Ny vejledning fra EDPB

Er din bil koblet til internettet? Ny vejledning fra EDPB om brugen af ”connected-cars”

Har du styr på hvilke oplysninger din bil indsamler og videregiver om dig? I dag er det helt almindeligt, at selv mindre personbiler har indbygget en computer, som indsamler oplysninger om dig under kørslen, og sender dem til bilfabrikanten eller en anden 3. part. FDM har undersøgt, hvad der sendes af oplysninger fra en tilfældigt udvalgt bil med konventionelt brændstof. Disse oplysninger omfatter:  

  • Km-stand og maksimalt omdrejningstal pr. tur
  • Antal køreture: 0-5 km, 5-20 km, 20-100 km, over 100 km
  • Oplysninger om anvendt køreprogram (normal, sport, eco)
  • Oplysninger om anvendelse af lys på bilen
  • Oplysninger om, hvor ofte sædet justeres (skift mellem førere)
  • Oplysninger om, hvilken musikkilde der benyttes (CD, radio etc.)
  • Oplysninger om antal gange, sikkerhedsselerne har været strammet op automatisk (fortæller om kørselsmønster) 

Indsamlingen af oplysninger fra el-biler er typisk endnu mere omfattende, og vil typisk også indeholde oplysninger om bilens geografiske køremønster.

FDM anfører, at der er fordele forbundet med denne indsamling af data: Oplysningerne kan fx bruges til at identificere tekniske fejl på bilen i forbindelse med værkstedsbesøg. Oplysningerne kan imidlertid også bruges imod dig, fx til at dokumentere, at fejl på bilen skyldes, at du ikke har kørt bilen i henhold til forskrifterne. Oplysningerne kan også misbruges til at kortlægge, hvor du har befundet dig på et givet tidspunkt.

Den store udfordring er, at ejeren/føreren typisk ikke ved, at disse oplysninger opsamles. Ejeren har derfor ingen kontrol med behandlingen af disse oplysninger.

Det Europæiske Databeskyttelsesråd (EDPB) har i slutningen af januar 2020 sendt en vejledning i offentlig høring om de databeskyttelsesmæssige implikationer af brugen af internetforbundne køretøjer.

EDPB tager emnet op, fordi indsamling og behandling af personoplysninger i køretøjer, der er forbundet til internettet, eksploderer i disse år, og fordi der er store udfordringer med privatlivsbeskyttelsen forbundet med denne udvikling. EDPB er særlig bekymret for den stigende indsamling og behandling af oplysninger om bilens (og dermed førerens) lokation, fordi adgangen til disse oplysninger kan kompromittere borgerens ret til at færdes anonymt i det offentlige rum.  Denne ret er en af EU-borgerens helt fundamentale frihedsrettigheder.

Udover den information, der indsamles for at måle motorens performance, førerens kørermønster, og de besøgte lokationer, peger EDPB på, at løsninger, der måler førerens øjenbevægelser, puls eller andre former for biometriske data, der kan anvendes til bl.a. autentificering og identifikation, og til måling af førerens ”fitness”, også er i rivende udvikling. Antallet af forskellige løsninger, og de mange teknologier, der er i spil, indebærer i sig selv, at der er mange potentielle sårbarheder og angrebsvinkler, som fx en hacker vil kunne udnytte til at tiltvinge sig adgang til oplysningerne. Der er derfor brug for regler på området, der kan beskytte ejerens/førerens privatliv.

Vejledningen er interessant, ikke kun fordi den giver anvisninger til håndteringen af personoplysninger på et område, der er i en rasende udvikling, men også fordi den indeholder nogle skarpe formuleringer om relationen mellem Databeskyttelseslovgivningen og ePrivacy-direktivet.

EDPB slår fast, at de relevante lovgivningsmæssige rammer for behandlingen af personoplysninger i forbindelse med internet-forbundne køretøjer, dels udgøres af GDPR, dels af ePrivacy direktivet, der specifikt regulerer rammerne for lagring i og adgang til information i en brugers terminaludstyr.

De fleste oplysninger, der indsamles i bilen, kan anvendes til at identificere en specifik, fysisk person, og udgør derfor personoplysninger, der er reguleret af GDPR. ePrivacy direktivet kommer i spil, fordi EDPB slår fast, at en internet-opkoblet bil i denne sammenhæng skal betragtes som ”terminaludstyr”. Det skyldes grundlæggende, at en internet-forbundet bil, fra et privacy-perspektiv, skal betragtes som en computer med 4 hjul og et meget stort batteri….

Hvis der indsamles og lagres personoplysninger ”lokalt” i bilen, så har ePrivacy direktivet derfor forrang for GDPR. Det betyder bl.a., at disse behandlingsaktiviteter kræver et samtykke fra ejeren/føreren af bilen. Behandlingsaktiviteter udover lagring af og adgang til køretøjets ”lokale” personoplysninger, fx overførsel til og viderebehandling af oplysningerne hos bilfabrikanten, kræver derimod et ”almindeligt” behandlingsgrundlag, jf. GDPR art. 6. De generelle regler i GDPR, fx om de registreredes rettigheder, gælder i øvrigt for alle behandlingsaktiviteter, inklusiv de behandlingsaktiviteter, der er omfattet af ePrivacy direktivet.

EDPB giver følgende generelle anbefalinger vedrørende håndteringen af personoplysninger i internet-forbundne køretøjer:

  • Bilfabrikanter, serviceudbydere og andre dataansvarlige skal så vidt muligt alene gennemføre behandlinger af personoplysninger lokalt i bilen, bl.a. for at helt at undgå, at der foretages behandlinger af personoplysninger uden førerens viden. Løsninger, der på denne måde aktivt reducerer privatlivsrisikoen for føreren, efterlever bestemmelserne om ”privacy-by-design” i GDPR
  • Hvis den pågældende løsning alligevel kræver, at personoplysninger ”forlader” bilen, anbefales det at oplysningerne anonymiseres sådan at den videre behandling hos fx bil-producenten eller service-udbyderen ikke er omfattet af GDPR
  • Indsamlingen af lokationsdata udgør, som nævnt ovenfor, en særlig indgribende behandling, der afslører meget om den registrerede vaner og livsførelse. Derfor anbefales det, at bilfabrikanter, service-udbydere mv. kun indsamler lokationsdata, hvis det er absolut nødvendigt. Det er derfor vigtigt, at der eksplicit argumenteres for nødvendigheden af denne form for behandling.
  • Når der lægges op til brug af biometri, fx til autentificering af føreren, skal den registrerede altid også tilbydes et ikke-biometrisk alternative (fx fysisk nøgle eller kode). For at sikre den registreredes kontrol med biometriske data anbefales også, at det biometriske ”aftryk” af den registrerede altid lagres krypteret og lokalt i bilen, og ikke behandles af en ekstern ”sammenlignings-enhed”
  • Givet omfanget og følsomheden af de personoplysninger, der kan komme i spil i forbindelse med internet-forbundne køretøjer, er det sandsynligt, at behandlingen vil indebære en høj risiko for de registreredes privatliv og frihedsrettigheder. Ofte vil det derfor være nødvendigt at udarbejde en konsekvensanalyse/DPIA
  • De registrerede bør i bilen have adgang til et profil-administrationssystem, der gør det muligt at gemme og ændre profil særligt med henblik på at få indsigt i og slette specifikke personoplysninger samt at stoppe indsamlingen af personoplysninger midlertidigt eller permanent. Adgangen til at administrere privatlivsindstillingerne fra ét, centralt system er helt afgørende i forbindelse den hurtige udbredelse af deleordninger mv., hvor mange brugere med forskellige præferencer anvender det samme køretøj

Hvis man udbyder løsninger, der kræver behandling af personoplysninger, der indsamles i en bil, hvordan kan man så dokumentere, at man efterlever reglerne?

Hos Pdhub anvender vi modelleringssproget Archimate til at dokumentere de forretningsprocesser, IT-systemer og persondata, der indgår i de behandlingsaktiviteter, som den dataansvarlige gennemfører. Vi har udviklet vores egen GDPR-metamodel, som kan bruges til at dokumentere, hvordan behandlingen lever op til alle kravene i GDPR.

Nedenfor ser du en konkret eksempel på en anvendelse af modellen. I eksemplet udbyder et forsikringsselskab (den dataansvarlige) et pay-as-you-drive produkt, der bruger information om bilejerens kørselsmønstre, til at beregne den forsikringspræmie, som bilens ejer (den registrerede) skal betale. Jo mindre aggressivt bilen bliver kørt, desto mindre bliver præmien. Informationen om ejerens kørselsmønstre bliver indsamlet via en dongle, som installeres i bilen.

Eksemplet viser, at der behandles flere typer af personoplysninger: I forbindelse med indgåelse af aftalen og udarbejdelse af policen behandles en række stamoplysninger om den registrerede. Disse oplysninger opbevares i forsikringsselskabets CRM-system. Behandlingsgrundlaget for disse behandleringer er den kontrakt, som parterne har indgået. Selve indsamlingen og lagringen af oplysninger om bilens kørselsmønstre bliver indsamlet og lagret i den installerede dongle. Denne indsamling og lagring af oplysninger kræver et ”cookie-samtykke”, jf. ovenfor. Det angives i modellen som en attribut til forretningsobjektet ”kørselsdata (rå-data)”. I eksemplet gennemføres den efterfølgende behandling af de indsamlede rå-data af en databehandler, der er lokaliseret i Frankrig, og som forsikringsselskabet har indgået en databehandleraftale med. Når de aggregerede data om ejerens kørselsmønstre modtages fra databehandleren beregner forsikringsselskabet selv risikoindikatorer og på baggrund heraf præmien til forsikringstageren. Behandlingsgrundlaget for disse behandlingsaktiviteter er igen den indgåede kontrakt.

Du kan læse mere om, hvordan Pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller du kan kontakte os på telefon +45 7233 2233.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *