TL;DR: Sam numer VIN co do zasady nie jest daną osobową, ponieważ identyfikuje pojazd, a nie osobę. Jednak w momencie, gdy w Twojej aplikacji lub systemie zostanie on powiązany z kontem użytkownika lub inną informacją identyfikującą, staje się daną osobową podlegającą pełnemu rygorowi RODO. Kluczowy jest tu przełomowy wyrok Trybunału Sprawiedliwości UE z 2023 roku oraz rygorystyczne stanowisko polskiego Prezesa Urzędu Ochrony Danych Osobowych.
Dylemat związany z numerami VIN w rozwiązaniach AutoTech
Numer Identyfikacyjny Pojazdu, powszechnie znany jako VIN, to unikalny, alfanumeryczny kod przypisany do każdego samochodu. Można go przyrównać do numeru PESEL dla człowieka – jest niepowtarzalny i stanowi fundament identyfikacji pojazdu przez całe jego “życie”.
Ta unikalność sprawia jednak, że wokół numeru VIN narosły poważne wątpliwości prawne. Pojawia się fundamentalne pytanie: czy identyfikator pojazdu w pewnych okolicznościach może stać się informacją o konkretnej, możliwej do zidentyfikowania osobie fizycznej, a co za tym idzie – podlegać ścisłym rygorom Ogólnego Rozporządzenia o Ochronie Danych (RODO)?
Wyrok TSUE, który zdefiniował zasady gry dla administratorów danych
Przełom nastąpił 9 listopada 2023 roku. Wyrok Trybunału Sprawiedliwości UE w sprawie C-319/22 stał się kamieniem węgielnym dla interpretacji statusu VIN. Trybunał, analizując spór o dostęp do danych naprawczych, orzekł jednoznacznie: numer VIN nabiera charakteru danych osobowych dla podmiotu, który dysponuje racjonalnymi środkami (ang. reasonable means), aby powiązać go z konkretną osobą.
Dla administratora danych w branży rozwiązań AutoTech ten wyrok oznacza jedno: moment, w którym Wasz system umożliwia połączenie VIN z identyfikatorem użytkownika (np. adresem e-mail, ID konta), jest momentem, w którym stajecie się administratorem danych osobowych, także w kontekście numeru VIN i trzeba go traktować jako dane osobowe.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Architektura zgodna z RODO: analiza scenariuszy przetwarzania VIN
Praktyczne konsekwencje wyroku TSUE najlepiej zrozumieć, analizując typowe scenariusze w branży AutoTech.
- Scenariusz 1: Publiczny dekoder VIN. Twoja usługa pozwala anonimowemu użytkownikowi wpisać VIN i otrzymać w odpowiedzi dane czysto techniczne (rok produkcji, typ silnika). W tym modelu VIN pozostaje danymi o pojeździe, a ryzyko związane z RODO jest minimalne.
- Scenariusz 2: Aplikacja typu „Wirtualny garaż”. Użytkownik zakłada konto i zapisuje VIN swojego auta, aby śledzić historię serwisową, planować przeglądy, przeglądać raporty o stanie pojazdu lub jego aktualną lokalizację. W tej architekturze VIN jest bezpośrednio powiązany z kontem użytkownika. Staje się daną osobową, a Twoja firma – jej administratorem, ze wszystkimi tego konsekwencjami.
- Scenariusz 3: Agregator danych z rynku wtórnego. Twój model biznesowy opiera się na masowym zbieraniu (scrapowaniu) numerów VIN z publicznych portali ogłoszeniowych w celu budowy własnej bazy. To scenariusz najwyższego ryzyka, o czym szerzej w sekcji FAQ.
Polskie realia biznesowe: różnice na linii UODO vs. NSA
Działając na polskim rynku, firmy produkujące rozwiązania AutoTech muszą uwzględniać lokalną specyfikę prawną, którą definiuje spór na linii Prezes UODO – sądy administracyjne. UODO od lat stoi na rygorystycznym stanowisku, że nawet sam numer rejestracyjny (a co za tym idzie i VIN) to dana osobowa, ponieważ istnieje potencjalna możliwość identyfikacji właściciela. Z kolei Naczelny Sąd Administracyjny (np. w wyroku III OSK 1522/21) konsekwentnie twierdzi, że dla przeciętnego podmiotu taka identyfikacja wymaga „nadmiernego wysiłku”.
Ten konflikt tworzy środowisko niepewności prawnej. Dla administratora danych oznacza to, że projektując systemy, należy przyjąć podejście konserwatywne i przygotować się na obronę swoich racji przed organem, który stosuje najszerszą możliwą interpretację przepisów. Jednak należy także wziąć pod uwagę, że to sądu administracyjne (WSA i NSA) są właściwe w zakresie odwołać od decyzji PUODO.
Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?
FAQ dla administratorów danych i deweloperów rozwiązań AutoTech
W świetle tych regulacji, kluczowe stają się odpowiedzi na pytania, które decydują o kształcie rozwiązań technologicznych w branżach AutoTech i Automotive.
Pytanie: Moja aplikacja pozwala użytkownikowi zapisać VIN w profilu. Jaka jest prawidłowa podstawa prawna do jego przetwarzania?
Odpowiedź: Najbezpieczniejszą i najbardziej transparentną podstawą prawną jest niezbędność do wykonania umowy (art. 6 ust. 1 lit. b RODO). Użytkownik, akceptując regulamin, zawiera z Tobą umowę o świadczenie usługi (np. monitorowania historii pojazdu), a przetwarzanie VIN jest do tego niezbędne. Oparcie się na „prawnie uzasadnionym interesie” jest ryzykowne, a „zgoda” może być w każdej chwili wycofana, co komplikuje architekturę systemu.
Pytanie: Czy możemy legalnie scrapować numery VIN z portali ogłoszeniowych, aby zbudować własną bazę danych do analiz lub usług komercyjnych?
Odpowiedź: Jest to działanie obarczone ekstremalnie wysokim ryzykiem prawnym. Kluczowa jest tu zasada ograniczenia celu. Osoba publikująca ogłoszenie udostępniła VIN w jednym, konkretnym celu – sprzedaży pojazdu. Wykorzystanie go przez Ciebie do zupełnie innego celu jest wtórnym przetwarzaniem, które bardzo trudno zalegalizować. UODO z dużym prawdopodobieństwem uznałoby takie działanie za naruszenie RODO.
Pytanie: Użytkownik wprowadza VIN, a my za pomocą API zewnętrznego dostawcy wzbogacamy go o historię szkód. Kto jest administratorem tych danych?
Odpowiedź: W tym modelu administratorem danych osobowych (VIN + historia powiązana z użytkownikiem) jest Twoja firma. Zewnętrzny dostawca API jest podmiotem przetwarzającym (procesorem), jeśli przetwarza te dane na Twoje zlecenie, lub odrębnym administratorem, jeśli sam decyduje o celach i sposobach przetwarzania. Kluczowe jest uregulowanie tych relacji w umowie powierzenia przetwarzania danych.
Gdy VIN staje się daną osobową, na Twojej firmie jako administratorze spoczywa szereg obowiązków. Należą do nich m.in. realizacja obowiązku informacyjnego, zabezpieczenie danych przed nieautoryzowanym dostępem, a w przypadku operacji na dużą skalę lub wykorzystania nowych technologii – potencjalna konieczność przeprowadzenia oceny skutków dla ochrony danych (DPIA). Zaniedbania w tych obszarach to prosta droga do wszczęcia postępowania przez UODO, które może zakończyć się nałożeniem kar finansowych sięgających 20 milionów euro lub 4% rocznego światowego obrotu.
Sprawdź również: Czym jest standard TISAX?
Podsumowanie: 4 zasady RODO dla twórców rozwiązań AutoTech
- Kontekst jest najważniejszy: Status prawny VIN zależy od kontekstu jego przetwarzania w Twoim systemie. Sam VIN to dana techniczna; VIN powiązany z użytkownikiem to dana osobowa.
- Projektuj z myślą o prywatności (Privacy by Design): Od samego początku architektura Twojej aplikacji musi uwzględniać wymogi RODO. Zastanów się, czy na pewno musisz łączyć VIN z kontem użytkownika, a jeśli tak – zaimplementuj odpowiednie zabezpieczenia.
- Wybierz solidną podstawę prawną: Nie opieraj modelu biznesowego na kruchych fundamentach, takich jak zgoda marketingowa czy wątpliwy prawnie uzasadniony interes. Postaw na transparentną umowę z użytkownikiem.
- Unikaj szarej strefy: Masowe pozyskiwanie danych z publicznych źródeł (scraping) bez wyraźnej podstawy prawnej to proszenie się o kłopoty. Skup się na danych dostarczanych bezpośrednio przez użytkowników w ramach świadczonej im usługi.
Ochrona danych osobowych – Kancelaria After Legal
Kancelaria After Legal specjalizuje się w prawie nowych technologii i ochronie danych osobowych. Dla naszych klientów przeprowadzamy audyty zgodności z RODO i AI Act, opracowujemy niezbędną dokumentację i wdrażamy zmiany organizacyjne oraz prawne. Zapewniamy wsparcie doświadczonych profesjonalistów, którzy nie tylko doskonale znają obowiązujące przepisy, ale także rekomendacje organów nadzorczych i dobre praktyki. Zabezpieczymy Twój biznes!