Az önvezető autók megjelenése, a fedélzeti számítógépbe szerelt automata helymeghatározó rendszerek, vagy a kiegészítéseként megvásárolható fedélzeti kamera használatának elterjedése révén a járművek által gyűjtött személyes adatok kezelését az adatvédelmi hatóságok által is kiemelten vizsgálják.
Ezt mutatja az is, hogy az Európai Adatvédelmi Testület („EDPB”) az 1/2020 önálló iránymutatásban foglalkozott az ún. csatlakoztatott járművekkel („connected vehicles”) és a mobilitással kapcsolatos alkalmazások keretében történő személyesadat-kezeléssel, amelyről ITT írtunk korábban.
Mostani cikkünkben egy francia és egy német hatósági döntésen keresztül bemutatjuk a gépjárművek által gyűjtött személyes adatok kezelésének a GDPR szerint javasolt gyakorlatát, ami hasznos lehet a gépjárművek által gyűjtött személyes adatok kezelésén alapuló szolgáltatásokat (pl. carsharing, okosparkolók, vezetéstámogató rendszerek tesztelői, balesetfelismerő- és segélyhívó rendszerek üzemeltetői, pay as you drive biztosítási szolgáltatások nyújtói) nyújtó vállalkozásoknak.
1. 175.000 EUR bírság – Ubeeqo carsharing
A francia adatvédelmi hatóság („CNIL”)
175.000 euróra bírságolta a UBEEQO International („Ubeeqo”) carsharing szolgáltatásokat nyújtó társaságot helymeghatározási adatok jogellenes kezelése miatt.
A Ubeeqo egy kizárólag a saját applikációban és weboldalon elérhető carsharing platformot üzemeltet. Az ügyfélnek ugyanazon az állomáson kell felvennie és visszaadnia a járművet, úgy, hogy a Ubeeqo személyzete nincs jelen a jármű átvételekor vagy visszavételekor. A Ubeeqo a járművek adatrögzítésre alkalmas rendszerén keresztül 500 méterenként, a motor be- és kikapcsoláskor, és az ajtók nyitásakor és zárásakor is helymeghatározási (GPS) adatokat gyűjt a járművekről, amelyek a GSM-hálózaton keresztül kerülnek a megbízott tárhelyszolgáltató információs rendszerébe. A Ubeeqo alkalmazottainak lehetősége van távolról bemérni a jármű helyzetét. Az adatkezelés célja: i) a jármű megfelelő helyre történő visszaszállításának ellenőrzése, a járműpark állapotának nyomon követése, ii) lopás esetén a jármű visszaszerzése, iii) baleset esetén a felhasználók segítése.
Az adatkezelés célja
A CNIL a helymeghatározási adatok kezelésének szükségességét és a fent említett 1/2020 EDPB iránymutatásban megfogalmazott „szigorú célhoz kötöttségi követelmény” teljesülését vizsgálta.
Eszerint “jármű- és berendezésgyártóknak, a szolgáltatóknak és egyéb adatkezelőknek különösen ügyelniük kell arra, hogy kizárólag abban az esetben gyűjtsenek helymeghatározó adatokat, amennyiben az az adatkezelés céljához feltétlenül szükséges”, továbbá a helymeghatározási adatok gyűjtése akkor jogszerű, ha „a helymeghatározás csak abban az esetben kerül aktiválásra, ha a felhasználó olyan funkciót működtet, amelyhez szükség van a jármű helyzetének ismeretére, és az autó beindításával nem alapértelmezetten, illetve folyamatosan fut”.
A CNIL az egyes adatkezelési célokra vonatkozóan az alábbiakat állapította meg:
A járműpark állapotának nyomon követése és a jármű megfelelő helyre történő visszaszállítása:
A Ubeeqo azzal érvelt, hogy az általa kínált szolgáltatások a járművek azonnali rendelkezésre állásán és rugalmasságán alapulnak. Ha a GPS adatokat csak a bérleti időszak tervezett végéig gyűjtenék, ez ellehetetlenítené a flotta rugalmas rendelkezésre állását. A jármű visszavételi időpontjának meghatározásának egyetlen módja a rendszeres időközönként történő helymeghatározás. Az ügyfelek például a járművet egyszerűen az indulási állapotra való leparkolással idő előtt is visszaadhatják. A társaság szerint a GPS adatok szükségesek továbbá annak megállapítására, ha a járművet más helyre viszik vissza, tiltott helyen, közúton kívül vagy az ország területén kívül használják, vagy a járművel városi útdíjköteles területekről ki- és behajtanak (az utóbbi információ az automatizált számlázási szolgáltatáshoz kell).
A CNIL nem fogadta el ezt az érvelést, mondván, ezekhez a célokhoz nem szükséges 500 méterenként / motor leállításkor / ajtónyitáskor is GPS adatot rögzíteni – elég lenne ezek közül az egyik adat rögzítése, ugyanis feltételezhető, hogy az adott felhasználó általi utolsó motorleállítás egyben a jármű visszavételi helyét is jelzi. A tiltott területen való vezetés ellenőrzése céljából való adatgyűjtést a CNIL azért nem tartotta elfogadhatónak, mert a társaság nem tudta megmondani, hogy a gyűjtött adatokat pontosan miként használják ennek ellenőrzésére. Az automatizált számlázáshoz kapcsolódóam a CNIL megjegyezte, hogy ez a szolgáltatás kizárólag egyetlen városban elérhető, így a többi szolgáltatási hely esetében szintén nem indokolt.
Lopás esetén a jármű visszaszerzése:
A CNIL szerint ilyen esetekben az adatgyűjtést a kiváltó esemény (lopás, vagy lopás gyanúja) bekövetkezésekor kell megkezdeni, a folyamatos adatgyűjtést ez a cél nem indokolja.
A Ubeeqo a folyamatos adatgyűjtést azzal indokolta, hogy a GPS adatok 500 méterenként történő gyűjtése lehetővé teszi a jármű megtalálását lopás vagy lopás gyanúja esetén, különösen abban az esetben, ha a jármű tényleges helye és a leadás tervezett helye között ellentmondás van. A CNIL nem fogadta el az érvelést, és megjegyezte, hogy azokban az esetekben, amikor a jármű eltűnik, és a felhasználó nem közli az utolsó ismert pozíciót, a társaság távolról is aktiválhatja a jármű helymeghatározását.
Baleset esetén a felhasználók segítése:
A CNIL szerint ilyen esetekben az adatgyűjtést szintén a kiváltó esemény (baleset) bekövetkezésekor kell megkezdeni, a folyamatos adatgyűjtést ez a cél nem indokolja.
A Ubeeqo a folyamatos adatgyűjtést azzal indokolta, hogy ez olyan esetekben is segít, amikor a vezető vagy az utasok nem tudnák aktiválni az adatgyűjtés megkezdéséhez szükséges funkciót (pl. gomb megnyomás, hangparancs). A CNIL nem tartotta elfogadhatónak ezt az érvet, mondván, a baleseti asszisztenciához a társaságnak tudnia kell azt is, hogy baleset történt, ez viszont csak a GPS adatokból nem derül ki. Amennyiben viszont a társaság értesül a balesetről, távoli ellenőrzéssel bármikor be tudja mérni a jármű helyzetét.
Az adatkezelés időtartama
A Ubeeqo adatmegőrzési szabályzata szerint az egyes felhasználók GPS adatait az üzleti kapcsolat fennállása alatt, majd a felhasználó utolsó tevékenységének időpontjától számított három évig aktív adatbázisban tárolja. A Ubeeqo elmondása szerint historikus GPS adatokat nem tárol, hanem az újonnan gyűjtött adatok mindig felülírják a korábbi adatokat, így végeredményben mindig csak a jármű helyzetére utaló utolsó gyűjtött információ kerül tárolásra.
A CNL álláspontja szerint a GPS adatok gyűjtésének céljai nem a felhasználóval fennálló kereskedelmi kapcsolat egészéhez, hanem az egyes carsharing periódusokhoz kapcsolódnak. A társaság által megnevezett adatkezelési célok szempontjából ezért szükségtelen, és a korlátozott tárolhatóság elvének sérelmét jelenti a GPS adatok üzleti kapcsolat végét követő 3 éves megőrzési ideje.
A CNIL ugyanakkor elfogadta, hogy egyes esetekben jogszabályi kötelezettség esetén szükséges a GPS adatok tartós megőrzése, azonban ekkor sem elfogadható azokat aktív adatbázisban tárolni, hanem egy erre a célra létrehozott archív adatbázist kell kialakítani. A CNIL vizsgálata során továbbá megállapította, hogy a társaság információs rendszerében historikus adatok is tárolásra kerültek, ezért a valós helyzet nem tükrözi a Ubeeqo által elmondottakat.
2. 1.1 millió EUR bírság – Volkswagen Csoport
A német Alsó-Szászország tartományi adatvédelmi biztosa („Landesbeauftragte für den Datenschutz Niedersachsen”, „adatvédelmi biztos”) 2022. július 25-i határozatában
1,1 millió euróra bírságolta a Volkswagen AG-t („VW”) személyes adatok tesztvezetések során történő jogellenes kezelése miatt.
A VW a balesetek megelőzésére szolgáló vezetéstámogató rendszer tesztelését kiszervezte egy külső cégnek. A tesztelő cég a tesztvezetéseket kutatási és tesztelési céllal végezte nyílt forgalomban. Az osztrák rendőrség 2019-ben Salzburg közelében megállított egy ilyen, a vezetéstámogató rendszer közlekedési balesetek elkerülését szolgáló működésének tesztelésére és gyakorlására használt VW-tesztjárművet forgalomellenőrzési célból. A forgalomellenőrzés során a rendőrök szokatlan tartozékokat vettek észre a járművön, amelyeket kamerákként azonosítottak. A kamerák többek között a tesztjármű körüli forgalmat rögzítették a hibaelemzéshez.
Az adatvédelmi biztos négy kérdésben állapította meg a GDPR rendelkezéseinek megsértését:
- Adatkezelési nyilvántartás. A VW nem vette fel az alkalmazott technikai és szervezési intézkedések leírását az adatkezelési tevékenységek nyilvántartásába, és ezzel megsértette a GDPR 30. (1) g) pontját.
- Adatkezelési tájékoztató. A tesztjárművön nem volt kamera szimbólum vagy egyéb tájékoztatás arról, hogy ki és milyen célból végzi az adatok rögzítését, és mennyi ideig tárolják a személyes adatokat. Az adatvédelmi biztos megjegyezte, hogy ebben a helyzetben, tekintettel arra, hogy a kamerák figyelik és rögzítik a jármű környezetét, amely jellemzően más úthasználók személyes adatait (pl. rendszám) is tartalmazza, a közlekedésben részt vevő egyéb szereplőket is megfelelően tájékoztatni kell.
- Adatfeldolgozási szerződés. A VW és a tesztelő cég nem kötött adatfeldolgozási megállapodást az Art. GDPR 28. cikkének (3) bekezdése alapján.
- Adatvédelmi hatásvizsgálat. A VW a tesztelés megkezdése előtt nem végzett a GDPR 35. cikke alapján kötelező adatvédelmi hatásvizsgálatot.
Gyakorlati tanácsok
A fenti hatósági gyakorlat alapján a gépjárművek által gyűjtött személyes adatok kezelésén alapuló szolgáltatásokat (pl. carsharing, okosparkolók, vezetéstámogató rendszerek tesztelői, balesetfelismerő- és segélyhívó rendszerek üzemeltetői, pay as you drive biztosítási szolgáltatások nyújtói) nyújtó vállalkozásoknak az alábbiakra érdemes figyelni:
- Az adatkör meghatározása. Az adatkezelőnek az adatkezelés megtervezésekor meg kell győződnie arról, hogy a helymeghatározási adatok kezelése valóban szükséges az adatkezelésének célja elérése érdekében (figyelembe véve az adatmegőrzési időt is), és arra alkalmas is.
- Az adatkezelési nyilvántartás hatályosítása. Az adatkezelőknek a GDPR 30. cikk szerinti adatkezelési tevékenységek nyilvántartásában a GDPR 30. cikk (1) bekezdésében felsorolt jellemzőkre ki kell térnie, különös tekintettel az alkalmazott adatbiztonsági intézkedésekre.
- Adatvédelmi hatásvizsgálat. A GDPR 35. cikke szerinti előzetes adatvédelmi hatásvizsgálat lefolytatása, amennyiben az adatkezelés nagyszámú érintettet vagy személyes adatok különleges kategóriáját, vagy helymeghatározási adatokat érint. A helymeghatározási adatok más rendelkezésre álló adatokkal, vagy rendszeres rögzítésük esetén önmagukban is egyedi viselkedési mintázatokra, ezáltal további személyes adatokra engednek következtetni, ez indokolja helymeghatározási adatok kezelésekor is az adatvédelmi hatásvizsgálat elvégzését.
- Adatfeldolgozási szerződés: Az adatkezelőknek a GDPR 28. cikk (3) bekezdése szerinti adatfeldolgozási szerződést kell kötni az adatkezeléshez igénybe vett adatfeldolgozókkal, például tesztadatok gyűjtésével és elemzésével megbízott alvállalkozóval.
- Adatkezelési tájékoztató. A tájékoztatás során a jármű vezetőjén és a járműben tartózkodó utasokon kívül a közlekedésben részt vevő további szereplőket is tájékoztatni kell, amennyiben az adatkezelés őket is érinti (pl. fedélzeti kamera alkalmazása esetén). Ilyenkor a tájékoztatás módjának megválasztásakor figyelemmel kell lenni arra, hogy a további érintettek a forgalomban jellemzően nagyon rövid időre kerülnek az adatrögzítő jármű közelébe. Hatásos módszer lehet ezért a járművön jól láthatóan elhelyezett, kamerát ábrázoló matrica, vagy olyan, megfelelő méretű QR-kódot ábrázoló matrica, amely beolvasásakor az adatkezelési tájékoztatóra irányít, esetleg telefonszám megadása, amely bejövő hívás esetén az adatkezelési tájékoztatót ismerteti.