Czy kierowca taksówki prowadzący własną działalność gospodarczą i świadczący usługi dla korporacji, jest zobligowany do posiadania dokumentacji ochrony danych osobowych?

Przede wszystkim należałoby rozważyć i określić czy osoba prowadząca jednoosobową działalność gospodarczą oraz pracująca w ramach tej działalności dla korporacji zajmującej się usługami taxi przetwarza dane osobowe.

Biorąc pod uwagę możliwe procesy przetwarzania danych obowiązujące w korporacji tj. w podmiocie, który jest administratorem danych osobowych klientów oraz pracowników, można dojść do wniosku, że w przypadku świadczenia usługi przez kierowcę, który zawarł umowę z korporacją, będzie dochodziło do przetwarzania danych osobowych. Zakres tych danych zależy od charakteru współpracy oraz profilu prowadzonych usług, a także wykorzystywanych narzędzi.

Z uwagi na to, że kierowca taki wykonuje pracę na podstawie umowy zawartej z korporacją, a ta wskazuje zasady współpracy, a ponadto korporacja jako administrator danych osobowych przekazuje pozyskiwane dane osobowe kierowcom, zachodzi tu potrzeba analizy w zakresie zawarcia umowy powierzenia przetwarzania danych osobowych (art. 28 RODO). Wziąć też należy pod uwagę charakter współpracy z kierowcą oraz sposoby i narzędzia świadczenia pracy. Może to mieć wpływ na ocenę czy będzie dochodziło do powierzenia przetwarzania danych.

Przyjmujemy sytuację najbardziej oczywistą - kierowca prowadzący JDG w opisywanej sytuacji będzie podmiotem przetwarzającym (art. 4 ust. 8 RODO), świadczącym usługi na rzecz administratora. O celach i sposobach przetwarzania danych klientów w zakresie świadczenia usługi przewozu osób decyduje korporacja będąca administratorem tych danych (art. 4 ust. 7 RODO). Oczywiście nie można zapominać o obowiązujących przepisach prawa, regulujących aspekty dotyczące przewozu osób, a także wymogi dotyczące samych kierowców, które muszą oni spełnić, aby świadczyć usługi taxi.

Jeżeli kierowca taxi prowadzący JDG jest podmiotem przetwarzającym, to zgodnie z przepisami Rozporządzenia 2016/679 nałożone są na niego obowiązki związane z przetwarzaniem danych osobowych (art. 28 ust. 2-4 RODO). Administrator danych (tu korporacja) ma możliwość wyboru takich wykonawców, którzy spełnią wymagania stawiane w zakresie zapewnienia bezpieczeństwa organizacyjnego i technicznego powierzonych do przetwarzania danych osobowych (art. 28 ust. 1 RODO, motyw 81). Stąd też można wysnuć wniosek, że kierowca taki powinien móc wykazać zdolność we wspomnianym wyżej zakresie. Jak widomo Rozporządzenie 2016/679 nie wskazuje na konkretne metody i sposoby zabezpieczenia danych, podając jedynie pewne możliwości (np. szyfrowanie). Decyzję co do konkretnych środków pozostawia administratorom oraz podmiotom przetwarzającym określając przy tym, jakie elementy powinny być brane pod uwagę podczas dokonywania wyboru tych środków (art. 32 RODO, motywy 74, 77, 83).

Tak czy inaczej osoba prowadząca działalność gospodarczą, czy robi to pod korporacją czy też świadczy innego rodzaju usługi, w których dochodzi do przetwarzania danych osobowych, powinna opracować i wdrożyć niezbędną dokumentację ochrony danych osobowych oraz polityki pozwalające na spełnienie wymogów i zasad określonych w Rozporządzeniu 2016/679. Oczywiście zakres i charakter tej dokumentacji powinien obejmować elementy obligatoryjne, określone w przepisach prawa, a także elementy wywodzące się z tych przepisów, a ponadto inne, specyficzne dla określonej działalności w konkretnym przypadku.