RODO
- Ogólne rozporządzenie o ochronie danych (UE) regulujące przetwarzanie danych osobowych osób fizycznych w Unii Europejskiej.
- Administrator danych osobowych (ADO)
- Podmiot decydujący o celach i sposobach przetwarzania danych - w systemie awizacji jest nim klient wdrażający oprogramowanie.
- Procesor (podmiot przetwarzający)
- Podmiot przetwarzający dane na polecenie administratora - tę rolę pełni dostawca platformy w modelu chmurowym.
- Umowa powierzenia (DPA)
- Umowa regulująca zasady przetwarzania danych między administratorem a procesorem, obligatoryjna przy wdrożeniu w chmurze.
- Uzasadniony interes (art. 6 ust. 1 lit. f)
- Podstawa prawna przetwarzania danych wynikająca z potrzeby zapewnienia bezpieczeństwa zakładu i ochrony mienia.
- Anonimizacja
- Nieodwracalne usunięcie danych identyfikujących osobę, po którym rekord nie pozwala już ustalić tożsamości kierowcy.
- Retencja danych
- Okres, przez który dane są przechowywane, zanim system je usunie lub zanonimizuje.
- Log dostępu
- Nieedytowalny zapis, który użytkownik, kiedy i jaki zakres danych przeglądał lub modyfikował - podstawa zasady rozliczalności.