NOERR és Társai Iroda összeállítása az új adatvédelmi rendelet követelményeiről.
2018. május 25-től alkalmazandóak az Általános Adatvédelmi Rendelet (General Data Protection Regulation – GDPR) szigorú rendelkezései, amelyek kötelező jelleggel szabályozzák a természetes személyek adatainak védelmét. A GDPR fő célja, hogy személyes adatot csak célhoz kötötten, a cél eléréséhez szükséges ideig és minden esetben megfelelő jogalappal kezeljenek az adatkezelők. Ennek jegyében Magyarországon is megkezdődött, sok helyen le is zárult az autóipari vállalatok GDPR felkészülése. Jelen cikkben nem a kötelező GDPR felkészülés teendőit tekintjük át (pl. adatkezelési nyilvántartás, adatvédelmi szabályzat, adatkezelési tájékoztatók, hozzájárulások elkészítése), hanem az autóipart globálisan foglalkoztató adatvédelmi kérdéseket szeretnénk megvilágítani.
Adatkezelés az offline és az online autóban
A modern autókban akár 80 irányítási készülék rögzíti szenzorok segítségével a gépjárműre és a vezetésre vonatkozó adatokat. A német adatvédelmi hatóságok gyakorlata különbséget tesznek az offline és az online (másképpen „okos”) autó között.
A kiindulópont az, hogy az adatvédelem csak személyes adatra vonatkozik, tehát nem kell adatvédelemre gondolni a pusztán műszaki adatok esetében. A német szövetségi, tartományi adatvédelmi hatóságok és a német Gépjárműipari Egyesület (VDA) 2016. január 26-án kelt közös állásfoglalása alapján azonban a gépjármű használata során tárolt adatok már akkor személyes adatnak minősülnek, ha az adat összekapcsolódik a gépjármű rendszámával vagy alvázszámával, így ugyanis a nemzeti közlekedési hatóságok segítségével kideríthető a gépjármű tulajdonosa, illetve üzembentartója.
Offline autó esetében az adatok tárolása a gépjárművön belül történik, és amint ezek összekapcsolódnak a rendszámmal és így vonatkoztathatóak a jármű üzembentartójára, alkalmazni kell a GDPR-t.
Online autónak minősül az a gépjármű, amelyben az adatok továbbítása a gépjárművön kívülre történik. Ebben az esetben az adatok továbbítása adatkezelésnek minősül a GDPR értelmében. Történhet az adattovábbítás az egyik autóból a másik autóba (Car-to-Car=C2C), mint pl. a távolságot automatikusan szabályozó asszisztencia rendszernél. Az autó azonban kommunikálhat a környezetével is (Car-to-Infrastructure), mint pl. az eCall (emergency call) esetében. Baleset esetén – amelyet a légzsák kioldása jelez az e-call rendszernek – az eCall automatikusan hívja a mentőket. 2018. márciusától az eCall kötelezővé vált minden új autó esetében.
Az adatvédelem akkor válik izgalmassá, amikor az adatok továbbítására és kiértékelésére kerül sor. A következő példák érzékeltetik az adatvédelem jelentőségét.
Amikor az autóból nyert adatok büntető jogi elítéléshez vezetnek
Németországban nagy médiavisszhangot kiváltó bírósági ügyben tárgyalták azt az esetet, amelyben egy Car Sharing-et használó egyetemista egy biciklist gázolt el. A Car-Sharing modell, a „közösségi autózás” lényege, hogy a szolgáltató által a város különböző pontjain rendelkezésre bocsátott autók egy, az okostelefonra telepített applikáció segítségével vehetőek igénybe, általában rövid távú, városon belüli közlekedésre, a szolgáltatónál regisztrált felhasználók részére. A konkrét esetben a Car-Sharing szolgáltató által kínált autóban olyan eszköz volt beépítve, amely minden, a gépjármű bérletével és vezetésével kapcsolatos adatot tized- vagy akár századmásodperces pontossággal rögzített. A balesetet követő büntető perben a Car-Sharing szolgáltató és a BMW az ügyészség kiadási kérelmére rendelkezésre bocsátotta a tárolt adatokat, amelyek alapján visszakövethető volt az adott időpillanatban a vezető személye, a GPS koordináták és az autó első tizedes vesszőig pontosan megállapított sebessége. A Google Maps alkalmazás segítségével a halálos balesetet okozó ámokfutás másodpercre lebontva rekonstruálhatóvá vált: pontos helyadatokhoz hozzákapcsolható volt az autó másodpercre megállapított sebessége, összességében a gépjármű (és ezzel együtt a vezető) mozgásprofilja. Az adatok alapján elítélték a gázolót.
Amikor a vezetési stílusról gyűjtött adatok meghatározzák a biztosítási díj mértékét
A gépjármű biztosítók számára értékes információt képez a fékpedál kopásának mértéke, hogy abból a vezetői stílura és közvetetten a koccanásos baleset bekövetkeztének gyakoriságára következtethessenek. A német, olasz, osztrák és nagy-britanniai gépjármű-biztosítóknál évek óta választható a személyre szabott biztosítási díjszabás, amely során a biztosítók pontosan a gépjárműben tárolt adatok kiértékelése alapján meghatározható vezetői stílushoz igazítják „testreszabott” ajánlataikat (pl. a német Telematik Tarif).
Amikor a navigációs rendszer adatai alapján szabják ki a közúti bírságot
Harmadik személy részére történt az adattovábbítás az autóból abban az esetben, amikor a TomTom navigációs rendszer gyártója eladta a felhasználók anonimizált módon gyűjtött mozgásprofiljait a holland kormány részére. A kormány azonban az adatokat nem a közutak fejlesztésére használta fel, mint azt a TomTom feltételezte, hanem fokozott közúti ellenőrzést rendelt el azokon a szakaszokon, amelyeken a TomTom adatai szerint gyakori volt a gyorshajtás. A példa jól mutatja, hogy az anonimizált adat negatívan is érintheti az adott személyt.
Kitekintés
A jövő koncepciója, a városi közlekedési infrastruktúrával kommunikáló önvezető autó. A Fortune magazin felmérése szerint 2020-ra az önvezető autó napi 4.000 gigabyte adatot fog termelni (összehasonlításképpen egy átlagszemély ma 650 MB adatot képez egy nap). A menetiránynak háttal ülő, szociális médiával kommunikáló utas pontos mozgásprofilja és számos más adata pedig valószínűleg tárolásra és továbbításra fog kerülni. Az autóhoz és a vezetéshez kapcsolódó adatok biztonsága, védelme egyre nagyobb hangsúlyt kell hogy kapjon: a GDPR jó kiindulópont, azonban kérdés, hogy az adatvédelem fontossága nem követeli-e meg, hogy az automotive szektorra jellemző gyors technikai fejlődést figyelembe véve és lehetővé téve, EU-s szinten közös sztenderdek/szabványok kerüljenek kidolgozásra. A német jogalkotó 2017-ben megteremtette annak a lehetőségét, hogy rendeleti szinten szabályozzák az autóban az adatok mentésének helyét és módját és a hozzáféréssel rendelkezőket; konkrét rendelet azonban még nem született.
Szerző: Sieber-Fazakas Eszter, NOERR és Társai Iroda
https://www.noerr.com/en/international-experience/budapest.aspx