Wojciech R. Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych: Do GIODO napływają skargi na firmy z szeroko rozumianego sektora motoryzacyjnego, np. od klientów autosalonów. Alarmują oni, że choć od czasu, gdy kupili samochód minęło wiele lat, to, mimo iż sobie tego nie życzą, wciąż otrzymują od dealera różnego rodzaju oferty marketingowe. Takie sygnały z pewnością były jednym z powodów, które legły u podstaw podjęcia prac nad kodeksem dobrych praktyk.
Paweł Janas, IBRM Samar: Niedawno GIODO podpisał Kodeks Dobrych Praktyk opracowany wraz z przedstawicielami branży motoryzacyjnej. Jaki był główny cel przygotowania takiego dokumentu, do kogo jest on skierowany?
Wojciech R. Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych: Firmy z sektora motoryzacyjnego, w tym producenci, importerzy i dealerzy gromadzą wiele informacji o klientach i kupowanych przez nich samochodach. Znają parametry techniczne auta, wiedzą jaki był sposób finansowania jego zakupu. Coraz częściej również samochodowe komputery pokładowe są synchronizowane z urządzeniami komunikacyjnymi kierowców (wspólne kalendarze i listy adresowe), co umożliwia dostęp do tych danych personelowi dokonującemu przeglądów samochodów. Gdy te same podmioty oferują na przykład ubezpieczenie – pozyskują informacje o ewentualnych kradzieżach, wypadkach i naprawach. Zbierane dane dotyczą zarówno klientów indywidualnych, jak i firm. Przy gromadzeniu i wykorzystywaniu tak wielu informacji ważne jest, by nie były one przetwarzane w sposób, który m.in. naruszałby zasady ochrony danych osobowych i prywatność klientów. Stąd pojawiła się potrzeba przygotowania Kodeksu Dobrych Praktyk w sektorze motoryzacyjnym. Podobne kodeksy mają już np. bankowcy czy branża marketingu bezpośredniego. Tym razem, ogólne zasady zapisane w ustawie o ochronie danych osobowych, zostały „przetłumaczone” na język codziennych problemów branży motoryzacyjnej.
Jakie problemy może pomóc rozwiązać kodeks? Czy konieczność jego opracowania świadczy o tym, że w branży motoryzacyjnej często dochodzi do przypadków łamania ustawy o ochronie danych osobowych?
Nie ma co ukrywać, że do GIODO napływają skargi na firmy z szeroko rozumianego sektora motoryzacyjnego, np. od klientów autosalonów. Alarmują oni, że choć od czasu, gdy kupili samochód minęło wiele lat, to mimo iż sobie tego nie życzą, wciąż otrzymują od dealera różnego rodzaju oferty marketingowe. Takie sygnały z pewnością były jednym z powodów, które legły u podstaw podjęcia prac nad kodeksem dobrych praktyk. Impulsem do jego opracowania było również rozstrzygnięcie sądu, które zapadło kilka lat temu, a dotyczyło dealera pewnej marki samochodów. Było ono niekorzystne dla branży motoryzacyjnej, a w opinii GIODO – nie najwłaściwsze. Przed sądem nie bylibyśmy jednak w stanie wykazać, że problem będący przedmiotem sporu, został przez środowisko przemyślany, a konkretne rozwiązanie jest standardem zalecanym zarówno przez tę branżę, jak i przez GIODO, czyli organ kontrolny. Dziś z Kodeksem w ręku bylibyśmy w stanie podczas rozprawy wykazać, że mamy wypracowane standardy działania, które pozwalają uniknąć podobnych sytuacji. I to właśnie jest wymiar praktyczny Kodeksu.
Kodeks Dobrych Praktyk nie jest dosłownie aktem prawnym. Nie ma sankcji za nieprzestrzeganie zawartych w nim reguł.
To prawda, ale dziś sądy podczas rozstrzygania sporów biorą pod uwagę nie tylko to, co wynika z obowiązującego prawa, ale także to, co jest tzw. dobrym zwyczajem handlowym. Duża część prawa prywatnego opiera się na tym pojęciu. Także w przypadku ochrony danych osobowych można odwoływać się do tej reguły. I w takim właśnie duchu przygotowany został Kodeks.
Co będzie zatem dobrą praktyką w przypadku salonu dealerskiego? I jak kodeks może pomóc w poprawnym, zgodnym z prawem wykorzystywaniu danych osobowych?
Dane będące w posiadaniu właściciela autosalonu to informacje, które – na pierwszy rzut oka – dotyczą tylko samochodu i historii jego serwisowania. Tymczasem z danych o przebiegu auta, częstotliwości dokonywania przeglądów czy kosztach napraw można pozyskać wiedzę np. o sytuacji finansowej klienta. Są to, zatem, podlegające ochronie dane osobowe, a Kodeks jest swego rodzaju przewodnikiem po dobrych standardach w tej dziedzinie. W jednoznaczny i prosty sposób określa, kto może mieć dostęp do gromadzonych danych, czy firmy, które je zebrały, mogą przekazywać je innym podmiotom, np. punktom serwisowym, bankom czy ubezpieczycielom lub przesyłać do swoich oddziałów w innych państwach. Wskazuje najważniejsze zasady, jakimi należy się kierować przy wykorzystywaniu danych osobowych i opisuje warunki, jakie trzeba spełnić, by przetwarzanie danych osobowych, zarówno tzw. zwykłych, jak i wrażliwych, było zgodne z prawem.
Jak zamierzacie Państwo kontrolować realizację zasad zawartych w Kodeksie Dobrych Praktyk?
GIODO chce kontynuować współpracę z Polskim Związkiem Przemysłu Motoryzacyjnego i wraz z nim okresowo monitorować, jak zapisy Kodeksu sprawdzają się w praktyce. Standardowo GIODO przeprowadza też inspekcje mające na celu kontrolowanie przestrzegania ustawy o ochronie danych osobowych przez konkretne podmioty lub branże. Obecnie nie planujemy jednak przeprowadzenia kontroli u importerów i dealerów aut. Nie wykluczam także, że niektóre zasady zawarte w kodeksie mogą okazać się nieskuteczne – wówczas konieczna może być korekta tego dokumentu.
Czy na przyszłość w kontaktach z moto-branżą widzi pan dla GIODO już tylko rolę kontrolera?
Trzeba zdawać sobie sprawę z tego, że stoimy przed kolejnym przełomem, jeśli chodzi o zbieranie danych o użytkownikach samochodów. Już, bowiem niedługo w samochodach pojawić się mogą urządzenia rejestrujące zachowania kierowcy podczas jazdy; coś podobnego do czarnych skrzynek montowanych w samolotach. Powstanie zatem pytanie, kto i na jakich zasadach będzie miał do nich dostęp. Czy będzie można gromadzić informacje np. tylko z ostatnich 30 minut jazdy, czy w grę będzie wchodziło generalnie śledzenie kierowcy? Na podstawie informacji o trasach podróży i sposobie jazdy, możliwe będzie pozyskanie wiedzy np. o tym, czy kierowca przestrzega przepisów ruchu drogowego, gdzie bywa, jakie są jego zwyczaje. GIODO będzie więc miał jeszcze wiele do zrobienia, by dane klientów firm z sektora motoryzacyjnego skutecznie chronić.
IBRM Samar, Autor Paweł Jana