Zakres łączności z większością dostępnych na rynku modeli eskaluje, dzięki czemu pojazdy stają się ogromnymi bazami danych.
Co istotne, nie chodzi wyłącznie o informacje dotyczące samych aut, lecz przede wszystkim o znaczną ilość danych odnoszących się do kierowców oraz pasażerów, a tym samym danych osobowych, które ich identyfikują, w tym również danych wrażliwych. Dążąc do uregulowania tego dynamicznie rozwijającego się, a zarazem newralgicznego obszaru, Europejska Rada Ochrony Danych (EROD) wydała, jako pierwsze w 2020 r., wytyczne 1/2020 dotyczące przetwarzania danych osobowych w kontekście połączonych pojazdów i aplikacji związanych z mobilnością.
Co mówi o nas nasz samochód?
Jeszcze niedawno jedynym parametrem (oczywiście poza tymi czysto technicznymi) opisującym nasz pojazd było jego położenie, określone przez urządzenia GPS zamontowane indywidualnie przez użytkownika. Obecnie większość marek samochodowych umieszcza w swoich produktach trwałe urządzenia pokładowe, gromadzące i zapisujące wiele informacji, takich jak osiągi silnika, nawyki jazdy czy najczęściej odwiedzane lokalizacje. Innowacyjni producenci opracowują także systemy uwierzytelniające bądź identyfikujące użytkowników przez rejestrację ruchów oczu kierowcy, jego pulsu czy innych danych biometrycznych. Pojazdy połączone – bo tak w wytycznych 1/2020 nazwano pojazdy, które w różny sposób pozyskują i wykorzystują dane – generują coraz więcej informacji. Podkreślenia wymaga, że nawet gdy dane zbierane za pośrednictwem auta nie są bezpośrednio powiązane z osobą, lecz z kwestiami technicznymi bądź cechami pojazdu, na gruncie opracowania EROD należy uznać, że mogą dotyczyć kierowcy lub pasażerów samochodu.
Za przykład tego rodzaju informacji EROD podała dane dotyczące stylu jazdy, przebytego dystansu, zużycia pojazdu lub dane pozyskane przez kamerę samochodową. Mając to na uwadze, trzeba wskazać, że przedmiotowy akt skierowany jest do szerokiego kręgu odbiorców, takich jak producenci pojazdów, producenci sprzętu, dostawcy aplikacji mobilnych, warsztaty i salony samochodowe, wypożyczalnie, menedżerowie flot, towarzystwa ubezpieczeń, operatorzy telekomunikacyjni, a także kierowcy, właściciele, najemcy i pasażerowie. Nie jest to jednak wyliczenie enumeratywne.
Zakres wytycznych 1/2020
Czego dowiadujemy się z wytycznych 1/2020? Ich treść skupia się w szczególności na przetwarzaniu danych osobowych w związku z prywatnym użytkowaniem połączonych pojazdów przez osoby fizyczne, głównie kierowców, pasażerów, właścicieli, najemców pojazdów – ale nie tylko. Europejska Rada Ochrony Danych zaznacza, że wydany przez nią dokument dotyczy zwłaszcza danych osobowych:
- przetwarzanych wewnątrz pojazdu,
- wymienianych między pojazdem a podłączonymi do niego urządzeniami osobistymi, takimi jak smartfony czy tablety,
- gromadzonych w pojeździe i eksportowanych do podmiotów zewnętrznych (np. producentów pojazdów, zarządców infrastruktury, firm ubezpieczeniowych, warsztatów samochodowych) do dalszego przetwarzania.
W jaki dokładnie sposób dane te mają być przetwarzane? Ogromną popularnością cieszą się obecnie różnego rodzaju aplikacje wspomagające kierowców w szerokim zakresie. Mogą one obejmować przede wszystkim:
- zarządzanie mobilnością – pozwalają kierowcy szybko i łatwo dotrzeć do celu dzięki dostarczaniu równocześnie informacji o potencjalnie niebezpiecznych warunkach atmosferycznych (np. oblodzone drogi), korkach lub robotach drogowych, a także o najbliższych parkingach czy punktach gastronomicznych,
- zarządzanie pojazdem – pozwalają kierowcy zmniejszyć koszty i poprawić łatwość użytkowania dzięki wysyłaniu powiadomień o stanie pojazdu bądź przypomnień serwisowych,
- zapewnienie bezpieczeństwa na drodze – ostrzegają kierowcę przed zagrożeniami zarówno zewnętrznymi, jak i wewnętrznymi, np. wykrywają senność kierowcy czy zjechanie z pasa ruchu, a w razie potrzeby wykonują połączenia alarmowe,
- dostarczanie rozrywki – udostępniają informacje i zapewniają rozrywkę kierowcy oraz pasażerom, m.in. interfejsy smartfonów (rozmowy telefoniczne bez użycia rąk, wiadomości tekstowe generowane głosem), muzyka, wideo, Internet, media społecznościowe,
- kontrolowanie samopoczucia – monitorują komfort kierowcy, zdolność i sprawność kierowania, aby wykryć zmęczenie i, gdy to konieczne, wezwać pomoc medyczną.
Poza zakresem wytycznych 1/2020 znalazły się obszary uregulowane uprzednio w innych dokumentach lub przepisach szczególnych. Należy do nich przede wszystkim kwestia monitorowania pracowników za pomocą GPS, co przewiduje Kodeks pracy, a ponadto zagadnienie wykorzystywania kamer samochodowych, które EROD poruszyła w wytycznych dotyczących przetwarzania danych osobowych przez urządzenia wideo.
Przepisy regulujące przetwarzanie danych z pojazdów połączonych
Pochylając się nad wskazówkami przygotowanymi przez EROD, warto w pierwszej kolejności nadmienić, że przetwarzanie danych przez pojazdy połączone co do zasady podlega ogólnym przepisom o ochronie danych osobowych, czyli RODO. Nie bez znaczenia jest jednak, że w świetle wytycznych 1/2020 zarówno urządzenia podłączone do interfejsu publicznej sieci telekomunikacyjnej wykorzystywane do wysyłania, przetwarzania lub odbierania informacji, jak i podpięte do nich pojazdy są uznawane za „urządzenia końcowe” w rozumieniu dyrektywy 2008/63/WE w sprawie konkurencji na rynkach końcowych urządzeń telekomunikacyjnych. w rezultacie i auto, i zamontowane w nim urządzenia w świetle przytoczonych przepisów są uznawane za równoważne z komputerami, smartfonami czy telewizorami smart, podlegającymi dyrektywie 2008/63/WE.
Podstawy przetwarzania danych z pojazdów połączonych
Uznanie pojazdu połączonego za urządzenie końcowe ma swoje implikacje dla podmiotów przetwarzających w ten sposób dane osobowe. w swojej opinii EROD wskazała, że co do zasady wymagana jest uprzednia zgoda na przechowywanie informacji lub na uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym użytkownika. Zgoda będzie prawdopodobnie stanowić podstawę prawną zarówno do przechowywania danych, jak i do uzyskiwania dostępu do informacji już przechowywanych oraz do przetwarzania danych osobowych w ramach operacji uwzględnionych w wytycznych 1/2020 (wskazanych wyżej).
Europejska Rada Ochrony Danych zwraca uwagę, że zgoda sformułowana w ………… jest tożsama z jej pojęciem na gruncie RODO, dlatego musi spełniać wszystkie wymogi usankcjonowane w art. 7 RODO. Na temat zgody EROD wypowiedziała się także w kontekście udostępniania podmiotom trzecim danych użytkowników. w wytycznych 1/2020 zaleciła, z uwagi na specyfikę i swego rodzaju wrażliwość danych dotyczących użytkowania pojazdu (np. podróży czy stylu jazdy), aby zgoda osoby, której dane dotyczą, na przekazywanie jej danych była uzyskiwana każdorazowo przed ich udostępnieniem (np. partnerowi handlowemu).
Dane szczególnie istotne
Nie ma głupich pytań RODO.
Są darmowe odpowiedzi
Wypada również zaznaczyć, że niektóre dane generowane przez pojazdy połączone mogą wymagać szczególnej ochrony wobec ich potencjalnego wpływu na prawa i interesy osób, których dane dotyczą, a także ze względu na status danych wrażliwych w świetle RODO. w związku z tym EROD wyróżniła trzy kategorie danych osobowych, które w jej opinii wymagają większej uwagi producentów i usługodawców świadczących usługi w branży motoryzacyjnej, mianowicie:
- dane geolokalizacyjne,
- dane biometryczne (oraz inne dane szczególnych kategorii),
- dane, które mogą ujawnić przestępstwa lub wykroczenia drogowe.
Odnosząc się do danych geolokalizacyjnych, EROD podkreśliła wagę realizacji zasady adekwatności przy przetwarzaniu tego rodzaju informacji. Jako przykład obrazujący ten problem wskazała aplikację meteorologiczną. Nie powinna mieć ona ciągłego dostępu do lokalizacji pojazdu nawet za zgodą osoby, której dane dotyczą, gdyż nie jest to niezbędne do osiągnięcia celu, jakim jest informowanie o stanie pogody np. co godzinę.
Jeśli chodzi o dane biometryczne, w kontekście połączonych pojazdów mogą być stosowane m.in. w celu umożliwienia użytkownikowi dostępu do auta, uwierzytelnienia kierowcy lub dopuszczenia do jego indywidualnych ustawień czy preferencji. Rozwiązania tego typu pociągają za sobą konieczność zagwarantowania osobie, której dane dotyczą, pełnej kontroli nad jej danymi, a ponadto stwarzają obowiązek zapewnienia jej alternatywy niebiometrycznej, np. przez umożliwienie otwarcia auta przy użyciu klucza fizycznego lub kodu bez dodatkowych ograniczeń. Co ważne, EROD stoi na stanowisku, że dane wykorzystane do utworzenia szablonu biometrycznego w celu uwierzytelnienia użytkownika powinny być przetwarzane w czasie rzeczywistym bez ich przechowywania, nawet lokalnie.
Ostatnią newralgiczną grupą są dane ujawniające przestępstwa lub inne wykroczenia, których źródłem mogą być pojazdy połączone. Informacje uzyskane dzięki rejestrowaniu prędkości pojazdu w połączeniu z dokładnymi danymi geolokalizacyjnymi można uznać za dane związane z wykroczeniem czy nawet przestępstwem. Wobec tego przetwarzanie takich danych dopuszczalne jest wyłącznie w określonych okolicznościach, stosownie do art. 10 RODO.
Dalsze rekomendacje
Zgodnie z zaleceniem EROD należy ograniczyć udostępnianie podmiotom trzecim danych z pojazdów połączonych. Jeśli jednak dane muszą być przekazane na zewnątrz, warto rozważyć ich uprzednią anonimizację bądź pseudonimizację. Pomoże to administratorowi minimalizować ryzyko związane z połączonymi pojazdami przy równoczesnym osiąganiu zamierzonych celów. Trzeba wziąć bowiem pod uwagę, że w większości przypadków dane bezpośrednio identyfikujące nie są konieczne do realizacji określonych celów.
Spełnienie obowiązku informacyjnego zawsze konieczne
W analizowanej sytuacji, podobnie jak w innych przypadkach przetwarzania danych osobowych, administratorzy podlegają obowiązkowi informacyjnemu wymaganemu przez RODO. Według EROD ten specyficzny obszar, jakim jest przetwarzanie danych z pojazdów połączonych, umożliwia realizację obowiązku informacyjnego w inny niż tradycyjny sposób, czyli przez przedłożenie osobie, której dane dotyczą, pełnej klauzuli informacyjnej, obejmującej wszystkie informacje przewidziane w art. 13 RODO. Analogicznie do realizacji obowiązku informacyjnego przy przetwarzaniu danych w ramach monitoringu wideo, oprócz zawarcia obligatoryjnych informacji w postaci pisemnej, dopuszczalne jest użycie w klauzuli zamieszczonej w pojazdach połączonych również znaków graficznych, aby zwiększyć jej przejrzystość, a jednocześnie uniknąć potencjalnej potrzeby przekazywania długich pisemnych komunikatów osobie, której dane dotyczą. Oznaczenia zamieszczone w pojeździe powinny być widoczne, zrozumiałe i czytelne dla użytkowników. w opinii EROD niezwykle ważna jest standaryzacja oznaczeń graficznych tak, aby użytkownik otrzymywał takie same symbole niezależnie od marki lub modelu pojazdu.
Case study
Nie ograniczając się do teorii, EROD podaje szereg przykładów obrazujących praktyczne zastosowanie zaprezentowanych wytycznych. Za szczególnie wart uwagi (w rzeczywistości występujący najczęściej) należy uznać przypadek wykorzystania danych kierowców przez ubezpieczycieli, którzy premiują użytkowników jeżdżących bezpiecznie, oferując im niższe składki. Kierowca korzystający z tego typu usługi najczęściej zobowiązany jest do zainstalowania urządzenia, które rejestruje wykonywane przez niego trasy i jego zachowania (charakterystyka hamowania, gwałtowne przyspieszenia itp.). Firma ubezpieczeniowa wykorzystuje dane zgromadzone w ten sposób do przypisania kierowcy punktacji w celu oszacowania potencjalnego ryzyka, jakie może on dla niej stanowić. Jak zaznacza EROD, tego typu usługi ubezpieczeniowe zawsze powinny być opcjonalne – ubezpieczający musi mieć swobodę wyboru w zakresie wykupienia polisy, która nie będzie oparta na takich danych.
Jeśli chodzi o podstawę prawną przetwarzania danych w opisanym stanie faktycznym, podmiot ubezpieczeniowy może powołać się na art. 6 ust. 1 lit. b RODO. Musi on jednak wykazać łącznie, że przetwarzanie odbywa się w związku z ważnie zawartą umową z osobą, której dane dotyczą, oraz że jest ono niezbędne do wykonania przedmiotowej umowy. Aby wskazać okres przechowywania danych przetwarzanych w tym celu, należy rozróżnić dwa ich rodzaje – informacje transakcyjne identyfikujące stronę umowy oraz dane dotyczące użytkowania pojazdu. Informacje transakcyjne identyfikujące stronę umowy ubezpieczyciel może przechowywać przez cały okres obowiązywania umowy, a następnie do upływu ustawowych terminów przedawnienia – po tym czasie powinny zostać usunięte lub zanonimizowane.
Odnosząc się zaś do danych dotyczących użytkowania pojazdu, należy wskazać, że powinny być przechowywane tylko tak długo, jak długo są wymagane do świadczenia konkretnych etapów usługi. Ponadto interesujące jest zalecenie EROD, związane z przytoczonym kazusem, że klauzula informacyjna dotycząca omawianego procesu przetwarzania danych przez ubezpieczycieli powinna wskazywać fakt profilowania oraz jego konsekwencje, nawet jeśli nie wiąże się to z zautomatyzowanym podejmowaniem decyzji, o którym mowa w art. 22 RODO.
Szanse i zagrożenia
Możliwości, których dostarczają pojazdy połączone, generują coraz większą liczbę nowych usług. Wiąże się to z wieloma udogodnieniami dla użytkowników, ale również ze znacznym wzrostem ilości przetwarzanych danych osobowych. To z kolei pociąga za sobą zwiększenie pola potencjalnych słabych punktów, które są okazją dla cyberprzestępców. w przeciwieństwie jednak do większości sprzętów zaliczanych do Internetu rzeczy (IoT – Internet of Things) pojazdy połączone stanowią obszar, w którym naruszenie bezpieczeństwa informacji może prowadzić nawet do wyraźnego zagrożenia życia kierowców, pasażerów oraz ludzi w ich otoczeniu. Miejmy nadzieję, że przemawia to do administratorów, którzy w szczególny sposób powinni zadbać o ochronę tych specyficznych danych.