Szerzők: dr. Domokos Márton, dr. Horváth Katalin, dr. Horváth Anna Zsófia
Az Európai Adatvédelmi Testület („EDPB”) nyilvános konzultációs eljárást követően elfogadta és közzétette a csatlakoztatott járművekkel („connected cars”, „connected vehicles”) és a mobilitással kapcsolatos alkalmazások keretében történő személyesadat-kezelésről szóló 01/2020. számú iránymutatás (“a csatlakoztatott járművekre vonatkozó iránymutatás”) végleges változatát.
Új modell és új játékosok a piacon
A csatlakoztatott járművek használata mind az autóiparban, mind az autóipart kiegészítő és kiszolgáló ágazatokban lezajlott technológiai fejlődés eredményeképp egyre gyorsabban terjed. A csatlakoztatott járművek, vagy hálózatba kapcsolt járművek fogalmát az iránymutatás keretein belültágan kell értelmezni, olyan járműként, amely több olyan elektronikus vezérlőegységgel („electronic control unit”, ECU) felszerelt, amelyek a járművön belüli hálózaton keresztül kapcsolódnak egymáshoz, valamint olyan csatlakozási lehetőségekkel rendelkezik, amelyek lehetővé teszik az információcserét más járművekkel a járművön belül és kívül egyaránt. Az EDPB ezt az értelmezést nem, mint egy általános definíció javasolja, inkább, mint egy, a csatlakoztatott járművek legfontosabb jellemzőit összefoglaló koncepcionális megközelítést.
Ezek a járművek a hozzáadott funkciókkal együtt így masszív adatközpontokként („data hub”) működnek, amellyel összefüggésben számos eddig nem vizsgált, az adatvédelem klasszikus problémáin túlmutató kérdés merül fel, amelyek a csatlakoztatott járművek fejlesztéséhez, használatához, hasznosításához kapcsolódnak, például többszereplős, összetett adatkezelési láncok, állandó adatgenerálás, vagy tájékoztatás és hozzájárulás kezelésére szolgáló komplex felhasználói interface-k. Az iránymutatás ennek jegyében egyaránt szól az autóipar tradicionális szereplőinek, úgy, mint a jármű- vagy alkatrészgyártóknak, autóipari beszállítóknak, autókereskedőknek, valamint a digitális gazdaság és ipar útján megjelenő új szereplőknek, például a szórakoztatóelektronikai eszközök gyártóinak, okostelefonok és egyéb IoT eszközök gyártóinak, applikációfejlesztőknek vagy távközlési szolgáltatóknak.
Vizsgált adatkezelési tevékenységek
A csatlakoztatott járművekkel kapcsolatban számos szerteágazó kérdés merül fel, úgy mint magánszemélyek általi mindennapi használat, munkáltatói adatkezelés csatlakoztatott jármű munkavállaló általi igénybevétele esetén, a csatlakoztatott jármű WiFi és Bluetooth funkcióival összefüggő kérdések, mint a WiFi-vel felszerelt járművek nyomon követése közös okostelefonos helymeghatározó szolgáltatásokat használó járókelők által, vagy intelligens közlekedési rendszerek (C-ITS) kiépítése. Az EDPB nem tárgyalja részletesen a teljes problémakört, az iránymutatás a járműtípusok közül is kizárólag a személyes célra használt járművekre vonatkozik (így például teherszállító járművek, kamionok, munkahelyi vagy céges autók nem tartoznak az iránymutatás hatálya alá).
Az EDPB három önmagában is átfogó, adatvédelmi és adatbiztonsági szempontból releváns témát vizsgál kiemelten, ezek:
- a személyes adatok kezelése a csatlakoztatott járművön belül;
- a személyes adatoknak a jármű és a járműhöz csatlakoztatott IoT vagy egyéb okoseszközök közötti adattovábbítás; és
- a járművön belüli helymeghatározási adatok gyűjtése, ahol az adatokat további adatkezelés céljából külső szervezetekhez továbbítják.
A vizsgált adatkezelések köre magában foglalja a mobilitás-menedzsment (pl. GPS navigáció, parkolássegítő, útdíj- vagy fogyasztásoptimalizálás), jármű-menedzsment (pl. beltér-konfiguráció, pay-as-you-drive szolgáltatások, használati adatok továbbítása szervízelés célból), közúti biztonság (pl. ütközésgátló, automatikus eCall vészhívás, közúti akadály- és veszélyérzékelő rendszerek), szórakoztatás (pl. WLAN, okostelefon-kapcsolat, social media és okosotthon integráció), vezetőtámogatás (részleges vagy teljes automatizált vezetés), és kényelmi funkciók (pl. fáradtságészlelés és -figyelmeztetés) céljából végzett adatkezelést.
Beépített adatvédelem
Az EDPB a csatlakoztatott járművekkel kapcsolatban mindhárom fenti adatkezelési modalitásban nagy hangsúlyt fektet a technológia-orientált adatvédelmi kérdésekre. A Testület kiemeli, hogy az adatvédelmi szempontokat már a legkorábbi fázisban, a tervezéskor figyelembe kell venni, és a jármű funkcióit adatvédelmi szempontok beépítésével kell megtervezni. Ez a GDPR 25. cikkében is megfogalmazott beépített adatvédelem gyakorlati megjelenése, amelynek célja, hogy az adatvédelem teljeskörű érvényesülése az egyes működési fázisok kialakítása során is kiemelt szerepet kapjon.
A beépített adatvédelemre alapozva az EDPB kiemeli, hogy törekedni kell a csatlakoztatott járművek működése során gyűjtött személyes adatok járművön belül történő kezelésére és tárolására. Amennyiben az adatok külső továbbítása szükséges, azokat javasolt anonimizálni, de legalább pszeudonimizálni Ezen túlmenően az EDPB javasolja egy olyan védett járműfedélzeti alkalmazásplatform kialakítását, amely a jármű biztonságos működésének szempontjából fontos járműfunkcióktól elkülönül. Az iránymutatás további konkrétumokat – például javasolt dokumentációs kötelezettségek vagy eszközök – ezzel kapcsolatban sajnos nem tartalmaz.
Átláthatóság és felhasználói kontroll
Az átláthatóság és a felhasználói ellenőrzés tekintetében az iránymutatás kiemeli, hogy a felhasználókat olyan helyzetbe kell hozni, hogy képesek legyenek a járműben az adatgyűjtés és adatkezelés tényének és természetének megismerésére és ellenőrzésére. Az EDPB többek között megjegyzi, hogy a csatlakoztatott járműben egy olyan értesítési rendszert kell bevezetni, amely jelzi a felhasználóknak, hogy a jármű mikor és milyen személyes adatokat gyűjt. Ilyen lehet például egy típus- és modellfüggetlen egységes fényjelző rendszer színkódok alapján, vagy szabványosított szimbólumok és ikonok használata. Például, hasonlóan az egyes okostelefonokon már létező megoldáshoz, ha a helymeghatározási adatok gyűjtése aktív, ezt zöld fény jelzi a vezetőnek.
A szükséges információ egy kétszintű rendszerben is átadható, ahol az első szinten az alapvető információk jelennek meg, további részletek pedig egy második szint elérésével ismerhetők meg Az első szintű tájékoztatás az adatkezelő azonosításán kívül magában foglalja az adatkezelés célját és az érintett jogainak leírását, valamint minden olyan további információt az adatkezelésről, amely a legnagyobb hatással van az érintettre, és amely az érintettet meglepheti.
Az érintettek tömör és könnyen érthető tájékoztatása történhet a jármű adásvételi szerződésében, a szolgáltatásnyújtási szerződésben és/vagy bármely írásbeli adathordozón, különálló dokumentumok (pl. a jármű karbantartási naplója vagy kézikönyve) vagy a fedélzeti számítógép segítségével.
Szenzitív személyes adatok kezelése
Helymeghatározási adatok
A GDPR 9. cikkének értelmében a helymeghatározási adatok ugyan nem tartoznak a személyes adatok különleges kategóriái közé, ugyanakkor különösen árulkodó jellegük miatt kiemelt figyelmet érdemelnek. A csatlakoztatott járművek használata során teljes útvonalhálózatok válnak feltérképezhetővé, amelyekből a magánéletre és a privátszférára nézve komoly beavatkozást jelentő következtetések is levonhatók, pl. az egyes lokációk, az ott eltöltött idő, a felkeresés ideje vagy rendszeressége. A közlekedési háló továbbá következtetni enged a vezető vagy utas kapcsolati hálójára is.
Ezért szükséges a helymeghatározási adatokhoz való hozzáférés pontos konfigurációja, a helymeghatározási adatok gyűjtésének egyértelmű jelzése a felhasználó felé, a helymeghatározás mindenkori kikapcsolásának lehetősége, és az adattárolás időtartamának pontos meghatározása.
Biometrikus adatok és egészségügyi adatok
Az EDPB alapvetésként javasolja, hogy biometrikus adatok gyűjtése nem lehet kötelező jellegű. Biometrikus adatok felhasználásakor lehetővé kell tenni, hogy a felhasználó kontrollálni tudja az adatkezelést, illetve egy nem biometrikus adatok felhasználásával működő valós alternatív megoldást. Például biometrikus adat felhasználásával történő nyitás vagy feloldás (ujjlenyomatolvasás, hangfelismerés) esetén fizikai kulcs vagy kód helyettesítheti a biometrikus adat alapú technológiát.
A biometrikus azonosításnak megbízhatónak és pontosnak kell lennie, az egy-az-egyhez azonosítás lehetőség szerint helyben történő elvégzésével, köztes külső azonosító vagy összehasonlító eszköz igénybevétele nélkül.
A járműhasználatból adódó adatvédelmi kérdések
Az iránymutatás a személygépkocsik általános használatával kapcsolatban felmerülő kérdésekkel is foglalkozik. Ezek egyike az a tény, hogy a személyes adatok gyűjtése egy csatlakoztatott járműben jellemzően nem csak a tulajdonost érinti, hanem a vezetőt is (amennyiben ő a tulajdonostól eltérő más személy), az autóban ülő többi utast, illetve bérelt vagy lízingelt autó esetén a használót is. A helyzetet tovább árnyalja, hogy a tulajdonoson kívüli utasok sokszor kiskorúak. Ezenfelül az járműben használt IoT-eszköz, például egy hangalapú asszisztenssel ellátott okostelefon a gyakorlatban az jármű teljes belterére kiterjed, és használata esetén több érintett személyes adatai is rögzítésre kerülnek.
További kérdés, hogy az autók élettartalmuk alatt legalább egyszer, de általában többször gazdát cserélnek, és minden tulajdonos és a tulajdonoshoz kapcsolódó használó más-más érintettnek minősül. Ez kiemeli a kezelt személyes adatok végleges törlésének és megsemmisítésének fontosságát, mielőtt a járművet értékesítik.
Esettanulmányok
Az iránymutatás tartalmas egy további, esettanulmányokat tartalmazó részt, amely egyes konkrét szituációkra gyakorlatorientált ajánlásokat fogalmaz meg:
- a GDPR 6. cikke (1) bekezdése b) pont szerinti szerződéses adatkezelési jogalap használatát „Pay-as-you-drive” és „Pay-how-you-drive” biztosítási szolgáltatásokhoz kapcsolódó adatkezeléshez;
- a használaton alapuló biztosítási szolgáltatások esetében a biztosító társaságok részére a jármű teljes telematikájának nyers adatai helyett generált numerikus pontszámrendszer használata. Ez a megoldás egyfajta hibrid adatkezelést tesz lehetővé, mely szerint a vezetési magatartásra vonatkozó személyes adatok (pl. fékpedálra kifejtett erő, megtett kilométerek száma) vagy a járműben, vagy a biztosító megbízásából a telematikai szolgáltató által kezelhető egy numerikus pontérték létrehozása céljából, amely a biztosítótársaság felé adott időszakonként (pl. havonta) továbbításra kerül. Ily módon a biztosítótársaság nem fér hozzá a nyers viselkedési adatokhoz, csak egy összesített pontértékhez;
- GDPR 6. cikke (1) bekezdése b) pont szerinti szerződéses adatkezelési jogalap használatát a bérelhető parkolóhelyeket kínáló szolgáltatásokhoz kapcsolódó adatkezeléshez;
- a 2018 óta kötelezően beépítendő 112 segélyhívás („eCall”) esetén a járműfedélzeti rendszerek adatinak továbbítása az elsőként beavatkozó szervezetek (rendőrség, mentők, tűzoltóság) valamint egyéb szolgáltatók számára súlyos baleset esetén;
- eCall során rögzített személyes adatok korlátozott tárolhatóságát arra az időtartamra, ami a vészhelyzetek kezeléséhez feltétlenül szükséges;
- a GDPR 6. cikke (1) bekezdése a) pont szerinti hozzájárulás adatkezelési jogalap használatát olyan tanulmányok vagy kutatások esetében, amelyek az érintett önkéntes adatszolgáltatása révén megszerzett személyes adatokat használnak fel; valamint
- a GDPR 6. cikke (1) bekezdése a) pont szerinti hozzájárulás adatkezelési jogalap használatát a jármű helymeghatározási adatainak kezeléséhez lopás esetén, amennyiben ezeket az adatokat az érintettek a jármű felkutatásához és megtalálásához kívánják használni.
Az iránymutatás teljes szövege ide kattintva elérhető.
Gyakorlati tanácsok az érdekeltek számára
Az összekapcsolt járművek által generált adatokat használó érdekelt feleknek az új EDPB iránymutatás alapján felül kell vizsgálniuk adatgyűjtési, -kezelési és -megosztási folyamataikat és eljárásaikat, és biztosítaniuk kell az iránymutatásban meghatározott és a fentiekben összefoglalt ajánlásoknak való megfelelést.
Ez különösen a következőkre terjed ki:
- Annak meghatározása, hogy az érdekelt szervezet a személyes adatok kezeléséért felelős vállalatként (adatkezelő) tevékenykedik-e a különböző érdekelt felek összetett ökoszisztémájában, és ha igen, ezt önállóan, vagy egyéb érdekeltekkel közösen teszi-e;
- Az összekapcsolt jármű működtetési láncban elfoglalt helynek (pl. gyártó, autókereskedő, integrálható IoT gyártó) mértékben és módon beépített adatvédelmi megoldások integrálása;
- Adatvédelem-barát alapértelmezett beállítások beállítása (pl. helymeghatározási adatok gyűjtése alapjáraton kikapcsolva);
- A nyers adatok helyi/járművön belüli kezelésének biztosítása, amennyire csak lehetséges, egyebekben a nyers adatokon végzett megfelelő anonimizálási vagy álnevesítési technikák alkalmazásának megfontolása;
- A személyes adatok kezelésével kapcsolatban esetlegesen felmerülő kockázatok értékelését magában foglaló adatvédelmi hatásvizsgálat lefolytatása; az adatkezelés újszerű jellegét és összetettségét tekintve ajánlott azokban az esetekben is hatásvizsgálatot végezni, amikor az a GDPR 35. cikke szerint nem kötelező, a tervezési folyamat lehető legkorábbi szakaszában, az adatkezelési műveletek kialakításakor.
- Az adatkezelés megfelelő jogalapjának kiválasztása, tekintettel a GDPR 6. cikk (1) bekezdésére és az ePrivacy irányelv felhasználói végberendezésével kapcsolatos adatkezelést szabályozó 5. cikk (3) bekezdését is;
- Az érintettek megfelelő tájékoztatása az adatkezelésről, beleértve új technológiai megoldások, interaktív felhasználói felületek használatát;
- További adatbiztonsági intézkedések mérlegelése a személyes adatok különleges kategóriába tartozó adatok, pl. helymeghatározási és biometrikus azonosításhoz szükséges adatok, valamint egyéb olyan adatok kezelése során, amelyek potenciálisan bűncselekményeket vagy egyéb szabálysértéseket tárhatnak fel.