Ochrona danych osobowych jeszcze nigdy wcześniej tak praktycznie nie dotknęła małych i średnich firm w Polsce, jak w przypadku RODO – europejskiego rozporządzenia o ochronie danych. Ten akt prawny wszedł w życie 24 maja 2016 roku, ale zaczął obowiązywać dwa lata później, czyli 25 maja 2018 roku. Rozporządzenie dotyczy wszystkich firm, w tym warsztatów i salonów samochodowych, gdzie istnieje potrzeba przetwarzania danych osobowych klientów. 

Dane osobowe
Rozporządzenie RODO jest aktem prawnym Unii Europejskiej. Rozporządzenie tym różni się od ustaw, że nie musi być głosowane przez parlamenty poszczególnych państw członkowskich, dlatego RODO weszło w życie niejako automatycznie. Celem jego wprowadzenia było ujednolicenie prawa w ramach Wspólnoty Europejskiej i swobodnego przepływu danych osobowych. W założeniach ma to doprowadzić do lepszej kontroli przetwarzania tych danych przez mieszkańców wspólnoty i w znaczącym stopniu ograniczyć incydenty związane z nadużyciami. 
Przepisy RODO mają swoje zastosowanie we wszystkich organizacjach, w których przetwarzane są dane osobowe. Według UODO (Urzędu Ochrony Danych Osobowych) są to wszelkie informacje umożliwiające identyfikację osoby fizycznej. UODO zaś to urząd, który sprawuje nad nimi nadzór.

Firmy motoryzacyjne
Wracając do motoryzacyjnego podwórka. Dane osobowe, co oczywiste, przetwarzane są codziennie również w warsztatach i salonach samochodowych. Dotyczy to dokumentacji papierowej, elektronicznej, a nawet dokumentów pozostawionych przez klientów w samochodach na czas wizyty w serwisie. Do danych osobowych oczywiście należą wszystkie dane kontaktowe, jak imię, nazwisko, adres zamieszkania lub korespondencyjny, telefon czy e-mail. Z kolei informacje, na podstawie których nie można bezpośrednio ustalić tożsamości danej osoby, takimi danymi nie są. Specyficznym przypadkiem są zarówno VIN, jak i numer rejestracyjny.

VIN i numer rejestracyjny
Wiele pytań i wątpliwości pojawia się w kontekście numerów rejestracyjnych i VIN. Między innymi te dane gromadzone są na mocy ustawy o ruchu drogowym w centralnej ewidencji pojazdów. Oprócz nich są tam zebrane też inne dane dotyczące pojazdu, jak marka, typ i model, rodzaj, rok produkcji, seria i numer dowodu rejestracyjnego, seria i numer karty pojazdu (jeśli została wydana). Natomiast o właścicielu pojazdu i o jego posiadaczu gromadzone są takie dane, jak: imię i nazwisko (nazwa lub firma), adres zamieszkania (siedziby), numer ewidencyjny PESEL, REGON.
Co zatem z numerem rejestracyjnym i VIN-em? W obu przypadkach nie można zidentyfikować konkretnej osoby ani bezpośrednio, ani pośrednio bez ponoszenia nadmiernych kosztów, czasu i działań. Są jednak organy, które na mocy wspomnianej ustawy o ruchu drogowym mają dostęp do informacji zgromadzonych w tej bazie. To między innymi: policja, prokuratura, sądy, komornicy sądowi, ZUS, straż miejska, organy właściwe w sprawach kontroli skarbowej, organy właściwe w sprawach rejestracji pojazdów, organy podatkowe. W ich przypadku VIN i numer rejestracyjny traktowane są jak dane osobowe.

RODO w praktyce
W praktyce każdy warsztat przetwarza dane swoich klientów. Dzieje się tak choćby w ramach umawiania wizyt serwisowych, wystawiania faktur czy polis ubezpieczeniowych i komunikacji marketingowej. W rozumieniu prawa każdy warsztat jest zatem administratorem danych osobowych, co już nakłada na niego konkretne obowiązki, chociaż rozporządzenie nie daje żadnych konkretnych wytycznych ani procedur. Ochrona danych powinna być adekwatna do profilu przedsiębiorstwa i może być realizowana różnymi środkami. Podstawowym obowiązkiem jest polityka informacyjna względem klientów odnośnie do przetwarzanych danych. Zgodnie z wymogami RODO należy przekazać klientom szczegółowe informacje o przetworzeniu ich danych osobowych i prosić o zgodę na ich wykorzystanie w ramach prowadzonej działalności. Każda udzielona zgoda powinna być:

• dobrowolna,
• konkretna,
• świadoma,
• jednoznaczna.

Nie ma jednoznacznych wytycznych co do formy przekazania zgody. Może być ona pisemna, elektroniczna lub ustna. Praktyka wskazuje, że z punktu widzenia przedsiębiorcy najlepiej zachować formę pisemną lub elektroniczną. Jednocześnie trzeba pamiętać o zawarciu klauzuli informacyjnej z tożsamością administratora, jego danymi kontaktowymi i zamierzonymi celami przetwarzania. Ważny jest także planowany okres ich przechowywania. Należy również poinformować o prawie do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, a także do przenoszenia danych. Jeżeli przetwarzanie odbywa się na podstawie zgody, należy poinformować o prawie do cofnięcia zgody w dowolnym czasie oraz prawie wniesienia skargi do organu nadzorczego. Warto dodać, że w przypadku takich działań jak windykacja czy pozwy sądowe zgody na przetwarzanie danych nie są konieczne.

Michał Baranowski

Bezpieczeństwo danych
Podczas zbierania danych przede wszystkim należy pamiętać o celach, dla których są zbierane, i opierać się tylko na tych, które rzeczywiście są potrzebne do realizacji zadań biznesowych. W przypadku branży motoryzacyjnej pewne dane są zbędne. Tych należy unikać zgodnie z zasadą minimalizmu – czym mniej danych, tym lepiej. Takie podejście powoduje mniejsze ryzyko pomyłki lub błędu. Sporo uwagi należy również poświęcić rozwiązaniom informatycznym używanym w procesie przetwarzania i zbierania danych. Ważne jest kilka podstawowych zasad:

• wykorzystywanie haseł dostępu do zasobów teleinformatycznych i ich cykliczna zmiana;
• aktualizacja oprogramowania zalecanego przez producenta;
• wykorzystywanie oprogramowania antywirusowego;
• regularne kopie bezpieczeństwa.

Prawo do bycia zapomnianym
Rozporządzenie na temat ochrony danych osobowych wprowadzana także nowe pojęcie dotyczące zakończenia przetwarzania danych oraz bycia zapomnianym. Jest to istotna nowość w tym zakresie i pod pewnymi warunkami umożliwia usunięcie wcześniej zebranych danych. Prawo to może być zrealizowane w następujących przypadkach:

• dane nie są już dłużej niezbędne do realizacji celu, w jakim zostały zebrane lub są przetwarzane;
• podmiot danych wycofał zgodę na przetwarzanie jego danych osobowych oraz nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie;
• podmiot danych sprzeciwia się przetwarzaniu oraz nie występują nadrzędne, prawnie uzasadnione podstawy przetwarzania lub
• podmiot danych sprzeciwia się przetwarzaniu jego danych osobowych na potrzeby i w zakresie marketingu bezpośredniego (w tym profilowania);
• przetwarzanie w inny sposób nie jest lub nie było zgodne z RODO czy innymi przepisami prawa;
• dane osobowe zostały zebrane w nawiązaniu do oferowania bezpośrednio osobom poniżej 16 lat usług społeczeństwa informatycznego.

Konsekwencje wycieku danych
Rozporządzenie w swoim założeniu za każde naruszenie zasad nakłada bardzo wysokie kary finansowe, które mogę sięgnąć aż do 20 milionów euro lub 4% obrotu firmy. W praktyce każde nadużycie ma być wnikliwie analizowane również pod kątem współpracy z UODO i analizy ryzyka. Oznacza to, że niektóre mogą skończyć się pouczeniem lub obniżeniem górnego pułapu kary. 

Michał Baranowski
www.MenadzerFloty.pl