Adatvédelem és biztonság

  • A tgk.-útdíjrendszerért, mint magas szintű feladatért a Szövetségi Teherforgalmi Hivatal által képviselt Németországi Szövetségi Köztársaság felel. Az útdíjrendszert üzemeltető Toll Collect a Szövetségi Teherforgalmi Hivatal megbízottja. A Toll Collect ebben a törvényileg meghatározott szerepében teljesíti a szövetségi távolsági úthasználati díjtörvényben és a tgk.-útdíjrendeletben, valamint a szövetségi adatvédelmi törvényben meghatározott követelményeket. Megbízóként a Szövetségi Teherforgalmi Hivatalnak kell meghatároznia a teljesítendő követelményeket, és ehhez útmutatásokat adhat.

    Ebben a keretben már a pályázati kiírás részeként is kidolgozásra került egy adatvédelmi és biztonsági koncepció, amely azóta a rendszer kiépítésével párhuzamosan bővítésre és pontosításra került. Az adatvédelmi koncepció a Szövetségi Teherforgalmi Hivatallal és az illetékes felügyeleti hatóságként eljáró szövetségi adatvédelmi megbízottal folyamatosan egyeztetésre kerül. Ez az alapja az adatvédelmi követelmények operatív üzemeltetésbe történő átültetésének.

    Az adatfeldolgozásra vonatkozó engedély az útdíjrendszer tekintetében elsősorban a szövetségi távolsági úthasználati díjtörvényből és a tgk.-útdíjrendeletből adódik. Az előírások nem csak az adatfeldolgozást teszik lehetővé, hanem annak szigorú célhoz kötését is előírják, és az üzemeltetőnek az adatokat rövid határidővel törölnie kell. A Toll Collect kizárólag ennek a törvényi felhatalmazásnak a keretei között, az útdíjrendszer üzemeltetése céljából dolgoz fel adatokat. Kizárólag a szövetségi távolsági úthasználati díjtörvény 4.§-ának 3. bekezdésében, 7.§-ának 2. bekezdésében és 8.§-ában, valamint a tgk.-útdíjrendeletben felsorolt adatokat rögzíti. Ezeket az adatokat az üzemeltető mint a Szövetségi Teherforgalmi Hivatal megbízásából eljáró magasszintű megbízott kizárólag a díjbeszedés törvényileg meghatározott céljából, szigorúan az adatvédelmi jogszabályok előírásai szerint dolgozza fel.

  • Az ellenőrzőhidaknál a járművek adatainak rögzítése pontosan a törvényalkotó előírásai szerint történik. A szövetségi távolsági úthasználati díjtörvény 7.§-ának 2. bekezdése többek között lehetővé teszi, hogy az útdíjtörvény előírásai betartásának ellenőrzése céljából a járművekről kép készüljön, továbbá megállapításra kerüljön a forgalmi rendszámuk. A szövetségi távolsági úthasználati díjtörvény 9.§-ának 5. bekezdése szerint ezeket az adatokat közvetlenül az ellenőrzés végrehajtása után törölni kell, amennyiben a jármű nem díjköteles. A Toll Collec a járművekről készült képeket és a forgalmirendszám-adatokat kizárólag a felsorolt törvényi célok keretében és a törlési előírások szerint dolgozza fel. A járművezetők a képeken nem felismerhetők. Ezen túlmenően azoknál a nem díjköteles járműveknél, amelyeknél az értékelés alapján megállapítást nyert a díjkötelezettség hiánya, a készített képet a rendszer a forgalmi rendszám tekintetében nem vizsgálja, hanem a másodperc törtrésze alatt törli.

  • Kizárólag a regisztrált ügyfelek kapnak tájékoztatást a Toll Collecttől az elszámolással együtt arról, hogy a tgk. mely időpontban mely útszakaszokon járt, és az ügyfélnek mekkora útdíj összeget kell fizetnie. Harmadik feleknek nincs lehetőségük mozgásprofilok létrehozására, mert az elszámolási adatokhoz csak a Szövetségi Teherforgalmi Hivatal és a Toll Collect GmbH fér hozzá. Az elszámolásban minden elszámolt útszakasz vonatkozásában csak az indulás időpontja szerepel. Ennek alapján nem állapítható meg jogilag értékelhető átlagsebesség. A járműkészülék nem rögzít adatokat a tgk. sebességéről és rakományáról.

  • A Toll Collect GmbH átfogó és integrált adatvédelmi és biztonsági koncepciót dolgozott ki az útdíjrendszerre. A műszaki intézkedések megfelelnek a legújabb biztonságtechniki előírásoknak, és továbbfejlesztésük folyamatos.

    A Szövetségi Információtechnikai Biztonsági Hivatal Alapvető IT-védelmi kézikönyvének előírásai szerint a rendszer valamennyi komponensének védelmi igényét elemeztük, amelynek során figyelembe vettük a rendelkezésre állással, az integritással és a megbízhatósággal kapcsolatos kockázatokat. A feldolgozandó adatokat az érzékenységük szerint kell besorolni, és a besorolási mintának megfelelő műszaki és szervezési óvintézkedéseket kell megtenni.

    A biztonsági koncepció alapján a személyes adatok tekintetében olyan biztonsági intézkedéseket teszünk, amelyek megakadályozzák, hogy ezeket az adatokat nem engedélyezett célokra lehessen felhasználni vagy azokhoz illetéktelenek hozzáférjenek.

    Személyes adatok átadására kizárólag olyan üzenetek keretében és olyan mértékben kerülhet sor, ami ahhoz szükséges, hogy el lehessen végezni az útdíjrendszerrel kapcsolatban törvényileg vagy az útdíjrendszer ügyfeleivel kötött szerződésben meghatározott feladatokat. A biztonsági koncepcióban figyelembe vettük, hogy a kommunikáció (SMS vagy GPRS) nyílt hálózatokban történik. Ezért annak érdekében, hogy az adatokhoz harmadik felek illetéktelenül ne férjenek hozzá, a járműkészülékről a Toll Collect központjába továbbított üzeneteket saját titkosítási eljárással titkosítjuk. Ezen kívül a kommunikációs partnert azonosítani is kell. Az adatok manipulálásának megakadályozása és az információkba történő „belehallgatás” kizárása érdekében mindig zárt (végponttól végpontig terjedő), kriptográfiai funkciókkal rendelkező biztonsági láncot hozunk létre.

    Az adatokat telefonhívással nem lehet a járműkészülékből kiolvasni. Kizárólag adatkommunikációra alkalmas, módosított SIM-kártyákat alkalmazunk. Beszédkommunikáció nem lehetséges. A végponti készülékek karbantartását kizárólag felhatalmazott szervizek végezhetik. A járműkészülékekből az adatokat hozzáférési kódok megadásával lehet kiolvasni, és ezeket a kódokat harmadik feleknek nem adjuk át. Az ellenőrzési technika feltárja, ha megkísérlik a járműkészülék manipulálását, illetve ha a járműkészüléket ellopják majd ismét beszerelik.

    Adatvédelmi és biztonsági szervezetet hoztunk létre, amelyben meghatározott operatív területeken jártas adatvédelmi és biztonsági koordinátorok dolgoznak. A védelmi igények elemzését és az intézkedéseket adatbázisban dokumentáljuk, valamint az adatvédelmi és biztonsági szervezet illetékes munkatársai számára hozzáférhetővé tesszük.

    A tgk.-útdíjrendszert a biztonsági eseményekre gyorsan reagálni képes biztonsági szervezet magasszintű biztonsági szabványok szerint üzemelteti. Az adatvédelmi és a biztonsági terület szorosan együttműködik.

  • A szövetségi távolsági úthasználati díjtörvény (BFStrMG) keretében az útadatok feldolgozásakor nem az adatvédelmi alaprendelet szerinti megbízotti feldolgozásról van szó. A Toll Collect az útdíjrendszer ügyfeleinek útadatait a díjelszámolás keretében, mint az érvényes adatvédelmi jogi előírások szerinti önálló, felelős szerv dolgozza fel. A feldolgozás jogi alapja a szövetségi távolsági úthasználati díjtörvény (BFStrMG) 4.§-a 3. bekezdésének 3. mondata. Ez az előírás engedélyezi az üzemeltető számára, hogy az útadatokat a díjelszámoló rendszer üzemeltetése céljából feldolgozza.