Czas na przygotowanie się do wymogów prawnych nowego rozporządzenia
o ochronie danych osobowych, dobiegł końca. Od 25 maja 2018 r. każda firma, w tym warsztaty samochodowe, powinny działać zgodnie z RODO i być gotowe na ewentualną kontrolę nowego organu nadzorczego – PUODO.

Nadal nie wiesz jak zabezpieczyć dane osobowe w swoim serwisie, aby ustrzec się przed karami? Poniższy artykuł pomoże Ci uporządkować wiedzę i podpowie jakie rozwiązania warto wdrożyć w warsztatach. Różnic jest całe mnóstwo: od dokumentacji wymaganej zgodnie z RODO, poprzez odpowiedzialność firm, po zaostrzenie kar za nieprzestrzeganie przepisów. Serwisy samochodowe mają obowiązek dostosować się do nowych regulacji RODO.

Ale czym właściwie jest RODO?

Rozporządzenie Parlamentu Europejskiego i Rady z dnia 24 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, tzw. RODO obejmuje każdą firmę na terenie Unii Europejskiej, bez względu na ilość zatrudnionych w niej osób. Konieczność zmiany prawa wynikała z niespotykanej do tej pory skali jego naruszeń. W praktyce trudno znaleźć podmiot, który nie przetwarzałby danych osobowych. Serwisy samochodowe również takie dane przetwarzają. Warsztaty dysponują m.in. danymi klientów oraz swoich pracowników.  Prowadzą dokumentację w formie papierowej i cyfrowej, dzięki czemu możliwa jest realizacja zleceń, rezerwacja terminu przeglądu pojazdu, wystawianie faktur, przyjmowanie reklamacji czy wysyłanie do klientów maili z komunikatami promocyjnymi. Prowadząc nawet mały warsztat jesteśmy administratorem danych osobowych i przetwarzamy dane w ramach swojej działalności. A posiadanie takich danych wiąże się z koniecznością ich odpowiedniego zabezpieczenia. Pamiętajmy o danych zawartych w dokumentach prywatnych aut pozostawionych w celu dokonania serwisu, naprawy bądź diagnostyki. Dowody rejestracyjne, a nawet same numery rejestracyjne aut prywatnych są już danymi osobowymi, które podlegają ochronie.

Według Rozporządzenia numer VIN także jest daną osobową. Wszystkie dane muszą być chronione, a także zabezpieczone przed dostępem osób niepowołanych.

KARY

Dotychczas przedsiębiorcy nie przywiązywali zbyt dużej wagi do ochrony danych osobowych z powodu braku realnych sankcji. Obecnie, niedopilnowanie nowych obowiązków może kosztować nawet do 20 mln EUR lub do 4% wartości rocznego światowego obrotu organizacji. Ale to nie jedyne ryzyko jakie należy brać pod uwagę. Niewłaściwe zabezpieczenie dokumentów wiąże się nie tylko z odpowiedzialnością administracyjną, ale także cywilną i karną. Do tego należy dodać utratę zaufania wśród klientów i trudność w przywróceniu wizerunku budowanego przez lata. Pieniądze z nałożonych kar zasilą budżet państwa i będą finansowały nowy Urząd Ochrony Danych Osobowych, następcę GIODO. Z tego względu, należy się spodziewać, że organy państwowe będą mocno zainteresowane wykrywaniem ewentualnych nieprawidłowości. Nasuwa się pytanie, czy na warsztat samochodowy można nałożyć karę w wysokości aż 20 mln EUR? Tak wysokie kary będą dotyczyły rażących naruszeń, np. u dużego operatora telefonii komórkowej, który notorycznie narusza przepisy. Co nie oznacza, że nałożona przez Prezesa UODO kara finansowa nie doprowadzi do zamknięcia małego przedsiębiorstwa. Sankcje mają być proporcjonalne do skali naruszeń oraz na tyle skuteczne, aby mobilizowały przedsiębiorcę do poważnego potraktowania tematu ochrony danych osobowych osób fizycznych.

Unijne rozporządzenie wprowadziło również odpowiedzialność cywilną, która wiąże się  z przyznaniem obywatelom prawa dochodzenia odszkodowań z tytułu naruszenia ich prywatności. W sytuacji naruszenia danych osobowych powodującego wysokie ryzyko łamania praw lub wolności osób fizycznych, administrator w ciągu 72 godzi musi poinformować o tym zdarzeniu organ nadzorczy oraz osoby, których dane dotyczą. A każda z tych osób, mając wiedzę  o naruszeniu jej dóbr osobistych, będzie mogła wystąpić z roszczeniem odszkodowawczym. Sektor prywatny będzie narażony na procesy cywilne wytoczone ze strony niezadowolonych klientów, byłych pracowników, konkurencji czy prywatnych firm specjalizujących się  w reprezentowaniu poszkodowanych osób.

DANE OSOBOWE

Od teraz trzeba wiedzieć wszystko na temat danych osobowych jakie są przetwarza w serwisie: jakiego rodzaju dane przetwarzamy i w jaki sposób są przechowywane? Czy mamy podstawy prawne do ich przetwarzania? Co się dzieje z danymi po tym, jak przestają być nam potrzebne? Ile osób ma dostęp do danych pojazdu i jego właściciela oraz jak łatwy jest do tego wgląd?

Prawidłowe zarządzanie danymi osobowymi wymaga zrozumienia czym są dane osobowe. Przedsiębiorca powinien samodzielnie rozpoznać, kiedy ma z nimi do czynienia. Jednym z wielu typów kłopotliwych danych są tablice rejestracyjne. Numer rejestracyjny pojazdu sam w sobie nie jest daną osobową. Informuje nas tylko o miejscowości zarejestrowania samochodu, ale nie pozwoli na zidentyfikowanie jego właściciela. Dane, na podstawie których nie możliwe jest bezpośrednie ustalenie tożsamości osoby, nie są danymi osobowymi. Jednak w przypadku dostępu do odpowiedniej bazy, gdzie można ustalić imię i nazwisko właściciela pojazdu, numer rejestracyjny będzie już stanowić dane osobowe.

Warsztat w szczególności powinien zwrócić uwagę na dane swoich klientów. Zasadniczo przetwarzanie danych możliwe jest wtedy, gdy klient wyrazi na to zgodę. Można przetwarzać dane bez jego zgody w celu realizacji zlecenia. Dopuszczalne jest np. wykonanie telefonu do klienta, aby poinformować o konieczności naprawy dodatkowego elementu w pojeździe, ale bez jego zgody na przetwarzanie danych w celach marketingowych, serwis nie może przesłać informacji o promocjach czy prowadzonych akcjach. Najprościej jest pobierać zgody w trakcie podpisywania zlecenia naprawy, bądź przy wydawaniu samochodu.

Administrator Danych Osobowych

Ogólne rozporządzenie nakłada na administratora danych oraz podmiot przetwarzający obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzanych danych. Niewątpliwym utrudnieniem jest brak wyraźnych wytycznych, w jaki sposób spełnić nowe wymagania. Zatem przy wyborze takich zabezpieczeń, administrator będzie musiał wykazać się kreatywnością i odpowiednią wiedzą. Zarówno RODO, jak i nowy projekt polskiej ustawy, nie podają gotowych rozwiązań.

Łatwo dostępne internetowe publikacje zwracają głównie uwagę na wymogi prawne.
Brakuje dokumentu, który krok po kroku wskazuje przykłady konkretnych działań.
Duża swoboda w wyborze środków zabezpieczeń stanowi nie lada wyzwanie dla właściciela warsztatu. Z tego względu warto zastanowić się nad przeprowadzeniem w firmie audytu, który wskaże luki i przedstawi konieczne zalecenia. Administratorzy danych są nie tylko odpowiedzialni za wybór środków bezpieczeństwa i przestrzeganie przepisów, ale w przypadku kontroli muszą udowodnić prawidłowe wykonywanie wynikających z RODO obowiązków.

ŚRODKI OCHRONY DANYCH OSOBOWYCH

Wiele głównych założeń RODO możemy odnaleźć w poprzedniej polskiej ustawie. Jeżeli polityka ochrony danych osobowych była prowadzona do tej pory zgodnie z nieaktualną już ustawą z 1997 roku o ochronie danych osobowych i wydanymi do niej aktami wykonawczymi, to dostosowanie się do nowych regulacji nie powinno stwarzać problemów i może być punktem odniesienia do wdrożenia dalszych jego założeń. Polska ustawa była jedną z bardziej restrykcyjnych w Europie, zatem my już powinniśmy być lepiej przygotowani niż inne państwa UE. Niestety są i tacy przedsiębiorcy, którzy pomimo ciążącego na nich od 20 lat obowiązku ochrony danych osobowych, nie zrobili w tej sprawie nic.

W pierwszej kolejności należy dokonać przeglądu posiadanych danych osobowych, przyjrzeć się istniejącej dokumentacji oraz używanemu oprogramowaniu do  przetwarzania danych i ocenić ich zgodność z przepisami RODO. Warto przeanalizować zebrane do tej pory zgody klientów na przetwarzanie danych i klauzule informacyjne. Analiza luk i uchybień pozwoli dobrać odpowiednie środki naprawcze. Bez audytu nie ma szans na dostosowanie się do RODO.

Standardem w firmach są zabezpieczenia w postaci oprogramowania antywirusowego na służbowych komputerach, regularnie zmienianych haseł, czy wykonywanie kopii zapasowych. Jednak największym zagrożeniem dla bezpieczeństwa zasobów firmy jest człowiek. Bardzo wiele naruszeń to wycieki danych związane z nieświadomym działaniem pracowników. To ich działania lub zaniechania, nawet przy najwyższej klasy zabezpieczeniach, stanowią największe ryzyko. Dlatego ważne jest, aby poza rozwiązaniami technologicznymi zadbać o świadomość swoich pracowników i zmianę ich nastawienia do bezpieczeństwa danych osobowych. Zminimalizowanie błędu ludzkiego możliwe jest poprzez wdrożenie polityki “bezpieczeństwa osobowego”. Jest to najtańsze i najprostsze do wprowadzenia zabezpieczenie, a jednocześnie najskuteczniejsze. Szkolenie personelu jest równie ważne, jak nadanie im upoważnień. Upoważnienie do przetwarzania danych osobowych jest narzędziem, które zobowiązuje do zachowania poufności. Pracodawca bez tego, nie może pociągnąć pracownika do odpowiedzialności za ewentualne naruszenie. W sytuacji, gdy pracownik wyrzuca do kosza jakikolwiek dokument zawierający dane osobowe, to pracodawca odpowiada za jego błąd, chyba że wcześniej zadbał o jego wiedzę w tym zakresie.

Innym bezinwestycyjnym rozwiązaniem jest zasada “czystego biurka”,  czyli niepozostawianie dokumentów z danymi na biurku podczas naszej nieobecności. Jeśli twój mechanik zostawi jakiekolwiek dane osobowe w widocznym miejscu w pracy podczas serwisowania pojazdu, narusza tym samym przepisy o ochronie danych osobowych.

U pracowników należy wyrobić nawyk chowania do szuflad dokumentów a pozostawiać na biurku tylko te, które są niezbędne do pracy w danym momencie. Niepotrzebne dokumenty,  które nie podlegają archiwizacji należy zniszczyć w niszczarce. Te procedury można opisać  w dokumencie „Polityka czystego biurka” i przekazać pracownikom do podpisania. Prostym krokiem jest też ustawienie ekranu monitora w pozycji uniemożliwiającej odczyt przez osoby nieupoważnione. Chodzi nie tylko o klientów serwisu przychodzących do biura obsługi klienta, ale również o inne osoby z zewnątrz, które mogłyby odczytać dane przez szybę w oknie.

Wszystkie omówione powyżej środki techniczno-organizacyjne to rzeczy proste do wdrożenia i bez kosztowe, ale wynikające z dbałości popartej wiedzą z zakresu ochrony danych osobowych. Jednak pierwszym i koniecznym warunkiem wdrożenia jest zmiana sposobu myślenia o ochronie danych osobowych.

Reasumując, temat RODO stał się medialny głównie za sprawą wielomilionowych kar za naruszenia. Biorąc pod uwagę zakres zmian, dużą liczbę niewiadomych i wysokie sankcje, można czuć się zdezorientowanym. RODO odchodzi od dokumentacji na rzecz efektywności. Nieważne jak działamy, ale ma to być skuteczne. Kluczem jest indywidualne podejście.  Jednym ze sposobów ochrony jest umacnianie świadomości, co do znaczenia i wagi tego prawa, a świadomość Polaków  w tym temacie jest już coraz większa.

Każdy podmiot nie tylko musi zadbać o bezpieczeństwo danych osobowych, ale też bardziej je docenić, ze względu na trudność ich późniejszego pozyskiwania. Brak staranności w tym zakresie wiąże się ze skutkami finansowymi, cywilnymi i wizerunkowymi. Wysoki standard ochrony danych osobowych wspiera działalność przedsiębiorstwa, a nawet może zapewnić jego przewagę nad konkurencją. Warto do tego tematu podejść jak do zdrowia – lepiej (i taniej!) jest zapobiegać niż leczyć.

Jednakże nowe przepisy nie wnoszą rewolucyjnych zmian w porównaniu do dotychczasowych polskich przepisów. RODO ma zadbać o prawa wszystkich obywateli Unii Europejskiej. Oprócz tego, że jako właściciel serwisu samochodowego jesteśmy administratorem danych, to jesteśmy także osobą fizyczną, która chciałaby, by jej dane osobowe, a co za tym idzie prywatność, były szanowane i dobrze zabezpieczone.

Naprzeciw unijnym regulacjom wyszła międzynarodowa sieć niezależnych warsztatów samochodowych EuroWarsztat, która dla swoich klientów przygotowała umowy ramowe  pod kątem dostosowania serwisu do warunków RODO. Eksperci przeprowadzą audyt  w warsztacie, opracują odpowiednią dokumentację i pomogą dobrać oraz wdrożyć właściwe środki bezpieczeństwa danych osobowych.