Branża automotive przetwarza głównie dane osobowe swoich klientów – zarówno detalicznych, jak i biznesowych. Wśród nich bywają także klienci premium, dla których ochrona danych osobowych ma szczególne znaczenie. W kontekście RODO wyzwaniem jest częste wykorzystywanie w pojazdach nowych technologii umożliwiających gromadzenie dodatkowych danych osobowych. Inną trudność stanowi integracja danych z różnych źródeł, a także przekazywanie danych do podmiotów zewnętrznych.
W ODO 24 mierzyliśmy się z wieloma zagadnieniami charakterystycznymi dla branży automotive. Ocenialiśmy zgodność z prawem przetwarzania danych osobowych pozyskiwanych z pojazdów połączonych (connected cars). Dla naszych klientów sprawdzaliśmy także, czy dane telemetryczne, lokalizacyjne i behawioralne kierowców mogą być uznane za dane osobowe oraz kto jest ich administratorem.
Ponadto regulowaliśmy monitoring GPS flot samochodowych, ocenialiśmy legalność stałego monitorowania pracowników korzystających z aut służbowych oraz przygotowywaliśmy klauzule informacyjne dla kierowców. Analizowaliśmy również zagadnienie przetwarzania danych biometrycznych w pojazdach, np. przy uruchamianiu auta z wykorzystaniem technologii rozpoznawania twarzy lub odcisku palca. W ramach badania aplikacji mobilnych producentów samochodów sprawdzaliśmy, czy rozwiązania zbierające dane o stylu jazdy, lokalizacji i użytkowaniu pojazdu spełniają wymogi privacy by design i privacy by default.
W zakresie udostępniania danych podmiotom trzecim regulowaliśmy przekazywanie danych kierowców ubezpieczycielom, serwisom oraz dostawcom usług cyfrowych. Obejmowało to zarówno ustalenie podstaw prawnych udostępnienia, jak i uregulowanie kwestii umów powierzenia.Standardowo zajmujemy się również bardziej przyziemnymi obszarami, takimi jak przetwarzanie danych klientów w salonach i serwisach – przechowywanie danych kontaktowych, danych o historii napraw i o jazdach testowych, w szczególności w kontekście okresów retencji i minimalizacji danych.
W ramach badania systemów infotainment oraz związanych z nimi informacji o pasażerach regulowaliśmy przetwarzanie danych dotyczących kontaktów, połączeń i multimediów. Szczególną uwagę poświęcaliśmy podziałowi odpowiedzialności między producentem a użytkownikiem pojazdu. W projektach związanych z obsługą car-sharingu i z wynajmem krótkoterminowym porządkowaliśmy zakres danych zbieranych o użytkownikach, w tym o lokalizacji i zachowaniach, zgodnie z zasadą proporcjonalności.W branży automotive często pojawia się też potrzeba uporządkowania kwestii przekazywania danych poza UE, a dokładniej – transferu danych z pojazdów do serwerów poza Europejskim Obszarem Gospodarczym. Opracowywaliśmy mechanizmy legalizujące ten transfer. Obsługiwaliśmy również naruszenia ochrony danych, w tym wycieki danych z systemów pojazdów lub aplikacji, a także przygotowywaliśmy procedury na wypadek takich incydentów (łącznie ze zgłoszeniami do UODO).
Obsługujemy lub obsługiwaliśmy m.in. Dynamics Motors – BMW, Mazda Oddysey Nissan i Mazda Jaworski Auto – Toyota, Mercedes Wróbel, Auto Hero, TB TRUCK Serwis, Auo 1.
