algemene vragen: +32(0)2/352.60.50
Terug naar verhalen

24 okt 2018

De-mystificerende GDPR voor wagenparkbeheerders

Op 25 mei 2018 treedt de algemene gegevensbeschermingsregeling van de EU (GDPR) in werking, wat de grootste update van de Britse gegevensbescherming in 20 jaar is.

 

Maar wat betekent het voor wagenparkbeheerders?

Ten eerste kan het niet worden genegeerd, omdat naleving wettelijk verplicht is. En aangezien de meeste wagenparkbeheerders omgaan met 'persoonlijke gegevens', die op grotere schaal worden gedefinieerd onder GDPR, moeten ze begrijpen hoe de wijzigingen hen beïnvloeden.

Ondanks zijn complexiteit is GDPR een evolutionaire verandering en dus zouden veel operatoren in staat moeten zijn om huidige databeschermingskaders aan te passen in plaats van ze opnieuw uit te vinden. Maar er zijn enkele belangrijke verschillen.

 

Persoonlijke gegevens

GDPR breidt de definitie van persoonlijke gegevens uit met digitale identificatiegegevens zoals IP-adressen en gepseudonimiseerde gegevens die aan personen kunnen worden gekoppeld.

Identifiers in telematicasystemen die gegevens en stuurprogramma's correleren, inclusief informatie over locatie, snelheid of rijgebeurtenissen, kunnen dus persoonsgegevens zijn.

Dit heeft implicaties voor exploitanten omdat individuen nieuwe rechten hebben op persoonlijke gegevens, waaronder het recht om te worden geïnformeerd over de gegevens die worden vastgelegd, om toegang te hebben tot deze gegevens, om onjuiste of onjuiste gegevens te corrigeren en om te proberen te wissen.


Legale basis voor het verwerken van gegevens

Om met persoonlijke gegevens om te gaan, hebben operators een wettelijke basis nodig om deze te verwerken.

Verschillende opties zijn beschikbaar als basis voor verwerking, inclusief toestemming van de bestuurder; de uitvoering van een contract; naleving van een wettelijke verplichting; om een ​​taak van algemeen belang te vervullen of om legitieme belangen na te streven.

De meeste exploitanten zullen waarschijnlijk het verkrijgen van de toestemming van de bestuurder vermijden en in plaats daarvan gebruik maken van legitiem belang of de uitvoering van een contract.

 

Toestemming

De toestemming van de bestuurder is niet vereist als, bijvoorbeeld, gegevens worden gebruikt voor payrolldoeleinden.

Als een werknemer wordt betaald voor rijtijd en telematicagegevens worden gebruikt om deze tijden vast te leggen, valt de verwerking onder de arbeidsovereenkomst. Dergelijk gebruik valt onder de uitzondering van verwerking voor de uitvoering van een contract en toestemming van het stuurprogramma is niet vereist.

Bij het vertrouwen op legitieme belangen moeten exploitanten ervoor zorgen dat de besluitvorming met betrekking tot het evenwicht tussen de belangen van de exploitant en de rechten van bestuurders wordt gedocumenteerd. Exploitanten moeten er ook voor zorgen dat bestuurders redelijkerwijs kunnen verwachten dat hun gegevens worden verwerkt op basis van de legitieme belangen van de exploitant, waaronder fraudepreventie, beveiliging en veiligheid.

Bij gebrek aan een contractuele of legitieme rentebasis moeten exploitanten toestemming van de bestuurder vragen, die specifiek, ondubbelzinnig en vrijelijk moet zijn. Chauffeurs moeten weten wat er wordt vastgelegd en waarom, evenals wat ermee gebeurt en met wie het zal worden gedeeld.

Een dergelijke toestemming moet worden gedocumenteerd en idealiter worden opgenomen in contracten voor werkgelegenheid, leveranciers en chauffeurs, evenals T & C's voor inkoop. Het instemmen met deze procedures zou het risico op toekomstige conflicten moeten verkleinen. 

"Het is van essentieel belang voor wagenparkbeheerders om controlesporen te behouden als bewijs dat specifieke en ondubbelzinnige toestemming vrijelijk is gegeven" BVRLA


Bestuur

GDPR bevat bepalingen voor verantwoording, governance en transparantie, zodat exploitanten gedocumenteerde maatregelen moeten hebben, zoals privacy-effectbeoordelingen, en de principes van 'privacy by design' moeten toepassen. Dit is van toepassing op alle gegevens die zijn gekoppeld aan stuurprogramma's, waaronder die van telematica of fleetmanagementsystemen.

 

Veiligheid

Vlootgegevens moeten worden beheerd met inachtneming van de beveiliging. Exploitanten moeten overwegen of hun leveranciers GDPR-compliant zijn en zoeken diegenen met aantoonbare competentie, zoals certificering volgens ISO 27001.