RODO - co należy wiedzieć o ochronie danych osobowych?

Opracował: dr inż. Bogusław Madej

25 maja 2018 roku w życie weszło rozporządzenie, które zrewolucjonizowało sposób, w jaki firmy na całym świecie traktują dane osobowe. RODO – Rozporządzenie o Ochronie Danych Osobowych – stało się jednym z najczęściej dyskutowanych aktów prawnych ostatnich lat, wzbudzając jednocześnie niepokój wśród przedsiębiorców i nadzieję wśród konsumentów. Dla jednych oznaczało górę nowych obowiązków i ryzyko kar sięgających milionów euro, dla innych – wreszcie realną kontrolę nad własnymi danymi. W branży transportu drogowego RODO ma szczególne znaczenie – firmy transportowe przetwarzają ogromne ilości danych osobowych: kierowców (dane z tachografów, GPS, akta osobowe), klientów (dane kontaktowe, adresy dostaw), kontrahentów, i wielu innych. System telematyczny śledzący pojazd jednocześnie śledzi kierowcę – i to są dane osobowe podlegające ochronie. Według raportu Grant Thornton, w 2024 roku Prezes UODO nałożył kary za naruszenie RODO na łączną kwotę ponad 13,8 miliona złotych, a najwyższa pojedyncza kara wyniosła ponad 4 miliony złotych. Te liczby pokazują, że RODO to nie martwe przepisy – to realne ryzyko dla firm, które nie przestrzegają zasad ochrony danych. Niniejszy artykuł wyjaśnia, czym dokładnie jest RODO, jakie nakłada obowiązki, jakie prawa daje osobom, których dane dotyczą, i jak praktycznie wdrożyć wymagania rozporządzenia w firmie transportowej.

Spis treści

1. Czym jest RODO? Podstawowe pojęcia i definicje
2. Siedem zasad przetwarzania danych osobowych
3. Podstawy prawne przetwarzania danych
4. Prawa osób, których dane dotyczą
5. Obowiązki administratora danych
6. Inspektor Ochrony Danych (IOD)
7. Naruszenia i kary
8. RODO w branży transportu drogowego
9. Podsumowanie

Czym jest RODO? Podstawowe pojęcia i definicje

Rejestr Ochrony Danych Osobowych RODO (ang. GDPR – General Data Protection Regulation) to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Rozporządzenie weszło w życie 25 maja 2018 roku i obowiązuje bezpośrednio we wszystkich państwach członkowskich UE, bez konieczności implementacji do prawa krajowego.

Cel RODO

RODO zostało wprowadzone w celu harmonizacji przepisów dotyczących ochrony danych osobowych w całej Unii Europejskiej oraz zapewnienia swobodnego przepływu danych między państwami członkowskimi. Rozporządzenie chroni osoby fizyczne przed dowolnym wykorzystaniem ich danych bez ich wiedzy i zgody, jednocześnie umożliwiając legalny obrót danymi w celach biznesowych.

Kluczowe definicje

Dane osobowe

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 1 RODO). Przykłady danych osobowych:

1. Imię i nazwisko.
2. Numer PESEL, numer dowodu osobistego.
3. Adres zamieszkania, adres e-mail.
4. Numer telefonu.
5. Dane lokalizacyjne (GPS).
6. Numer rejestracyjny pojazdu (w powiązaniu z kierowcą).
7. Dane z tachografu (identyfikujące kierowcę).
8. Adres IP komputera.
9. Wizerunek (zdjęcie, nagranie).

Dane wrażliwe (szczególne kategorie danych)

Dane wrażliwe to szczególne kategorie danych osobowych, których przetwarzanie jest co do zasady zabronione (art. 9 RODO). Należą do nich:

1. Dane ujawniające pochodzenie rasowe lub etniczne.
2. Poglądy polityczne.
3. Przekonania religijne lub światopoglądowe.
4. Przynależność do związków zawodowych.
5. Dane genetyczne.
6. Dane biometryczne (np. odcisk palca).
7. Dane dotyczące zdrowia.
8. Dane dotyczące seksualności lub orientacji seksualnej.

Administrator danych

Administrator danych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO). W firmie transportowej administratorem jest zazwyczaj sam przedsiębiorca lub spółka.

Podmiot przetwarzający (procesor)

Podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO). Przykładem jest biuro rachunkowe obsługujące firmę transportową lub dostawca systemu GPS.

Przetwarzanie danych

Przetwarzanie to operacja lub zestaw operacji wykonywanych na danych osobowych (art. 4 pkt 2 RODO). Obejmuje:

1. Zbieranie danych.
2. Utrwalanie danych.
3. Organizowanie danych.
4. Przechowywanie danych.
5. Modyfikowanie danych.
6. Pobieranie danych.
7. Przeglądanie danych.
8. Wykorzystywanie danych.
9. Ujawnianie danych (przez przesłanie, rozpowszechnianie).
10. Usuwanie lub niszczenie danych.

Siedem zasad przetwarzania danych osobowych

RODO w art. 5 określa siedem fundamentalnych zasad, które muszą być przestrzegane przy każdym przetwarzaniu danych osobowych.

1. Zasada zgodności z prawem, rzetelności i przejrzystości

Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (art. 5 ust. 1 lit. a RODO). Oznacza to, że administrator musi mieć podstawę prawną do przetwarzania, działać uczciwie, i informować osoby o tym, jak ich dane są wykorzystywane.

2. Zasada ograniczenia celu

Dane osobowe mogą być zbierane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami (art. 5 ust. 1 lit. b RODO). Jeśli zbierasz dane do celów kadrowych, nie możesz ich używać do marketingu bez dodatkowej podstawy prawnej.

3. Zasada minimalizacji danych

Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (art. 5 ust. 1 lit. c RODO). Nie można zbierać danych „na zapas" ani więcej danych, niż jest to konieczne.

4. Zasada prawidłowości

Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane (art. 5 ust. 1 lit. d RODO). Administrator powinien podjąć wszelkie rozsądne działania, aby dane nieprawidłowe zostały niezwłocznie usunięte lub sprostowane.

5. Zasada ograniczenia przechowywania

Dane osobowe mogą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (art. 5 ust. 1 lit. e RODO). Po osiągnięciu celu dane powinny być usunięte lub zanonimizowane.

6. Zasada integralności i poufności

Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (art. 5 ust. 1 lit. f RODO).

7. Zasada rozliczalności

Administrator jest odpowiedzialny za przestrzeganie wszystkich powyższych zasad i musi być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO). Oznacza to obowiązek dokumentowania działań i decyzji dotyczących ochrony danych.

Podstawy prawne przetwarzania danych

Zgodnie z art. 6 RODO, przetwarzanie danych osobowych jest zgodne z prawem tylko wtedy, gdy istnieje co najmniej jedna z sześciu podstaw prawnych.

1. Zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a)

Osoba wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Przykład: zgoda na otrzymywanie newslettera.

2. Wykonanie umowy (art. 6 ust. 1 lit. b)

Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby przed zawarciem umowy. Przykład: przetwarzanie danych kierowcy w celu zawarcia umowy o pracę.

3. Obowiązek prawny (art. 6 ust. 1 lit. c)

Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Przykład: przechowywanie danych z tachografu zgodnie z przepisami o czasie pracy kierowców.

4. Ochrona żywotnych interesów (art. 6 ust. 1 lit. d)

Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Przykład: przetwarzanie danych medycznych w nagłym wypadku.

5. Zadanie realizowane w interesie publicznym (art. 6 ust. 1 lit. e)

Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Przykład: kontrola ITD.

6. Prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f)

Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora lub strony trzeciej, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Przykład: monitoring GPS pojazdów służbowych w celu ochrony mienia firmy.

Prawa osób, których dane dotyczą

RODO przyznaje osobom fizycznym szereg praw dotyczących ich danych osobowych. Administrator ma obowiązek umożliwić realizację tych praw.

1. Prawo do informacji (art. 13-14 RODO)

Osoba, której dane dotyczą, ma prawo do uzyskania od administratora szczegółowych informacji o przetwarzaniu jej danych, w tym o celach przetwarzania, kategoriach danych, odbiorcach danych, okresie przechowywania, i przysługujących prawach.

2. Prawo dostępu do danych (art. 15 RODO)

Osoba ma prawo uzyskać od administratora potwierdzenie, czy przetwarzane są jej dane osobowe, a jeżeli tak – prawo dostępu do tych danych oraz uzyskania ich kopii.

3. Prawo do sprostowania danych (art. 16 RODO)

Osoba ma prawo żądać niezwłocznego sprostowania nieprawidłowych danych osobowych oraz uzupełnienia danych niekompletnych.

4. Prawo do usunięcia danych – „prawo do bycia zapomnianym" (art. 17 RODO)

Osoba ma prawo żądać usunięcia swoich danych osobowych, gdy dane nie są już niezbędne do celów, dla których zostały zebrane, lub gdy osoba cofnęła zgodę i nie ma innej podstawy przetwarzania.

5. Prawo do ograniczenia przetwarzania (art. 18 RODO)

Osoba ma prawo żądać ograniczenia przetwarzania danych w określonych sytuacjach, np. gdy kwestionuje prawidłowość danych.

6. Prawo do przenoszenia danych (art. 20 RODO)

Osoba ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przesłać te dane innemu administratorowi.

7. Prawo do sprzeciwu (art. 21 RODO)

Osoba ma prawo wnieść sprzeciw wobec przetwarzania jej danych opartego na prawnie uzasadnionym interesie administratora lub przetwarzania do celów marketingu bezpośredniego.

8. Prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji (art. 22 RODO)

Osoba ma prawo nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec niej skutki prawne lub podobnie istotnie na nią wpływa.

Obowiązki administratora danych

Administrator danych osobowych ma szereg obowiązków wynikających z RODO. Zgodnie z art. 24 RODO, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać.

Kluczowe obowiązki administratora

1. Wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych (art. 24 i 32 RODO).
2. Prowadzenie rejestru czynności przetwarzania danych osobowych (art. 30 RODO).
3. Realizacja obowiązku informacyjnego wobec osób, których dane dotyczą (art. 13-14 RODO).
4. Powołanie Inspektora Ochrony Danych (IOD) w określonych przypadkach (art. 37 RODO).
5. Przeprowadzanie oceny skutków dla ochrony danych (DPIA) dla ryzykownych operacji przetwarzania (art. 35 RODO).
6. Zgłaszanie naruszeń ochrony danych osobowych do organu nadzorczego (UODO) w ciągu 72 godzin (art. 33 RODO).
7. Zawiadamianie osób, których dane dotyczą, o naruszeniach wysokiego ryzyka (art. 34 RODO).
8. Zawieranie umów powierzenia przetwarzania danych z podmiotami przetwarzającymi (art. 28 RODO).
9. Zapewnienie realizacji praw osób, których dane dotyczą (art. 15-22 RODO).
10. Stosowanie zasady privacy by design (zapewnienie zgodności z RODO już w czasie projektowania rodzaju przetwarzania danych) i privacy by default (domyślna ochrona już istniejących i przetwarzanych danych) (art. 25 RODO).

Rejestr czynności przetwarzania

Zgodnie z art. 30 RODO, administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada. Rejestr zawiera:

1. Imię i nazwisko lub nazwę oraz dane kontaktowe administratora.
2. Cele przetwarzania.
3. Opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych.
4. Kategorie odbiorców, którym dane zostały lub zostaną ujawnione.
5. Informacje o przekazywaniu danych do państw trzecich.
6. Planowane terminy usunięcia poszczególnych kategorii danych.
7. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Inspektor Ochrony Danych (IOD)

Inspektor Ochrony Danych (IOD) to osoba wyznaczona przez administratora do monitorowania przestrzegania przepisów o ochronie danych osobowych (art. 37-39 RODO).

Kiedy wyznaczenie IOD jest obowiązkowe?

1. Przetwarzania dokonuje organ lub podmiot publiczny (z wyjątkiem sądów).
2. Główna działalność administratora polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób na dużą skalę.
3. Główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (wrażliwych) lub danych dotyczących wyroków skazujących.

Zadania IOD (art. 39 RODO)

1. Informowanie administratora i pracowników o obowiązkach wynikających z RODO i innych przepisów o ochronie danych oraz doradzanie im.
2. Monitorowanie przestrzegania RODO i innych przepisów o ochronie danych oraz polityk administratora, w tym szkolenia personelu i audyty.
3. Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych (DPIA) oraz monitorowanie jej wykonania.
4. Współpraca z organem nadzorczym (UODO).
5. Pełnienie funkcji punktu kontaktowego dla organu nadzorczego.

Niezależność IOD

IOD musi działać niezależnie – administrator nie może wydawać mu instrukcji dotyczących wykonywania zadań, nie może go odwoływać ani karać za wykonywanie obowiązków (art. 38 RODO). IOD podlega bezpośrednio najwyższemu kierownictwu.

Naruszenia i kary

RODO przewiduje surowe kary za naruszenie przepisów o ochronie danych osobowych. Organem uprawnionym do nakładania kar w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (UODO).

Rodzaje kar administracyjnych

1. Kary do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) – za naruszenie obowiązków administratora, podmiotu przetwarzającego, certyfikującego lub monitorującego (art. 83 ust. 4 RODO).
2. Kary do 20 000 000 EUR lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) – za naruszenie podstawowych zasad przetwarzania, warunków zgody, praw osób, których dane dotyczą, przekazywania danych do państw trzecich, lub niezastosowanie się do nakazu organu nadzorczego (art. 83 ust. 5-6 RODO).

Kary w Polsce w 2024 roku

Według raportu Grant Thornton, w 2024 roku Prezes UODO nałożył kary na łączną kwotę ponad 13,8 miliona złotych. Najwyższa pojedyncza kara wyniosła 4 053 173 zł, najniższa – 916,71 zł. Kary nakładane są zarówno na duże korporacje, jak i na małe przedsiębiorstwa.

Naruszenie ochrony danych – obowiązek zgłoszenia

W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (art. 33 RODO). Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia o naruszeniu osobę, której dane dotyczą (art. 34 RODO).

RODO w branży transportu drogowego

Branża transportu drogowego przetwarza znaczne ilości danych osobowych, co wiąże się ze specyficznymi wyzwaniami i obowiązkami wynikającymi z RODO.

Dane osobowe przetwarzane w transporcie

1. Dane kierowców – akta osobowe, dane z tachografów, karty kierowcy, badania lekarskie, szkolenia.
2. Dane z systemów GPS/telematyki – lokalizacja pojazdu (a więc i kierowcy), prędkość, styl jazdy, czas pracy.
3. Dane klientów – dane kontaktowe, adresy dostaw, historia zleceń.
4. Dane kontrahentów – dane podwykonawców, dostawców, partnerów biznesowych.
5. Dane z monitoringu wizyjnego – nagrania z kamer w pojazdach i na terenie firmy.

Monitoring GPS a RODO

System monitoringu GPS zbiera dane o lokalizacji pojazdu, a tym samym o lokalizacji kierowcy – są to dane osobowe podlegające ochronie. Zgodnie z art. 22(3) § 1 Kodeksu pracy (Dz.U. 2023 poz. 1860 z późn. zm.), monitoring GPS może być wprowadzony tylko wtedy, gdy jest niezbędny do:

1. Zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy.
2. Właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.
3. Ochrony mienia pracodawcy.

Pracodawca musi poinformować pracowników o istnieniu systemu monitoringu, jego celu i zakresie (obowiązek informacyjny z art. 13 RODO). Monitoring nie może naruszać godności pracownika ani być wykorzystywany do celów niezgodnych z deklarowanymi.

Dane z tachografów

Tachograf cyfrowy rejestruje dane identyfikujące kierowcę (przez kartę kierowcy), czas jazdy, przerwy, odpoczynki, i inne informacje. Dane te są danymi osobowymi i podlegają ochronie zgodnie z RODO. Przewoźnik, jako administrator danych, ma obowiązek:

1. Poinformować kierowców o przetwarzaniu danych z tachografu.
2. Przechowywać dane przez wymagany okres (zgodnie z przepisami o czasie pracy kierowców).
3. Zabezpieczyć dane przed nieuprawnionym dostępem.
4. Udostępniać dane wyłącznie uprawnionym podmiotom (kontrole ITD, GITD).

Praktyczne kroki wdrożenia RODO w firmie transportowej

1. Przeprowadź audyt – zidentyfikuj, jakie dane osobowe przetwarzasz, w jakich celach, na jakiej podstawie prawnej.
2. Stwórz rejestr czynności przetwarzania – dokumentuj wszystkie operacje na danych osobowych.
3. Przygotuj klauzule informacyjne – dla pracowników, kierowców, klientów, kontrahentów.
4. Zawrzyj umowy powierzenia przetwarzania – z biurem rachunkowym, dostawcą systemu GPS, firmą IT.
5. Wdróż procedury bezpieczeństwa – zabezpieczenia techniczne (szyfrowanie, hasła, firewalle) i organizacyjne (szkolenia, procedury).
6. Przeszkol pracowników – wszyscy, którzy przetwarzają dane osobowe, muszą znać zasady RODO.
7. Ustal procedurę obsługi żądań osób – jak odpowiadać na żądania dostępu, sprostowania, usunięcia danych.
8. Ustal procedurę zgłaszania naruszeń – jak postępować w przypadku wycieku danych, kto odpowiada za zgłoszenie do UODO.
9. Rozważ powołanie IOD – nawet jeśli nie jest obowiązkowy, może pomóc w zapewnieniu zgodności.
10. Regularnie przeglądaj i aktualizuj procedury – RODO to proces ciągły, nie jednorazowe działanie.

Podsumowanie

RODO to kompleksowe rozporządzenie, które fundamentalnie zmieniło sposób, w jaki firmy muszą podchodzić do ochrony danych osobowych. Dla branży transportu drogowego, gdzie przetwarzane są dane kierowców (tachografy, GPS, akta osobowe), klientów i kontrahentów, zgodność z RODO jest nie tylko obowiązkiem prawnym, ale także elementem budowania zaufania i profesjonalnego wizerunku. Kary za naruszenie RODO mogą sięgać milionów euro, ale równie ważne są konsekwencje wizerunkowe i utrata zaufania klientów. Wdrożenie RODO to proces ciągły – wymaga regularnych przeglądów, szkoleń i aktualizacji procedur.

Kluczowe wnioski

1. RODO to rozporządzenie unijne regulujące ochronę danych osobowych, obowiązujące od 25 maja 2018 roku.
2. Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie – w tym dane z GPS i tachografów.
3. Siedem zasad RODO (zgodność z prawem, ograniczenie celu, minimalizacja, prawidłowość, ograniczenie przechowywania, integralność i poufność, rozliczalność) musi być przestrzegane przy każdym przetwarzaniu.
4. Przetwarzanie danych wymaga co najmniej jednej z sześciu podstaw prawnych (zgoda, umowa, obowiązek prawny, żywotne interesy, interes publiczny, prawnie uzasadniony interes).
5. Osoby, których dane dotyczą, mają szereg praw (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw).
6. Administrator ma obowiązek prowadzić rejestr czynności przetwarzania, realizować obowiązek informacyjny, zgłaszać naruszenia w ciągu 72 godzin.
7. Inspektor Ochrony Danych (IOD) jest obowiązkowy w określonych przypadkach i pełni funkcję doradczą i monitorującą.
8. Kary za naruszenie RODO mogą sięgać 20 mln EUR lub 4% rocznego obrotu.
9. W transporcie drogowym szczególną uwagę należy zwrócić na dane z systemów GPS, tachografów, i monitoring wizyjny.
10. RODO to proces ciągły – wymaga regularnych przeglądów, szkoleń i aktualizacji.

Praktyczne działania dla firm transportowych

1. Przeprowadź audyt przetwarzania danych osobowych w swojej firmie.
2. Stwórz lub zaktualizuj rejestr czynności przetwarzania.
3. Przygotuj i wręcz pracownikom klauzule informacyjne o przetwarzaniu ich danych (w tym danych z GPS i tachografów).
4. Zawrzyj umowy powierzenia przetwarzania z wszystkimi podmiotami zewnętrznymi (biuro rachunkowe, dostawca GPS, firma IT).
5. Wdróż procedury bezpieczeństwa – zarówno techniczne (szyfrowanie, hasła), jak i organizacyjne (szkolenia, procedury).
6. Przeszkol wszystkich pracowników przetwarzających dane osobowe.
7. Ustal procedurę reagowania na naruszenia ochrony danych i żądania osób.
8. Rozważ powołanie lub wyznaczenie IOD.
9. Regularnie przeglądaj i aktualizuj dokumentację i procedury.
10. Śledź orzecznictwo UODO i aktualizacje przepisów.

RODO nie jest jednorazowym projektem, który można „zamknąć" i zapomnieć. To ciągły proces zarządzania danymi osobowymi, który wymaga uwagi, zasobów i zaangażowania. Firmy transportowe, które potraktują RODO poważnie, nie tylko unikną kar, ale także zbudują przewagę konkurencyjną opartą na zaufaniu klientów i pracowników.

Spis źródeł

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO/GDPR) – Dz.Urz. UE L 119 z 4.5.2016.
2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych – Dz.U. 2019 poz. 1781 z późn. zm.
3. Ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy – Dz.U. 2023 poz. 1860 z późn. zm. – art. 22(3) dotyczący monitoringu pracowników.
4. UODO.gov.pl – „Prawa osób w odniesieniu do danych" (2023).
5. Przewodnikporodo.pl – „Jakie są kluczowe obowiązki administratora danych według RODO" (2025).
6. Wolterskluwer.com – „Podstawa prawna przetwarzania danych osobowych" (2024).
7. RODOradar.pl – „Prawa osób, których dane dotyczą" (2025).
8. GDPR.pl – „Artykuł 24 – Obowiązki administratora" (2021).
9. EY.com – „Ochrona danych osobowych – ustawa RODO" (2025).
10. ODO24.pl – „Jakie mają prawa osoby, których dane osobowe przetwarzamy" (2021).
11. Lexdigital.pl – „Dane osobowe: Kompletny przewodnik po RODO na 2025 rok" (2025).
12. RPMS.pl – „Podstawy przetwarzania danych z RODO. Jak je wybierać i jak rozumieć?" (2025).
13. Navifleet.pl – „Monitoring GPS w firmie a RODO: Kluczowe informacje" (2024).
14. Datasystem.pl – „RODO i telematyka: kluczowe zasady ochrony danych w systemach GPS" (2025).
15. Trans.eu – „Korzystanie z tachografu a ochrona danych osobowych" (2023).
16. Orodo.pl – „Zadania i obowiązki Inspektora Ochrony Danych (IOD): Przewodnik dla firm" (2024).
17. Dlaiod.pl – „Obowiązki IOD" (2018).
18. GDPR.pl – „Artykuł 39 – Zadania inspektora ochrony danych" (2025).
19. ODO24.pl – „Zestawienie kar finansowych RODO" (2025).
20. Grant Thornton – „Kto płaci za naruszenie RODO? Kary pieniężne nałożone przez Prezesa UODO w 2024 r." – raport (2025).

Hashtagi

#RODO #OchronaDanychOsobowych #GDPR #TransportDrogowy #DaneOsobowe #PrywatnośćPracowników #BezpieczeństwoDanych

 

Jesteś zainteresowany podnoszeniem swoich kwalifikacji?

Skorzystaj z naszych usług.

Wróc na bloga