(Federica De Stefani, právnička a vedúca regiónu Aidr Lombardy) 9. marca 2021, po verejnej konzultácii, boli prijaté usmernenia EDPB týkajúce sa pripojených vozidiel, čo je veľmi zaujímavé, pokiaľ ide o stanovené zásady.
V systéme, v ktorom sa v našich uliciach dnes nachádzajú prepojené vozidlá a autonómne riadenie predstavuje blízku budúcnosť, je identifikácia princípov spracovania osobných údajov, ktoré tieto automobily spracúvajú, východiskovým bodom pre každú štúdiu a vývoj v automobilovom priemysle.
Usmernenia v skutočnosti jasne vymedzujú ich rozsah pôsobnosti a umožňujú výslovné vylúčenie profesionálneho používania pripojených vozidiel, tj verejnej dopravy.
Inými slovami, usmernenia sa týkajú iba súkromnej prepravy osôb.
Aký vzťah môže existovať medzi vedením pripojeného vozidla a osobnými údajmi tých, ktorí používajú toto vozidlo? Aké údaje dokáže pripojené vozidlo spracovať?
Druhy údajov, ktoré usmernenia zohľadňujú, zahŕňajú tri rôzne kategórie, a to údaje, ktoré sa spracúvajú vo vnútri vozidla, údaje vymieňané medzi zariadeniami, teda prostredníctvom inteligentných telefónov, vodičov a cestujúcich a vozidla, a nakoniec údaje zhromaždené vo vnútri vozidla a exportované do vonkajšej strany, pretože sa napríklad prenášali do infraštruktúry.
Už táto prvá identifikácia nám umožňuje pochopiť, ako sú medzi nimi údaje heterogénne a aspoň potenciálne porovnateľné s rôznymi subjektmi.
Vychádzajúc z definície osobných údajov, ktorú poskytuje čl. 4 GDPR, ktorý stanovuje, že akékoľvek informácie, ktoré priamo alebo nepriamo umožňujú identifikáciu subjektu, sa musia považovať za osobné údaje, v súvislosti s priamou identifikáciou sa zdá, že neexistujú žiadne väčšie problémy. V skutočnosti sú to všetky tie osobné údaje, meno, priezvisko, bydlisko, dátum narodenia, ktoré subjekt komunikuje pri podpise kúpnej alebo nájomnej zmluvy automobilu. Identifikácia údajov schopných nepriamo identifikovať subjekt sa javí ako zložitejšia.
V súvislosti s používaním pripojeného vozidla sa spracúvajú údaje, ktoré napríklad prostredníctvom lokalizácie môžu viesť k odpočtu osobných údajov, ktoré dokonca spadajú do konkrétnych kategórií údajov podľa čl. 9 GDPR, napríklad údaje týkajúce sa zdravotného stavu, pre ktoré je použitie povolené iba vo výnimočných prípadoch stanovených normou.
Ako je však možné, že pripojené vozidlo môže odhaliť citlivé údaje podľa znenia starého zákonníka o ochrane osobných údajov?
Pomysli na geolokáciu. Na základe analýzy ciest a ciest, ktorými sa subjekt uberá, a po zistení určitej frekvencie navštevovania centra špecializovaného na liečbu konkrétnej patológie je možné odvodiť, že dotknutá osoba je touto patológiou ovplyvnená.
To isté platí pre ďalšie kategórie citlivých údajov, ako napríklad politická orientácia, náboženské presvedčenie alebo sexuálna orientácia.
Riziká, ktoré EDPB identifikuje v súvislosti so spracovaním osobných údajov, sú zoskupené do troch širokých kategórií, ktoré sa konkrétne týkajú miesta, ktoré podľa očakávaní predstavuje vážne problémy v súvislosti s identifikáciou subjektu, a informácie, ktoré sa musia poskytnúť zainteresovaným stranám a ktoré, aspoň potenciálne, môžu spôsobiť problémy, pokiaľ ide o rovnaké zaobchádzanie so subjektmi, ktoré používajú pripojené vozidlo, a nakoniec zber údajov.
EDPB sa snaží pevne zdôrazniť, ako proces lokalizácie nezaručuje súkromie subjektu, ale naopak, vystavuje ho vážnemu nebezpečenstvu, pretože je neustále a neustále geolokalizovaný na jednej strane komprimuje na druhej strane, existuje všeobecné nebezpečenstvo, ktoré by mohlo viesť k takzvanému hromadnému sledovaniu.
Pokiaľ ide o informácie, ktoré sa majú poskytovať zainteresovaným stranám, usmernenia zdôrazňujú nebezpečenstvo, že existuje asymetria informácií poskytovaných rôznym subjektom, ktoré môžu používať vozidlo s vlastným pohonom. V skutočnosti sú identifikované tri rôzne typy subjektov, a to vlastník, vodič a cestujúci, ktorí sa síce môžu teoreticky zhodovať, a preto ich možno identifikovať s rovnakým predmetom, ale v praxi ich môžu predstavovať tri rôzne a odlišné subjekty.
Prvkom, od ktorého vychádza EDPB, je potreba odlíšiť vo všetkých prípadoch informácie, ktoré sa majú poskytnúť zainteresovanej strane, od kúpnej alebo nájomnej zmluvy, ktorá je stanovená pre vozidlo. To znamená, že je potrebné uchovávať dokumenty oddelene, pretože tieto informácie nie je možné vložiť do zmluvy ako doplnkové ustanovenie, ktoré samo osebe už bude dosť zložité, a teda môže dôjsť k zámene medzi rôznymi zmluvnými ustanoveniami.
Pokyny tiež zdôrazňujú potrebu poskytovať jasné a ľahko zrozumiteľné informácie, a to aj pomocou signálov viditeľných na displeji.
Uvádza sa príklad lokalizácie, ktorú je možné označiť ako aktívnu možnosť aj prostredníctvom blikajúcej šípky, ktorá sa zobrazuje na displeji automobilu, a to tak, aby bol vodič informovaný o prítomnosti funkcie a funkcii možnosť zvoliť si, či chcete toto nastavenie zachovať alebo zmeniť.
Ak neexistujú žiadne mimoriadne kritické problémy týkajúce sa vodiča, ktorý na začiatku cesty bude schopný vyjadriť svoje preferencie a potom zmeniť nastavenie podľa svojich vlastných hodnotení, musí cestujúci zaznieť iný prejav. Ten by v skutočnosti mohol začať cestu neskôr, a preto by mohol byť v istej miere podrobený rozhodnutiam, ktoré urobil vodič. V tejto súvislosti nie sú uvedené nijaké konkrétne pokyny, takže je žiaduce, aby výrobcovia automobilov hodnotili riešenia, ktoré môžu vyriešiť tieto kritické problémy.
Nakoniec usmernenia zdôrazňujú potrebu venovať osobitnú pozornosť zberu údajov.
Predvolená aktivácia zbierky by v skutočnosti mohla mať vplyv na povedomie používateľa, ktorý by v takom prípade nemohol vedieť o spracovaní, ktorému sú jeho údaje vystavené. Je tiež potrebné dodať, že ak by sa predvolené nastavenie nedalo zmeniť, dotknutá osoba by bola v stave, že musí podstúpiť proces aktivovaný a nastavený inými.
Môžeme teda vidieť, ako je spracovanie osobných údajov teraz prepojené s akýmkoľvek systémom vrátane sprievodcov, ktorý využíva technológie v neustálom vývoji.
Údaje, ako sú známe, nesmú byť blokované, ale musia byť šírené v úplnom súlade s princípmi ochrany stanovenými v GDPR.
Neustála výzva, ktorej už dnes nikto z nás nemôže uniknúť.