Co wie o Tobie Twój samochód?
W ostatnich dniach szerokim echem odbiła się w mediach informacja, że jeden ze znanych producentów rozpoczął testy systemu pozwalającego wyświetlać spersonalizowane reklamy w samochodzie. Uważni kierowcy nie są jednak zaskoczeni. Nie jest tajemnicą, że współczesny samochód to komputer na czterech kołach. Przetwarza on bowiem duże ilości danych, by zapewnić bezpieczeństwo, efektywność transportu oraz dostęp do usług nawigacji i informacyjno-rozrywkowych.
Przetwarzane dane mają różny charakter. Część z nich to czysto techniczne dane maszynowe. Nie ulega jednak wątpliwości, że niektóre z nich to dane osobowe, które wiele mówią nie tylko o kierowcy, ale i o jego pasażerach. Dotyczy to zarówno danych, które pozwalają jednoznacznie zidentyfikować osobę, np. kierowcę, jak i z pozoru neutralnych danych, które mogą stanowić dane osobowe po nadaniu im pewnego kontekstu.
Na dodatek niektóre z tych danych są szczególnie wrażliwe, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności osób, których one dotyczą. Są to najczęściej:
- dane dotyczące lokalizacji,
- szczególne kategorie danych osobowych w rozumieniu art. 9 rozporządzenia 2016/679 (RODO),
- dane, które mogą ujawniać czyny zabronione lub wykroczenia drogowe.
Dla przykładu, wykonywane przejazdy nie ujawniają wyłącznie miejsca zamieszkania i pracy, lecz mogą również zdradzać wyznanie (poprzez miejsce kultu) czy poglądy polityczne (poprzez odwiedzane miejsca) osób, które korzystają z samochodu. Mimo to coraz częściej dane te są szeroko udostępniane innym pojazdom, infrastrukturze drogowej oraz różnym podmiotom prywatnym i publicznym.
Jest przetwarzanie, musi być informacja
Ochrona danych osobowych w tym kontekście niesie ze sobą szczególne wyzwania dla każdej z podstawowych zasad określonych w rozporządzeniu RODO. Poniżej skupimy się na pierwszej z nich, czyli wymogu przetwarzania danych osobowych w sposób przejrzysty dla osoby, której dane dotyczą.
Wyrazem realizacji tej zasady są powszechnie znane obowiązki informacyjne mające za zadanie poinformować osobę, której dane dotyczą, o istotnych aspektach przetwarzania jej danych osobowych. Zgodnie z rozporządzeniem powinny być one realizowane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Prawo podmiotu danych do informacji jest uznawane za jeden z filarów prawa ochrony danych osobowych. W zamyśle ustawodawcy właściwa realizacja tego obowiązku pozwala jednostkom sprawować faktyczną kontrolę nad ich danymi osobowymi. Czy jest to możliwe na niewielkim interfejsie użytkownika samochodu?
Samochody pozwalają na przetwarzanie danych osobowych w różnych celach. Zazwyczaj takie przetwarzanie odbywa się z udziałem producentów samochodów, ubezpieczycieli, zarządców infrastruktury drogowej, organów ścigania, dostawców rozmaitych usług (od wspomnianej nawigacji i usług informacyjno-rozrywkowych po car-sharing) i wielu innych podmiotów trzecich, w tym nawet warsztatów samochodowych. Zgodnie z wymogami RODO należy wśród nich zidentyfikować administratora (lub administratorów czy współadministratorów), czyli podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. To właśnie na tym podmiocie spoczywa realizacja obowiązku informacyjnego na gruncie rozporządzenia.
Jeden samochód, kilka profili?
Co do zasady informacje na temat przetwarzania należy przedstawić każdej osobie, której dane dotyczą. Są to przede wszystkim kierowcy pojazdu oraz ich pasażerowie, czyli potencjalnie wiele różnych osób. Nie wystarczy zatem udzielić tych informacji wyłącznie pierwszemu właścicielowi (albo leasingobiorcy czy najemcy) samochodu, który niekoniecznie jest jego kierowcą na co dzień. W związku z tym słusznym rozwiązaniem wydaje się możliwość stworzenia profilu użytkownika dla każdego z kierowców korzystających z samochodu (na kształt tych stosowanych w serwisach streamingowych czy platformach VOD). Taki zindywidualizowany profil użytkownika pozwalałby nie tylko zrealizować obowiązek informacyjny wobec poszczególnych kierowców, ale też umożliwiłby im zmianę ustawień prywatności, a także realizację ich praw na gruncie rozporządzenia. Co więcej, ograniczałby on ryzyko naruszenia ochrony danych osobowych poszczególnych kierowców, co jest szczególnie istotne w przypadku, gdy z samochodu korzystają osoby, które nie pozostają ze sobą we wzajemnych relacjach, jak w przypadku usług car-sharingu czy tradycyjnych wypożyczalni samochodów.
Kilka warstw informacji
Oczywiście informacje kierowane do osób, których dane dotyczą, mogą być przekazywane warstwowo.
Pierwsza warstwa obejmuje, oprócz tożsamości administratora danych, cel przetwarzania i prawa osoby, której dane dotyczą. Powinna ona również uwzględniać wszelkie dodatkowe informacje o przetwarzaniu, które mają największy wpływ na osobę, której dane dotyczą, w tym te, które mogą ją zaskoczyć (np. szczegółowe informacje o licznych odbiorcach jej danych osobowych).
Druga warstwa zawiera wszystkie informacje z art. 13 i 14 RODO. Wspomniany wcześniej niewielki interfejs użytkownika samochodu może nie pozwalać osobie, której dane dotyczą, efektywnie zapoznać się z tą warstwą, należy więc rozważyć udostępnienie jej równolegle w inny sposób np. na stronie internetowej lub drogą mailową.
Niezależnie od informacji słownych można też stosować standardowe znaki graficzne (ikony), które również mają służyć zapewnieniu przejrzystości. Najlepiej aby były to te same symbole, niezależnie od marki lub modelu pojazdu (np. powszechnie rozpoznawana ikona śledzenia lokalizacji).
„Skomunikowany samochód” = więcej danych i więcej obowiązków
Przedstawione powyżej zasady dotyczą sytuacji najprostszej, tj. przetwarzania danych użytkownika pojazdu. Znacznie bardziej skomplikowana może być sytuacja przetwarzania danych przez tzw. connected cars. Sygnalizujemy trzy przykładowe czynniki, które mogą wpływać na rozszerzenie obowiązków informacyjnych.
Po pierwsze, skomunikowane samochody mogą również przetwarzać dane innych użytkowników ruchu (np. użytkowników innych pojazdów, rowerzystów lub pieszych). Wypełnienie obowiązków informacyjnych wobec nich może stanowić szczególne wyzwanie.
Po drugie, jeśli w samochodzie zainstalowano system zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 rozporządzenia, obowiązek informacyjny powinien obejmować dodatkowe informacje. Osoba, której dane dotyczą, powinna w tym przypadku otrzymać istotne informacje o zasadach podejmowania decyzji przez takie systemy oraz o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania.
Po trzecie, zainstalowane w pojazdach urządzenia mogą zostać zaklasyfikowane jako telekomunikacyjne urządzenia końcowe, co wiąże się z koniecznością spełnienia dodatkowych obowiązków informacyjnych przewidzianych przez prawo telekomunikacyjne.
Właściwa realizacja obowiązku informacyjnego wpływa na możliwość realizacji praw przysługujących osobom, których dane dotyczą. Dlatego wszyscy administratorzy przetwarzający dane osobowe w opisanym kontekście powinni zwrócić szczególną uwagę na to zagadnienie już na etapie projektowania procesów przetwarzania, zgodnie z zasadą uwzględniania ochrony danych w fazie projektowania (ang. data protection by design).
Aleksandra Drożdż, praktyka transakcji i prawa korporacyjnego kancelarii Wardyński i Wspólnicy
Krzysztof Wojdyło, adwokat, praktyka prawa nowych technologii kancelarii Wardyński i Wspólnicy