Toll Collect | Ochrona danych i bezpieczeństwo

Infolinie

Rozmowy z Niemiec:
0800 222 26 28 *
Rozmowy z zagranicy:
00800 0 222 26 28 *

* bezpłatnie, za rozmowy z sieci telefonii komórkowej mogą być naliczane opłaty wg różnych taryf

Ochrona danych i bezpieczeństwo

Co dzieje się z przechowywanymi danymi osobowymi?

Za system poboru opłat drogowych od samochodów ciężarowych odpowiedzialny jest rząd Republiki Federalnej Niemiec, reprezentowany przez Federalny Urząd Transportu Towarowego (BAG), jako za zadanie władzy publicznej. Firma Toll Collect jest zleceniobiorcą BAG i pełni funkcję operatora systemu poboru opłat drogowych. W tej ustawowo wyznaczonej roli Toll Collect spełnia wymogi określone w ustawie o pobieraniu opłat za korzystanie z dróg federalnych (BFStrMG) oraz rozporządzeniu dotyczącym poboru opłat od pojazdów ciężarowych (LKW-MautV), jak również w ustawie federalnej o ochronie danych osobowych (BDSG). Jako zleceniodawca urząd BAG definiuje wymogi dotyczące realizacji i może wydawać polecenia.

Już jako część składową przetargu opracowano koncepcję dotyczącą ochrony i bezpieczeństwa danych, który w trakcie budowy systemu był udoskonalany i konkretyzowany. Koncepcja ochrony danych jest na bieżąco uzgadniana z urzędem BAG i pełnomocnikiem niemieckiego rządu ds. ochrony danych osobowych, będącym właściwym organem nadzorczym. Jest on podstawą realizacji wymogów dotyczących prawa ochrony danych osobowych w ramach operatywnej eksploatacji systemu.

Zezwolenie na przetwarzanie danych osobowych w ramach systemu poboru opłat drogowych wynika głównie z ustawy BFStrMG i rozporządzenia LKW-MautV. Przepisy nie zezwalają jednak tylko na przetwarzanie danych, lecz ściśle wiążą ich przetwarzanie z określonym celem oraz nakazują kasowanie danych w krótkim okresie czasu. Toll Collect przetwarza dane wyłącznie w celu zarządzania i obsługi systemu poboru opłat drogowych oraz tylko w ramach wyżej wymienionego zezwolenia ustawowego. Przechowuje się tylko te dane, które są określone w § 4 ust. 3, § 7 ust. 2 i § 8 ustawy BFStrMG oraz w rozporządzeniu LKW-MautV. Na zlecenie BAG dane te są przetwarzane przez operatora jako osobę prawa prywatnego, której przekazane zostały funkcje administracji państwowej, w sposób ściśle poufny oraz zgodny z przepisami o ochronie danych osobowych oraz wyłącznie do celów przewidzianych w ustawie oraz związanych z poborem opłat drogowych.

Jak przetwarzane są dane wczytywane przez wiadukty kontrolne?

Wczytywanie danych pojazdów przez mostek kontrolny odbywa się w ścisłych ramach określonych przez ustawodawcę. Na podstawie § 7 ust. 2 ustawy BFStrMG zezwala się m.in. wykonywać zdjęcia pojazdów oraz wczytywać numery rejestracyjne wyłącznie w celu sprawowania nadzoru nad przestrzeganiem przepisów określonych w ustawie o poborze opłaty drogowej. Na mocy § 9 ust. 5 BFStrMG dane podlegają skasowaniu bezpośrednio po procesie kontrolnym, o ile pojazd nie podlega opłacie. Firma Toll Collect przetwarza zdjęcia i numery rejestracyjne pojazdów tylko w ramach ustawowego przeznaczenia oraz zgodnie z przepisami dot. kasowania danych. Kierowcy nie są rozpoznawalni na wykonanych zdjęciach. Ponadto w przypadku pojazdu, u którego system stwierdził na podstawie wczytania obrysu pojazdu, że nie jest to pojazd podlegający opłacie, wykonane zdjęcie numerów rejestracyjnych pojazdu nie jest przetwarzane, lecz kasowane w przeciągu ułamka sekundy.

Czy zapisy procesu przetwarzania danych są sprzedawane innym osobom?

Zarejestrowany klient otrzymuje wraz z rozliczeniem informację o tym, kiedy i jaką trasę przejechał samochód ciężarowy klienta oraz ile wynosi kwota opłaty drogowej, którą klient jest zobowiązany uiścić. Osoby trzecie nie mają możliwości uzyskania zapisów procesu przetwarzania danych, ponieważ dostęp do danych rozliczeniowych mają tylko urząd BAG i operator Toll Collect GmbH. Na rozliczeniu wykazana jest wyłącznie godzina rozpoczęcia jazdy po zgłoszonej trasie. Na tej podstawie nie da się ustalić przeciętnej prędkości, która mogłaby zostać wykorzystana prawnie. Jednostka On Board Unit nie przetwarza danych dotyczących prędkości i danych odnoszących się do ładunku ciężarówki.

Czy firma Toll Collect ma koncepcję dotyczącą ochrony i bezpieczeństwa danych?

Firma Toll Collect GmbH opracowała obszerną i integralną koncepcję dot. ochrony i bezpieczeństwa danych w ramach obsługi systemu poboru opłat drogowych. Środki techniczne są zgodne ze stanem techniki bezpieczeństwa i na bieżąco udoskonalane.

Dla wszystkich komponentów przeprowadzono na podstawie podręcznika zasadniczej ochrony informatycznej, wydanego przez niemiecki Urząd ds. Bezpieczeństwa i Techniki Informacyjnej (BSI), analizę zapotrzebowania ochrony, która uwzględnia ryzyka dla rozporządzalności, integralności i poufności danych. Przetwarzane dane muszą być klasyfikowane wg ich wrażliwości. Należy również podjąć techniczne i organizacyjne środki zaradcze odpowiadające klasyfikacyjnemu schematowi.

Na podstawie koncepcji dot. bezpieczeństwa podejmuje się środki bezpieczeństwa danych osobowych i zapobiega możliwości wykorzystania danych do niedopuszczonych celów lub udostępnieniu danych osobom nieupoważnionym.

Dane osobowe są umieszczane na dokumentach rozliczeniowych wyłącznie w takim zakresie, jaki jest niezbędny do prawidłowej obsługi systemu poboru opłat drogowych, zgodnie z właściwymi przepisami i zapisami umowy z klientem. Koncepcja dot. bezpieczeństwa przewiduje, że komunikacja (SMS lub GPRS) odbywa się z wykorzystaniem sieci publicznych. W celach ochronnych przeciwko nieupoważnionemu dostępowi osób trzecich wiadomości przesyłane przez urządzenie OBU do centrali Toll Collect są szyfrowane własną metodą kodowania. Ponadto przeprowadza się autentyfikację partnerów komunikacji. Za każdym razem tworzy się zamknięty łańcuch bezpieczeństwa (od końca do końca) z kryptograficznymi funkcjami, aby zapobiec manipulacji danych i wykluczyć „podsłuchiwanie” informacji.

Nie ma możliwości odczytania danych z jednostki OBU przez połączenie telefoniczne. Zmodyfikowane karty SIM są wykorzystywane wyłącznie do komunikacji danych. Komunikacja głosowa nie jest możliwa. Możliwość doglądania urządzeń końcowych mają tylko autoryzowane serwisy. W celu odczytania danych z jednostki OBU potrzebne są kody dostępu, które nie są udostępniane osobom trzecim. Technika kontrolna jest w stanie rozpoznać próbę manipulacji urządzenia pokładowego lub też kradzież urządzenia i ponowny jego montaż.

Ponadto w określonych działach operatywnych utworzono organizację ochrony i bezpieczeństwa danych, na czele której znajdują się koordynatorzy ochrony i bezpieczeństwa danych. Analizy zapotrzebowania ochrony i odpowiednie środki są dokumentowane w bazie danych i udostępniane właściwym pracownikom organizacji ochrony i bezpieczeństwa danych.

System poboru opłat drogowych jest eksploatowany na wysokim poziomie bezpieczeństwa i oparty na organizacji bezpieczeństwa, która potrafi szybko reagować na różnego rodzaju zajścia w zakresie bezpieczeństwa. Dział ochrony danych ściśle współpracuje z działem bezpieczeństwa danych.

Czy Toll Collect jest podmiotem obsługującym dane klientów dokonujących opłat drogowych?

W przypadku przetwarzania danych dotyczących przejazdów i związanych z ustawą o pobieraniu opłat za korzystanie z dróg federalnych (BFStrMG) nie chodzi o przetwarzanie danych związanych ze zleceniami w rozumieniu ustawy o ochronie danych osobowych. Toll Collect przetwarza dane dot. przejazdów klientów dokonujących opłat drogowych w ramach pobierania tych opłat jako niezależny odpowiedzialny podmiot zgodnie z obowiązującymi postanowieniami w zakresie ochrony danych osobowych. Podstawą prawną przetwarzania danych stanowi § 4 ust. 3 str. 3 BFStrMG. Przepis ten pozwala operatorowi, w tym wypadku firmie Toll Collect, na przetwarzanie danych dot. przejazdów w celu obsługi systemu poboru opłat drogowych.