Archiwum kategorii: Dane osobowe

Czy to jeszcze niekompetencja i nieudolność czy już próba oszukania klienta w autoryzowanym serwisie Toyoty? Część 2.

W pierwszej części opisałem sposób traktowania klienta, który odstawił Toyotę Land Cruiser 26 października 2024 r. do autoryzowanego serwisu Toyoty Auto Podlasie Sp. z o.o. w Łodzi przy ul. Brzezińskiej 24A. Z powodu nie dokonania naprawy w szóstym deklarowanym przez serwis terminie 16 grudnia klient zrezygnował z dalszej naprawy i zażądał przygotowania samochodu do zwrotu. Materiał dostępny jest pod linkiem https://fundacjapb.pl/czy-w-autoryzowanym-serwisie-toyoty-klient-moze-czuc-sie-bezpiecznie/

Zamiast przygotowania Toyoty Land Cruiser do zwrotu Kierownik Obsługi Posprzedażnej Toyota w Auto Podlasie Sp. z o.o. Pan Grzegorz Mróz w dniu 18 grudnia 2024 r. przesłał kosztorys wykonania naprawy, której nie wykonano od 26 października 2024r. Kosztorys opiewał na kwotę znacznie wyższą niż pierwotnie telefonicznie ustalono oraz zawierał pozycje budzące wątpliwości klienta. Niektóre pozycje w kosztorysie były dwa razy naliczone a kosztorys nie był rozdzielony na odrębną wycenę naprawy układu hamulcowego i odrębną układu EGR co uniemożliwiało klientowi ustalenie skali rozbieżności z wcześniejszymi ustaleniami telefonicznymi.

Klient już nie telefonicznie a w celach dowodowych pisemnie zażądał
Cyt. „Szanowny Panie
Widzę, że jednak nie odsłuchał Pan rozmów z serwisantem. Nie interesuje mnie czy to Pan usiłuje nieudolnie mnie oszukać czy pracownik Pana wprowadza w błąd co do faktycznego stanu ustaleń.
Pańskie oświadczenie cyt. „W załączniku jest podsumowanie Pańskich ustaleń z doradcą co do zakresu i kosztów” ma niewiele wspólnego ze stanem faktycznym i jest wręcz poświadczeniem nieprawdy.
Żądam podzielenia wyceny na naprawę hamulców a odrębnie układu EGR oraz rozdzielenia pozycji „OCZYSZNIENIE KANAŁ.W DOLOTOWYCH + UKLADU EGR + WYMIANA CHŁODNICY EGR ORAZ ZAWORU” na „„OCZYSZNIENIE KANAŁ.W DOLOTOWYCH + UKLADU EGR” i „WYMIANA CHŁODNICY EGR ORAZ ZAWORU” bym mógł ocenić faktyczną skale nieprawidłowości.”

W dniu 20.12.2024r. Kierownik Obsługi Posprzedażnej Toyota w Auto Podlasie Sp. z o.o. Pan Grzegorz Mróz przesłał dwa kosztorysy. Po zapoznaniu się z kosztorysami okazało się, że kosztorysy nie zostały opracowane oddzielnie dla poszczególnych napraw tylko nadal zawierają wymieszane pozycje z naprawy układu hamulcowego i układu EGR co uniemożliwia klientowi ustalenie skali nieprawidłowości z telefonicznymi ustaleniami. Dodatkowo wycena niektórych pozycji znacznie wzrosła rekordowa pozycja nawet o 300%:
• W dniu 18 grudnia „WYMIANA ZAWORU EGR” kosztowała 50 zł a 20 grudnia 150 zł;
• W dniu 18 grudnia „WYMIANA CHŁODNICY EGR” kosztowała 50 zł a 20 grudnia 200 zł;
• W dniu 18 grudnia „WYMIANA TARCZ I KLOCK.W HAMUCLOWYCH OSI PRZEDNIEJ” kosztowała 599,99 zł a 20 grudnia 699,99 zł.
• W dniu 18 grudnia „OCZYSZCZNIE PŁASZCZYZNY PIASTY + DALSZA DIAGNOSTYKA WIBRACJI NA KIEROWNICY” kosztowała 599,99 a 20 grudnia 799,99 zł.

Klient już pisemnie w dniach 21 i 27 grudnia żądał opracowania odrębnych kosztorysów dla naprawy układu EGR i hamulcowego ale żądania te zostały zignorowane.
Czy brak odrębnych kosztorysów uniemożliwiający klientowi ocenę skali niezgodności z wcześniejszymi telefonicznymi ustaleniami i rozbieżności w wycenie poszczególnych prac to przejaw niekompetencji i rażącego niedbalstwa czy już nieudolna próba oszukania klienta?

Pikanterii sprawie dodaje fakt, że serwis Auto Podlasie Sp. z o.o. przy kontakcie telefonicznym informuje, cyt. „iż w trosce o najwyższą jakość świadczonych usług wszystkie rozmowy są nagrywane”.
W materiale opublikowanym w dniu 20 grudnia 2024 r., napisaliśmy „Samochód do serwisu odstawiła laweta, więc wszelkie ustalenia nie były na piśmie, tylko podczas rozmów telefonicznych. Z tego powodu na wypadek dalszych problemów 29 listopada wysłałem do serwisu Toyoty Auto Podlasie Sp. z o.o. żądanie przesłania nagrań wszystkich rozmów telefonicznych, jakie prowadziłem z pracownikami serwisu. Skoro serwis Auto Podlasie Sp. z o.o. na infolinii informuje, cyt. „iż w trosce o najwyższą jakość świadczonych usług wszystkie rozmowy są nagrywane”, to zobaczymy, jak z obowiązku wynikającego z przepisów o ochronie danych osobowych (RODO) wywiąże się serwis czy może okaże się, że nie odbiega od poziomu serwisu gdy nagrania rozmów będą niekorzystne dla serwisu”.
W dniu 23 grudnia 2024r., klient otrzymał maila z serwisu Auto Podlasie Sp. z o.o. z informacją „W odpowiedzi na Pańskie żądanie z dnia 29 listopada 2024 roku na podstawie art. 15 ust. 1 RODO dostępu do danych osobowych oraz dostępu do nagrań przeprowadzonych rozmów z Pańskiego numeru telefonu od dnia 25 października 2024 z pracownikami Toyota Łódź, przesyłam nagrania rozmów.” i przesłano poniższe pliki:

Okazuje się, że przesłane nagrania są zaledwie z okresu 26 październik do 8 listopad 2024r. Telefonicznych rozmów klienta z pracownikami serwisu było znacznie więcej i czemu klient nie jest zdziwiony, że zgodnie z wcześniejszymi przewidywaniami wśród przesłanych nagrań nie ma rozmów w trakcie których pracownicy serwisu informowali o kosztach jakie klient będzie musiał ponieść za poszczególne proponowane czynności?
Z powyższego wynika, że serwis Auto Podlasie Sp. z o.o. ma problemy nie tylko z jakością serwisu ale jeszcze większe z respektowaniem przepisów o ochronie danych osobowych klientów i realizacją obowiązków wynikających z przepisów o ochronie danych osobowych. (Przypis z dnia 20.01.2025 r. dziś Prezes Urzędu Ochrony Danych Osobowych poinformował o nałożeniu kary 576 220 zł na Toyota Bank Polska S.A. zobaczymy czy zainteresuje się też innymi Toyotami, źródło: https://uodo.gov.pl/pl/138/3519.)

Pozostaje nam kolejny raz napisać. Jak z powyższego wynika, sprawa jest rozwojowa, więc jak uzyskamy od właściciela Toyoty Land Cruiser informacje o dalszym przebiegu sprawy to będziemy Państwa informowali.

Aktualizacja z dnia 02.01.2025r.
W dniu 19 grudnia 2024 r., klient zażądał odrębnych kosztorysów, ponaglenia wysyłał w dniach 21 i 27 grudnia 2024 r. W dniu 2.01.2025r., Pan Grzegorz Mróz Kierownik działu obsługi posprzedażnej Auto Podlasie Sp. z o. o. Oddział TOYOTA ŁÓDŹ w Łodzi w końcu łaskawie przesłał klientowi odrębne kosztorysy.  Niestety po zapoznaniu się z tymi kosztorysami niektóre pozycje znów wzbudziły wątpliwości klienta. Najwięcej wątpliwości wzbudził kosztorys „Wymiana chłodnicy EGR oraz zaworu” klient nie jest mechanikiem ale 4 identyczne pozycje z tego kosztorysu (z tymi samymi indeksami) zostały naliczone również w kosztorysie „Wymiana tarcz i klocków hamulcowych osi przedniej”

Czy to klient jest paranoikiem (i śmie weryfikować pozycje w kosztorysach)? Czy kolejna próba obciążenia klienta kosztami tych samych pozycji w kosztorysie wymiany układu EGR i kosztorysie wymiany hamulców to kolejny przejaw niedbalstwa i niekompetencji czy już kolejna próba oszukania klienta w autoryzowanym serwisie Toyoty?

Aktualizacja z dnia 16.01.2025r.
W związku z uzyskaną telefonicznie informacją, że czynności zlecone w dniu 29 października ub.r. nie zostały wykonane klient w dniu 3 stycznia br. (w celach dowodowych) skierował maila do Pana Grzegorza Mróz Kierownika działu obsługi posprzedażnej Auto Podlasie Sp. z o. o. Oddział TOYOTA ŁÓDŹ  z żądaniem  wyjaśnienia na jakiej podstawie w wycenie naprawy układu EGR są części  z układu hamulcowego oraz żądaniem pisemnego wyjaśnienia które prace zlecone 29 października ub.r. ujęte w zawyżonym kosztorysie zostały wykonana a które nie zostały wykonane.

Po 10 kolejnych dniach klient nie otrzymał żadnej odpowiedzi więc 13 stycznia br. wysłał kolejny mail z żądaniem udzielenia pisemnej odpowiedzi  tylko tym razem do wiadomości Toyota Central Europe. Samochód od 26 października stoi w serwisie a klient czeka na pisemną odpowiedź.

 

CDN.

Czy w autoryzowanym serwisie Toyoty klient może czuć się bezpiecznie? Część 1.

Czy w autoryzowanym serwisie Toyoty klient właściciel nie tylko Toyoty Land Cruiser może czuć się bezpiecznie?

Poniżej prezentujemy doświadczenia właściciela Toyoty Land Cruiser, który odstawił samochód do autoryzowanego serwisu Toyoty.
Przez 7 lat korzystałem z usług autoryzowanego serwisu Toyoty Auto Podlasie Sp. z o.o. w Łodzi przy ul. Brzezińskiej 24A. Zdarzały się sygnały świadczące o nieprawidłowościach, np. 11.06.2021 r., zalałem zbiornik adblue do pełna a 22.06.2021r., mechanik był taki zdolny, że podczas przeglądu dał radę wtłoczyć do pełnego zbiornika jeszcze 8 l adblue (zwróciłem uwagę serwisantowi ale nie chciało mi się handryczyć) ale generalnie nie miałem większych uwag.

Nigdy jednak nie doświadczyłem takiej niekompetencji, a wręcz próby oszustwa, jak w tym roku. Postanowiłem opisać przebieg tego zdarzenia, aby inni właściciele Toyot zachowali ostrożność i prawidłowo dokumentowali ustalenia z pracownikami serwisu.
Zapaliła mi się kontrolka check engine. Skontaktowałem się z serwisem i uzyskałem informację, że lepiej nie kontynuować jazdy, tylko na lawecie dostarczyć samochód do serwisu. 26 października 2024 r. odstawiłem Toyotę Land Cruiser do autoryzowanego serwisu Toyoty w Łodzi przy ul. Brzezińskiej 24A. W ciągu 3 dni sprawdzono rzekomo stan techniczny i poinformowano mnie, że kontrolka sygnalizuje konieczność wyczyszczenia kanałów dolotowych i układu EGR. Poinformowałem serwis, że we wrześniu w innym serwisie wymieniałem klocki i tarcze hamulcowe i czuję dyskomfort, bo przy prędkości powyżej 120 km/h przy hamowaniu wydaje mi się, że wyczuwam lekkie wibracje na kierownicy. Poinformowano mnie, że tarcze zostały założone na niewyczyszczone przylgi piasty i wymagają czyszczenia. Telefonicznie ustaliliśmy warunki finansowe i zleciłem wykonanie naprawy.
Samochód miał być naprawiony w kilka dni, ale, okazało się, że:
• będzie gotowy do wtorku 5 listopada,
• z wtorku zrobiła się środa 6 listopada. Gdy nikt do mnie nie zadzwonił, ja zadzwoniłem i usłyszałem, że kolejny termin to piątek 8 listopada i że na pewno odbiorę samochód. Oczywiście w piątek nikt nie dzwonił,
• gdy znów ja zadzwoniłem do salonu, powiedziałem serwisantowi, co myślę o takiej jakości obsługi. Tym razem usłyszałem, że może do 25 listopada samochód będzie naprawiony.
To przekroczyło mój poziom tolerancji niekompetencji w „soczystych” słowach powiedziałem serwisantowi co myślę o takim poziomie obsługi i opisałem na Fanpage Toyota Polska swoje negatywne wrażenia z jakości świadczonych usług przez serwis Toyoty Auto Podlasie Sp. z o.o. w Łodzi przy ul. Brzezińskiej 24A. Po 19 minutach od zamieszczenia postu administrator fanpage zaprosił mnie do kontaktu z Biurem Obsługi Klienta. Skorzystałem z zaproszenia i opisałem swój problem w formularzu online Biura Obsługi Klienta.

Post opublikowany na Toyota Polska

Niestety kontakt z Biurem Obsługi Klienta nie wywołał żadnej reakcji ze strony serwisu ani Toyota Polska. Kierownik Obsługi Posprzedażnej Toyota w Auto Podlasie Sp. z o.o. Pan Grzegorz Mróz poinformował mnie, że każda tego typu sprawa zgłaszana przez klienta do BOK Toyota Polska powinna trafić do dealera, którego dotyczy a ta sprawa nie została nawet skierowana przez BOK Toyota Polska do dealera. Ciekawe co na taką obsługę powie Toyota Central Europe. Jedyny efekt to zablokowanie mi możliwości publikacji postów na fanpage Toyota Polska. Wtedy zrozumiałem, dlaczego na fanpage Toyota Polska jest „kraina szczęśliwości” i nie mogłem znaleźć żadnych krytycznych postów. Zrozumiałem, że kto nie pisze peanów na cześć Toyoty, jest blokowany, tak jak ja. Jeśli na fanpage Toyota Polska porównasz liczbę opublikowanych postów z liczbą postów, które możesz przeczytać to dowiesz się ile postów zostało usuniętych. Chyba nie tylko ja pisałem krytycznie bo „znikających” postów jest znacznie więcej.
20 listopada 2024 r. serwisant do mnie w końcu zadzwonił i powiedział, że właśnie zajęli się naprawą mojego samochodu (o zgrozo!!! dowiedziałem się, że od 26 października do 20 listopada poza wyceną nikt nic nie robił). Dla właściciela samochodu brak pojazdu przez miesiąc to poważny problem i nie jest ważne czy przyczyną jest niekompetencja pracowników i zła organizacja pracy czy problemy logistyczne Toyoty z częściami. Dostałem informację, że czwarty termin naprawy też nie będzie dotrzymany i że mechanik zmienił zdanie, cyt. „samo czyszczenie nie da takiego efektu, jaki powinien być” i wydaje mu się, że do wymiany są tarcze i klocki (tarcze i klocki wymieniłem kilka tygodni temu) oraz czujnik EGR z chłodnicą, a kolejny termin naprawy to 14 grudnia. Gdy spytałem, czy w związku z przedłużającym się czasem naprawy nie powinni mi dać samochodu zastępczego, usłyszałem, że nie ma dla mnie samochodu zastępczego. Dodatkowo arogancki serwisant powiedział mi, że jak mi się nie podoba, to mogę zrezygnować z naprawy. Czy to ma być standard obsługi w autoryzowanym serwisie Toyoty? Może najwyższy czas, żeby pracownicy serwisu Toyoty Auto Podlasie Sp. z o.o. w Łodzi dowiedzieli się, jak powinna wyglądać obsługa klienta?
Odniosłem wrażenie, że wydłużanie terminu naprawy, sprzeczne informacje udzielane przez serwisantów i bezczelna postawa to element pokazywania upierdliwemu klientowi, gdzie jego miejsce. Dotarły do mnie informacje, że w Łodzi to nie są odosobnione przypadki. Samochód do serwisu odstawiła laweta, więc wszelkie ustalenia nie były na piśmie, tylko podczas rozmów telefonicznych. Z tego powodu na wypadek dalszych problemów 29 listopada wysłałem do serwisu Toyoty Auto Podlasie Sp. z o.o. żądanie przesłania nagrań wszystkich rozmów telefonicznych, jakie prowadziłem z pracownikami serwisu.

Skoro serwis Auto Podlasie Sp. z o.o. na infolinii informuje, cyt. „iż w trosce o najwyższą jakość świadczonych usług wszystkie rozmowy są nagrywane”, to zobaczymy, jak z obowiązku wynikającego z przepisów o ochronie danych osobowych (RODO) wywiąże się serwis czy może okaże się, że nie odbiega od poziomu serwisu gdy nagrania rozmów będą niekorzystne dla serwisu.

14 grudnia minął i co? Zero kontaktu i informacji, dodatkowo 14 grudnia salon był zamknięty. 18 grudnia ja zadzwoniłem do serwisu i okazało się, że nadal samochód nie jest naprawiony. Kobieta, która odebrała telefon, poinformowała mnie, że serwisant do mnie zadzwoni w 30 minut. Jeśli nie zadzwoni, miałem znów do niej zadzwonić. Oczywiście kolejny raz serwisant nie zadzwonił, więc ja zadzwoniłem i poinformowałem, że jeśli samochód w szóstym deklarowanym terminie nie został naprawiony, to zgodnie z wcześniejszą informacją rezygnuję z naprawy.
Po godzinie od mojej rezygnacji zadzwonił w końcu serwisant i potwierdził, że żadna naprawa nie została dotychczas wykonana. Poinformowałem kolejny raz, że już zrezygnowałem z naprawy i że mają zamontować dwie zdemontowane części i przygotować samochód do zwrotu. Serwisant jakby był głuchy ponownie pytał cyt. „czy będzie Pan go odbierał w takim stanie jak jest, czyli rozłożonego na części pierwsze czy mamy go poskładać” gdy kolejny raz potwierdziłem, że mają samochód poskładać  bo oddawałem do serwisu samochód na tzw. chodzie, którym mogłem przez 8 tygodni jeździć  do czasu ściągnięcia część i i naprawy.  Wtedy serwisant znów zrobił się bezczelny i arogancki, i zaczął mnie przesłuchiwać np. czemu w takim razie odstawiłem samochód na lawecie i usłyszałem, że wbrew wcześniejszym informacjom nie mogę zrezygnować z naprawy i że skontaktuje się ze mną kierownik. Po około godzinie zadzwonił do mnie Kierownik Obsługi Posprzedażnej Toyota w Auto Podlasie Sp. z o.o. Pan Grzegorz Mróz, który (po prawie 8 tygodniach od zostawienia samochodu i mojej rezygnacji z naprawy) nie znał nawet okoliczności sprawy, a nagle był zainteresowany naprawą mojego samochodu. Poinformowałem kierownika, by prześledził „pasmo sukcesów” z rzekomą naprawą mojego samochodu i odsłuchał nagrane przez serwis rozmowy telefoniczne i wtedy wrócił do mnie w sprawie zwrotu samochodu.
Zamiast zgodnie z wcześniejszą deklaracją kierownika, że zadzwoni do mnie w sprawie mojej rezygnacji z naprawy, kierownik przesłał mi maila z nowym wyliczeniem kosztów naprawy, rzekomo zgodnie z cyt. „podsumowaniem Pańskich ustaleń z doradcą co do zakresu i kosztów”. Przesłane wyliczenie kosztów naprawy, z której po 8 tygodniach czekania zrezygnowałem, opiewa na kwoty znacznie przewyższające faktyczne moje ustalenia telefoniczne z serwisantem.
Jak z powyższego wynika, sprawa jest rozwojowa, więc jak uzyskamy od właściciela Toyoty Land Cruiser informacje o dalszym przebiegu sprawy to będziemy Państwa informowali.

CDN.

Ciąg dalszy dotyczący nieprawidłowości w kosztorysach opracowanych przez autoryzowany serwis Toyoty Auto Podlasie Sp. z o.o. w Łodzi dostępny jest pod linkiem: https://fundacjapb.pl/czy-to-jeszcze-niekompetencja-i-nieudolnosc-czy-juz-proba-oszukania-klienta-w-autoryzowanym-serwisie-toyoty/

Kolejna kompromitacja Urzędu Miejskiego w Turku

Turek w dobrych rękach a może kolejna kompromitacja Urzędu?

W sierpniu 2017 opisywaliśmy nieudolność Burmistrza Miasta Turku, który przez kilka tygodni nie był w stanie przywrócić działania systemu informatycznego po ataku ransomware i zaszyfrowaniu danych: opis incydentu dostępny jest pod adresem: https://fundacjapb.pl/dane_osobowe_turek/

Każdy rozsądny człowiek wyciągnął by wnioski i zaczął respektować przepisy o ochronie danych osobowych i cyberbezpieczeństwie oraz by nie ponieść takich konsekwencji jak Burmistrz Aleksandrowa Kujawskiego, który został ukarany karą 40 tys. zł m.in. za publikacje w BIP oświadczeń majątkowych po upływie 6 lat obowiązkowego publikowania i brak właściwych umów z podmiotem świadczącym usługę BIP, https://uodo.gov.pl/pl/138/3013

 

26 lutego 2024 roku Delegatura w Białymstoku NIK wysłała pismo do wszystkich jednostek samorządu terytorialnego z informacją o nieprawidłowościach w tym dot. nieprawidłowości polegających na publikacji oświadczeń majątkowych po 6 letnim okresie.

Czy burmistrz Antosik zastosował się do zaleceń NIK i jak wygląda aktualny stan ochrony danych osobowych pracowników i radnych. Okazuje się, że jest nie jedna a kilka stron BIP Urzędu Miejskiego w Turku na których są publikowane oświadczenia majątkowe pracowników i radnych pomimo, że dalsze ich publikowanie po upływie 6 lat stanowi naruszenie przepisów o ochronie danych osobowych  i jest zagrożone karą od grzywny do pozbawieniem wolności do lat trzech. Niektóre strony BIP Urzędu Miejskiego w Turku pomimo upływu kilku lat od zaszyfrowania danych, do dziś nie zostały prawidłowo zabezpieczone.

http://www.bip2.miastoturek.pl/   http://bip.turek.mserwer.pl/dokumenty.php

Na stronie www.bip.miastoturek.pl  publikowane są bez podstawy prawnej oświadczenia majątkowe pracowników i radnych z lat 2013-2016 kilka przykładów poniżej:

https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/797/pawel-borowski-oswiadczenie-majatkowe-za-2016-r.pdf https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/795/roman-groblica-oswiadczenie-majatkowe-za-2016-r.pdf https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/799/mariola-paczesna-oswiadczenie-majatkowe-za-2016-r.pdf https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/398/maria-kukulska-oswiadczenie-majatkowe-za-2014-rok.PDF https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/399/maria-gajewska-oswiadczenie-majatkowe-za-2014-rok.PDF https://bip.miastoturek.pl/pliki/miastoturek/zalaczniki/359/magdalena-mrugas-oswiadczenie-majatkowe-za-2013-rok.PDF

 

Na stronie www.bip.turek.mserwer.pl/dokumenty.php  publikowane są do dziś wszystkie oświadczenia majątkowe pracowników i radnych z lat 2004-2012.

Każdy z poszkodowanych może złożyć skargę na burmistrza Antosika do Urzędu Ochrony Danych Osobowych https://uodo.gov.pl/pl/526/2464 a po zakończeniu postępowania przez UODO może wystąpić do sądu o odszkodowanie od Miasta Turek. Burmistrz Antosik lekceważeniem przepisów o ochronie danych osobowych nie tylko kompromituje Turek ale naraża budżet Miasta na kary administracyjne ale też na wypłatę odszkodowań osobom poszkodowanym. Tytułem przykładu za ujawnienie nazwiska w publikowanym wyroku NSA ma zapłacić odszkodowanie 20 tys. zł https://serwisy.gazetaprawna.pl/orzeczenia/artykuly/8676330,brak-anonimizacji-przez-nsa-odszkodowanie-naruszenie-dobr-osobistych.html.

Na szczególną uwagę zasługuje fakt, że burmistrz Antosik jak zrozumie i sobie uświadomi do jakich nieprawidłowości dopuścił to w terminie 72 godzin zobowiązany jest zawiadomić UODO o naruszeniu przepisów ochronie danych osobowych oraz zawiadomić wszystkie osoby poszkodowane, że naruszył ich ochronę danych osobowych i bez podstawy prawnej publikował ich oświadczenia majątkowe. Wynika to wprost z art. 33 ust. 1 i art. 34 ust. 1 RODO.

Jeśli w ciągu 72 godzin Antosik nie zgłosi naruszenia ochrony danych osobowych do Prezesa UODO i nie powiadomi poszkodowanych pracowników i radnych to naraża budżet Miasta na kolejne kary administracyjne.

Naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) w praktyce i potencjalne problemy z organem nadzorczym (Prezesem UODO).

Sytuacja niestety nadal dość częsta w realiach polskich małych, a nawet średnich przedsiębiorstw – nagle okazuje się, że pracownik zgłosił nam problem z komputerem – zaszyfrowany dysk, ewentualnie kradzież laptopa/tabletu/telefonu, względnie zagubienie laptopa/przenośnego nośnika danych z danymi firmowymi, ewentualnie dostajemy informację od kontrahenta, że dostał nie swoją fakturę/umowę/dokument  (ciekaw jest kto dostał jego dokumenty ☹) lub zaobserwował, że w mailu który od nas otrzymał widzi wszystkich innych adresatów tej seryjnej wiadomości lub doszło do udostępnienia w internecie naszych zasobów firmowych (np. katalogu z danymi), a więc mamy typowe  naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) i potencjalne problemy z Prezesem Urzędu Ochrony Danych Osobowych (choć zapewne nie tylko☹).

W praktyce w przypadkach wymienionych pierwszym, niejako naturalnym odruchem jest pomysł zbagatelizowania problemu i próba przeczekania – a nuż rozejdzie się po kościach. No może poza zaszyfrowaniem systemów bo wtedy nagle okazuje się, że np. firma nie może realizować podstawowej działalności biznesowej – owszem można przywrócić dane/systemy z kopii zapasowych, ale nie oszukujmy się – jak wielu małych przedsiębiorców faktycznie dba o odpowiednie/regularne wykonywanie i zabezpieczenie kopii – niestety niewielu. W skrajnych przypadkach nawet proste automatyczne systemy wykonywania kopii typu NAS na niewiele się zdadzą jeżeli również NAS został zaszyfrowany. Co ciekawe często w takiej sytuacji okazuje się, że nasz Pan/Pani informatyk to tak naprawdę jedynie hobbysta komputerowy posiadający średnią wiedzę informatyczną, ot taki „fachowiec”, który ogranicza się do instalacji systemu, antywirusa, zarządzania stroną www., ewentualnie wymianą zepsutego nośnika danych …

Oczywiście w takiej sytuacji wielu przedsiębiorców zaciska zęby i płaci okup za odszyfrowanie danych, niemniej jednak nie mogą mieć pewności co do tego czy dane zostaną faktycznie odszyfrowane oraz czy przestępcy nie wykonali ich kopii … Część zarządzających firmami po szybkim reaserchu internetowym, względnie konsultacji z prawnikami, zdaje sobie sprawę, że powyższe „przygody” na ogół stanowią jednak naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) i zaczynają zastanawiać co w tej sytuacji należałoby zrobić (szczególnie zaczynają się zastanawiać jak pracownicy/kontrahenci wyrażają niezadowolenie i obawy związane z zaistniałą sytuacją, a prawnicy określą potencjalne sankcje). Nagle zaczynają zdawać sobie sprawę, że jak sprawa dotrze do Prezesa Urzędu Ochrony Danych Osobowych (skarga) lub sądu (pozew), to zaniedbania w zakresie RODO w firmie mogą grozić nieciekawymi konsekwencjami, a jeżeli poważny kontrahent (np. większa firma) poweźmie wiadomość o nieodpowiednim poziomie zabezpieczeń powierzonych nam danych osobowych to może się skończyć utratą kontraktu (tak, znamy z praktyki takie sytuacje – to się naprawę zdarza – można stracić kontrakt przez niewdrożenie zasad określonych RODO w firmie).

No dobrze mleko się rozlało mamy problem, ale czy powinniśmy się poddać i czekać aż kat opuści topór ? Nie, zdecydowanie nie, szybka i fachowa ocena wagi naruszenia oraz  podjęcie działań naprawczych i wdrożeniowych pozwoli ograniczyć potencjalne ryzyka biznesowe, a w części przypadków nawet uniknąć ryzyka postępowań wyjaśniających/administracyjnych ze strony organu nadzorczego (Prezesa UODO) lub zakończyć postępowania na etapie udzielenia wyjaśnień. Trzeba jednak pamiętać aby działania te podjąć niezwłocznie, poczynając od analizy rodzaju naruszenia, jego skali i wagi oraz zidentyfikować przyczynę/źródło naruszenia – nie zawsze bowiem naruszenie miało miejsce bezpośrednio w naszej organizacji często zdarza się, że zawinił nasz podwykonawca (biuro księgowe, dostawca rozwiązań chmurowych, dostawca aplikacji, nasz informatyk na kontrakcie B2B itp.), co niestety nie wyłącza naszej odpowiedzialności. W takim przypadku okazuje się bardzo istotną kwestia dokonanej przez nas weryfikacji zgodności kontrahenta przed powierzeniem mu przetwarzania w naszym imieniu danych osobowych, jak również systematyczne weryfikowanie zgodności w toku realizacji usługi, a szczególnie możliwość udokumentowania dokonywania tych weryfikacji.  To z kolei pokazuje, że nie zawsze cena usługi powinna być podatkowym kryterium wyboru dostawcy/partnera, Co z tego że partner zaoferował usługę/aplikację, która posiada biznesowo wymagane funkcjonalności i ładnie wygląda, jest przyjazna w obsłudze, jeżeli dane wprowadzone do aplikacji są przechowywane np. poza EOG np. na Białorusi lub w Indiach bez odpowiednich zabezpieczeń i gwarancji formalnych, a za wybór właściwego dostawcy/partnera odpowiadamy przecież my …

Oczywiście, w sytuacji idealnej mamy wdrożone zasady RODO, procedury działają, pracownicy są przeszkoleni i nie otwierają podejrzanych wiadomości instalując jednocześnie szkodliwe oprogramowanie, a jak zdarzy się błąd ludzki typu pomyłka pola UDW i DW w mailu to nie chowają głowy w piasek tylko raportują to niezwłocznie przełożonym, a ci odpowiednio do wagi naruszenia w terminie do 72 godzin podejmują decyzję jak dalej postępować, ale czy w Twojej firmie tak właśnie jest ?  Jeżeli nie to najwyższy czas nadrobić zaległości, nawet jeżeli już masz do czynienia z naruszeniem to jest jeszcze czas na zminimalizowanie jego skutków i warto zwrócić się w tej kwestii do ekspertów mających długoletnie praktyczne doświadczenie, w tym nabyte podczas postępowań przed organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych, a wcześniej GIODO), na samodzielne wypracowanie rozwiązań/zarządzanie zaistniałym naruszeniem i jego odpowiednią obsługą może nie być już czasu, a niefachowe działanie zamiast zminimalizować skutki i konsekwencje naruszenia mogą je jeszcze zwiększyć ….

 

Andrzej Grzeszczuk

Inspektor ochrony danych

Ekspert akredytowany przez PARP – Phare 2002 Program: Dostęp do innowacyjnych usług doradczych, Działanie: Ochrona danych osobowych

Kontakt:

Tel. 509 720 666

a.grzeszczuk@polguard.pl

 

 

Żądanie spełniania obowiązku informacyjnego

Od 25 maja 2018 r., na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [zwane dalej RODO] każda osoba fizyczna ma prawo oczekiwać, że administratorzy danych przetwarzający jej dane osobowe poinformują ją co dzieje się z jej danymi osobowymi , czyli spełnią tzw. obowiązek informacyjny.

RODO nakazuje spełnianie obowiązku informacyjnego w dwóch sytuacjach. Po pierwsze obowiązek informacyjny należy spełnić w momencie, gdy dane zbierane są bezpośrednio od osoby, której one dotyczą [art. 13 RODO], po drugie w przypadku gromadzenia danych z innych źródeł, tj. nie od osoby, której one dotyczą [art. 14 RODO].

Jeśli ktoś przetwarza nasze dane osobowe, np. wysyła nam ofertę lub dzwoni do nas a nie zostaliśmy poinformowani skąd pozyskał nasze dane osobowe, w jakich celach je przetwarza oraz jakie przysługują nam uprawnienia możemy skorzystać z uprawnienia określonego w art. 15 RODO i zażądać od administratora udzielenia nam wszystkich wymaganych informacji.

Wzór przykładowego wniosku realizacji praw podmiotu danych zamieszczamy poniżej: Wzór wniosku.

Prezes Urzędu Ochrony Danych Osobowych [UODO] na swojej stronie informuje:

Cyt. „Administrator ma obowiązek najszybciej jak to możliwe odpowiedzieć na Twoje żądanie – maksymalnie w terminie miesiąca. Jeżeli z jakiegoś powodu nie będzie to możliwe, musi Cię poinformować, dlaczego przedłuża termin odpowiedzi o nieprzekraczalne kolejne dwa miesiące. Także w ciągu miesiąca administrator powinien Cię poinformować o niespełnieniu żądania i jego przyczynach. Jeżeli administrator zignoruje na Twoje żądanie albo odpowiedź nie będzie dla Ciebie satysfakcjonująca możesz złożyć skargę do Urzędu.”

W przypadku naruszenia przepisów o ochronie danych osobowych, osoba, której dane dotyczą, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych. Po przeprowadzeniu postępowania w sprawie, Prezes Urzędu – jeżeli doszło do naruszenia – w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem.

Kto, kiedy i w jakiej formie może złożyć skargę do UODO dokładnie jest opisane na stronie https://uodo.gov.pl/pl/83/155.

Niezależnie od postępowania przez UODO każda osoba fizyczna ma prawo do ochrony swoich praw przed sądem cywilnym. Jeżeli uznasz, że przetwarzanie Twoich danych osobowych narusza przepisy prawa, możesz pozwać administratora lub podmiot przetwarzający. Przed sądem możesz żądać odszkodowania za naruszenie przepisów o ochronie danych osobowych, które spowodowało szkodę majątkową lub niemajątkową.

O tym jak dochodzić odszkodowania pisaliśmy pod adresem: link

Jeśli powyższy materiał okazał się przydatny i chcecie Państwo wesprzeć Fundację prosimy o kliknięcie w link lub poniższy baner:
Darowizna dla Fundacji Promocji Bezpieczeństwa

dotpay_logo_napisPL

Dzięki Państwa wsparciu możemy pozostać niezależni i skutecznie promować bezpieczeństwo.

Dziękujemy!