Artykuły eksperckie

Ochrona danych w branży automotive. Czym jest standard TISAX?

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?
e-mail: kancelaria@afterlegal.pl
tel. +48 500 436 703

Opublikowano:

Pomimo okresowych spadków branża automotive wciąż rozwija się w imponującym tempie. Poszczególni producenci prześcigają się, aby dostarczyć odbiorcom coraz bezpieczniejsze i bardziej zaawansowane rozwiązania technologiczne. Poza wyzwaniami związanymi z nowymi technologiami nie można zapominać o obowiązku przestrzegania przepisów dotyczących ochrony danych osobowych. Przeczytaj, czym jest TISAX i w jaki sposób należy dbać o RODO w branży automotive?

Czego dowiesz się z tego artykułu:

  • Ochrona danych osobowych ma ogromne znaczenie dla podmiotów z branży automotive.
  • Dopełnieniem RODO dla automotive jest TISAX. Jego wdrożenie może być obligatoryjne lub fakultatywne, w zależności od wymagań rynkowych.
  • Wdrożenie TISAX wymaga pozytywnego przejścia procedury certyfikacyjnej realizowanej przez zewnętrzny podmiot.
  • Przygotowanie się do implementacji TISAX wymaga kompleksowej oceny modelu działania organizacji.

W jaki sposób branża automotive i RODO są ze sobą powiązane?

Rozporządzenie RODO wprowadza ujednolicone zasady dotyczące przetwarzania danych osobowych przez administratorów i procesorów. W ten sposób na obszarze całej wspólnoty europejskiej obowiązuje jeden, zunifikowany standard ochrony osób, których dane osobowe mogą być przetwarzane. Naruszenie obowiązków może mieć druzgocące konsekwencje w postaci sankcji finansowych sięgających nawet 20 milionów euro albo 4% światowego obrotu.

Dzisiaj praktycznie wszystkie nowoczesne samochody zapewniają dostęp do Internetu i związanych z nim technologii, aby gromadzić, przetwarzać i udostępniać informacje. Najnowocześniejsze pojazdy mogą mieć na swoim pokładzie ponad 200 czujników, zbierających dane o praktycznie każdym parametrze, od temperatury silnika po status pasów bezpieczeństwa. Szacuje się, że w skali miesiąca jeden samochód może przetwarzać blisko 20 terabajtów danych na godzinę jazdy. Takie dane nie tylko muszą być pobierane i przetwarzane z ogromną prędkością, ale trzeba też je gdzieś przechowywać. A o jakie informacje właściwie chodzi? Mogą to być:

  • obrazy pochodzące z kamer,
  • dane o prędkości i położeniu pojazdu (GNSS, IMU),
  • informacje o otoczeniu zbierane przez radar i lidar.

Mając na względzie sposób, w jaki RODO definiuje dane osobowe (są to informacje pozwalające na zidentyfikowanie osoby fizycznej bezpośrednio lub pośrednio), wiele informacji zbieranych przez samochodowe czujniki może być zakwalifikowane do tej właśnie kategorii. Co więcej, nierzadko będzie tu mowa o danych osobowych wrażliwych:

  • dane biometryczne (np. głos, odcisk linii papilarnych),
  • dane behawioralne (wzorzec jazdy, przyspieszania i hamowania, czy stabilność samochodu),
  • dane identyfikujące użytkownika (imię i nazwisko, hasło i login, numer telefonu).

Unijny ustawodawca, formułując RODO, posługuje się dwoma określeniami ról, które są związane z przetwarzaniem danych osobowych. Pierwszą z nich jest administrator, który określa cel i zakres przetwarzania danych osobowych. Drugą zaś procesor, który może przetwarzać dane osobowe wyłącznie w zakresie wskazanych przez administratora.

Producenci części samochodowych, które mogą mieć związek z przetwarzaniem danych osobowych (np. mikroprocesory lub oprogramowanie) są traktowani jak administratorzy, ponieważ to oni sprawują kontrolę nad informacjami, które później otrzymują np. zakłady ubezpieczeń. Wiąże się to z koniecznością przestrzegania wielu obowiązków na gruncie RODO, w tym stosowania zasad privacy by design i privacy by default.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Czym jest TISAX?

Dla branży automotive ogromne znaczenie ma nie tylko ochrona danych osobowych swoich klientów. Firmy muszą dbać o to, aby zabezpieczyć swoje prototypy i dane przemysłowe, których wartość często może być liczona w miliardach euro. Podobnie jak RODO chroni osoby fizyczne, na straży sektora automotive stoi TISAX (ang. Trusted Information Security Assessment Exchange).

To globalny standard bezpieczeństwa informacji dla przemysłu motoryzacyjnego. Jest wymagany przez niektórych producentów samochodów, zwłaszcza dla dostawców 1 i 2 poziomu (tzw. TIER 1 to bezpośredni dostawcy części dla producentów, zaś TIER 2 dostawcy komponentów lub surowców dla firm z TIER 1). Celem TISAX jest stworzenie bezpiecznego środowiska, gdzie poszczególnych dostawców będzie można łatwo i w sposób porównywalny ewaluować, wymienić dobre praktyki i zapewnić ujednolicony poziom bezpieczeństwa.

Od strony formalnej standard TISAX łączy w sobie zasady bezpieczeństwa informacji niemieckiego towarzystwa VDA, normę ISO/IEC 27001 dotyczącą systemu zarządzania bezpieczeństwem informacji oraz wymagania RODO dotyczące prywatności.

Jakie obszary obejmuje bezpieczeństwo informacji zgodnie z normą ISO/IEC 27001?

Na bezpieczeństwo informacji składa się 7 obszarów, w tym m.in. polityka bezpieczeństwa, zasoby ludzkie, bezpieczeństwo IT, zarządzanie tożsamością i ciągłość działania.

Sprawdź również: Naruszenie RODO – czym jest i komu należy je zgłosić?

Dlaczego warto wdrożyć TISAX?

Implementacja standardu TISAX w organizacji niesie ze sobą wiele korzyści, w tym przede wszystkim:

  • większe zaufanie klientów i kontrahentów,
  • wdrożenie skutecznych procedur zapobiegających naruszeniom bezpieczeństwa lub integralności danych,
  • odpowiedzialne zarządzanie ryzykiem.

Choć TISAX nie zastępuje RODO, doskonale je uzupełnia i pokazuje, że przedsiębiorstwo rozwija się w sposób dojrzały i świadomy, dbając o dane, którymi zarządza. Niekiedy uzyskanie certyfikacji jest warunkiem nawiązania współpracy. Firma może też dążyć do uzyskania przewagi konkurencyjnej lub ekspansji poprzez rozwój swojej infrastruktury i jej jakości.

Wypada wskazać, że o certyfikat TISAX mogą ubiegać się wszystkie podmioty z branży automotive. Nie chodzi jedynie o bezpośrednich producentów części OEM, ale także dostawców surowców, usług, czy instytuty zajmujące się badaniami technologicznymi.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Jak wygląda certyfikacja TISAX?

W przeciwieństwie do RODO, jeśli chodzi o TISAX nie wystarczy subiektywne przekonanie administratora danych, że w sposób odpowiedzialny zarządza on informacjami. Konieczny jest audyt przeprowadzony przez uprawniony podmiot. Cały proces uzyskania certyfikacji jest dosyć złożony i prezentuje się następująco.

Etap pierwszy – samoocena

Pierwszym krokiem jest przeprowadzenie wewnętrznego badania pod kątem kwalifikacji do audytu. Organizacja powinna ocenić, czy spełnia warunki niezbędne do certyfikacji TISAX. Należy też upewnić się, czy został wdrożony system zarządzania informacjami. Choć nie jest on obligatoryjny, zwiększa ogólne bezpieczeństwo danych i podnosi szanse na pozytywne zakończenie audytu.

Etap drugi – audyt zewnętrzny

Jeśli organizacja uzna, że jest gotowa na TISAX, rejestruje się na platformie www.enx.com i wybiera jednostkę certyfikacyjną z listy akredytowanych podmiotów. W zależności od stopnia przygotowania organizacji przeprowadzany jest:

  • audyt zdalny bazujący na dokumentacji (tzw. Assessment Level 2),
  • audyt fizyczny bezpośrednio w siedzibie firmy (tzw. Assessment Level 3).

Etap trzeci – działania poaudytowe

Po zakończeniu audytu sporządzany jest plan działań naprawczych, w którym firma audytowana udostępnia audytorowi ustalenia mające na celu usunięcie ewentualnych braków i niezgodności.

Etap czwarty – publikacja wyników badania TISAX

Ostateczny raport jest publikowany na platformie TISAX wraz ze wskazaniem audytowanego podmiotu. Za zgodą przedsiębiorstwa inni uczestnicy rynku mogą zapoznać się z wynikiem badania TISAX.

Standardy TISAX są rozpoznawalne na całym świecie, dlatego firma, która je uzyska, niejako automatycznie staje się partnerem godnym zaufania. Trzeba jednak pamiętać o konieczności cyklicznej ewaluacji. Certyfikat TISAX jest ważny 3 lata i po upływie tego czasu należy go odnowić.

Czy w sytuacji, kiedy w organizacji występują niezgodności w badanych obszarach, może ona otrzymać certyfikat TISAX?

Jeśli niezgodności są nieznaczne, audytor przyznaje tymczasowe etykiety TISAX i obliguje firmę do usunięcia problemu. Jeśli niezgodność jest znaczna, żadna etykieta TISAX nie zostanie przyznana. W pierwszej kolejności trzeba zmniejszyć dużą niezgodność na małą.

Ochrona danych w branży automotive. Jak możemy Ci pomóc?

Dzisiaj ochrona danych osobowych (i biznesowych) w branży automotive jest ważniejsza, niż kiedykolwiek wcześniej. Jeśli potrzebujesz pomocy na długiej drodze, jaka prowadzi do uzyskania certyfikatu TISAX, możemy Ci pomóc! Kancelaria After Legal przeprowadza kompleksowe wdrożenia z zakresu RODO i norm ISO regulujących bezpieczeństwo informacji. Przygotujemy potrzebną dokumentację, przeanalizujemy wewnętrzne procesy i przygotujemy Twoją organizację do zmian.