Dobre praktyki ochrony danych klientów dla przedsiębiorców działających w branży motoryzacyjnej

Kodeks dobrych praktyk jest integralną częścią porozumienia o współpracy Polskiego Związku Przemysłu Motoryzacyjnego oraz generalnego inspektora ochrony danych osobowych. Dokument podpisali dr Wojciech Rafał Wiewiórowski (GIODO) i Jakub Faryś, prezes PZPM.

Opracowanie przez obie te instytucje „Kodeksu dobrych praktyk w zakresie ochrony danych osobowych klientów i potencjalnych klientów" jest o tyle istotne, że firmy z sektora motoryzacyjnego, w tym producenci pojazdów, ich przedstawiciele oraz dilerzy, a także współpracujące z nimi podmioty gromadzą wiele informacji o swoich klientach i nabywanych przez nich pojazdach.

Znają ich parametry techniczne, wiedzą, jaki był sposób finansowania zakupu, a gdy dodatkowo oferują w pakiecie ubezpieczenie, pozyskują informacje o ewentualnych kradzieżach, wypadkach i naprawach. Zbierane dane dotyczą zarówno klientów indywidualnych (obecnych i potencjalnych), jak i instytucjonalnych.

Istotne jest zatem, aby przetwarzanie tych danych odbywało się zgodnie z przepisami prawa – nie tylko branżowymi, na podstawie których działają poszczególne podmioty, ale także z ustawą o ochronie danych osobowych. Jednocześnie jednak trzeba uwzględnić, że nie zawsze suche przepisy są dla wszystkich jasne. Różna może być ich interpretacja.

A niewłaściwie dokonana może skutkować naruszeniem prawa w opinii GIODO i ewentualnym potwierdzeniem słuszności takiej decyzji przez sąd. Ponadto, nawet mimo braku formalnego złamania prawa, nieodpowiednie użycie danych osobowych może naruszyć relacje z klientem.

Może on być niezadowolony ze sposobu wykorzystania informacji o nim, nawet gdy firma miała do tego prawo. Dlatego właśnie, aby pomóc wszystkim firmom działającym w tym sektorze, został opracowany wspomniany dokument.

Specyfika branży

Prace nad dokumentem trwały ponad dwa lata. Kwestią, której ustalenie zajęło nam najwięcej czasu, było określenie dopuszczalnego okresu przechowywania danych osobowych przez firmy z sektora motoryzacyjnego. – Długo zastanawialiśmy się, jak interpretować pojęcie „okres adekwatny do potrzeb firm z sektora rynku motoryzacyjnego" – mówi Wiewiórowski.

– Trzeba było wyważyć, kiedy ustaje pierwotny cel, w jakim dane pozyskano i wykorzystywano, a od którego momentu dane zaczynają być przetwarzane w nowym celu, np. marketingu produktów i usług kolejnych podmiotów. O ile bowiem łatwo ustalić, że klientem ubezpieczyciela jest osoba, która zawarła z nim odpowiednią umowę, o tyle trudno czasem przesądzić, czy klient, który kupił u konkretnego dilera samochód, nadal jest jego klientem.

Z jednej bowiem strony może być z nim nadal związany, chociażby realizując u niego przeglądy gwarancyjne czy pogwarancyjne, z drugiej jednak trudno uznać, że jest to taki sam typ „swojego klienta", którego mają np. ubezpieczyciele. Dlatego tak ważne jest, aby rozwiązania ogólne przekładać na język i specyfikę danego sektora – tłumaczy Wiewiórowski.

Praktyczny przewodnik

Uwzględniając tę specyfikę, dokument został przygotowany w formie praktycznego przewodnika, odnoszącego się do istotnych dla sektora motoryzacyjnego przypadków, i napisany językiem, który jest używany w tej branży. Jest zwięzły (15 stron) i zawiera:

- słownik podstawowych pojęć z zakresu danych osobowych,

- najważniejsze zasady, jakimi należy się kierować przy wykorzystywaniu danych osobowych,

- warunki, jakie trzeba spełnić, by przetwarzanie danych osobowych, zarówno tzw. zwykłych, jak i wrażliwych, było zgodne z prawem,

- zasady należytego zabezpieczenia danych osobowych przetwarzanych zarówno w sposób tradycyjny, jak i w systemach informatycznych,

- informacje, na jakich zasadach powinno odbywać się przekazywanie danych osobowych poza Europejski Obszar Gospodarczy, czyli do tzw. państw trzecich,

- przykładową klauzulę zgody na przetwarzanie danych osobowych oraz przykładowy sposób dopełniania tzw. obowiązku informacyjnego.

Dokumenty (porozumienie pomiędzy GIODO i PZPM oraz kodeks dobrych praktyk) można pobrać ze strony generalnego inspektora ochrony danych osobowych (www.giodo.gov.pl).

Układ kodeksu

Kodeks dobrych praktyk dla sektora motoryzacyjnego został podzielony na 11 części:

- definicje,

- zasady ogólne,

- podstawa prawna przetwarzania danych,

- obowiązek informacyjny,

- rejestracja zbioru danych,

- zabezpieczenie danych osobowych,

- uprawnienia osób, których dane dotyczą,

- transfer danych osobowych do państwa trzeciego,

- powierzenie przetwarzania danych osobowych,

- przesyłanie informacji handlowych drogą elektroniczną,

- postanowienia końcowe.

Najważniejsza definicja

Dane osobowe na potrzeby kodeksu dobrych praktyk zostały zdefiniowane jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej będącej klientem lub potencjalnym klientem, w szczególności obejmujące następujące kategorie informacji: imię, nazwisko, wiek, adres, numer telefonu, adres e-mail, NIP, posiadany pojazd lub flota, potrzeby i zainteresowania.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Dane osobowe mogą również obejmować dane osobowe wrażliwe. Danymi osobowymi są również informacje dotyczące osób fizycznych prowadzących działalność gospodarczą, które gromadzone są w jawnej Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG).