A fejlesztési célú autonóm járművek és általánosan valamennyi vezetést támogató rendszer nyilvános tesztelése új kihívásokat jelent az adatvédelem területén is. A fejlesztés és tesztelés során különböző típusú érzékelőből érkezik információ, ezek között vannak olyan érzékelők, amelyek személyes adatokat nem vagy nem felétlen rögzítenek (például LiDaR szkenner), más rendszerek pedig, ha nem is kifejezetten szükséges a fejlesztés szempontjából az érintett azonosíthatósága, mégis személyes adatokat (is) kezelnek. Utóbbi kategóriába tartozik az ilyen tesztjárművekbe szerelt kamera, amely óhatatlanul is (különösen városi közegben) emberek képmását, rendszámokat, illetve egyéb személyes adatokat rögzíthetnek. Ezen adatkezelési tevékenységek jogszerű végzése nem triviális feladat.

Európai gyakorlat és adatvédelmi hatósági aktivitás

Az Európai Adatvédelmi Testület („EDPB”) 3/2019. számú iránymutatása foglalkozik általánosan a személyes adatok videoeszközökkel történő kezeléséről. Elsődleges és alapvető probléma, hogy a videoeszközökkel történő adatkezelés általánosan akkor jogszerű, ha az magánterületre korlátozódik, azonban a teszt járművek esetén kifejezetten a közterület és a közterületen tapasztalható forgalmi szituációk felmérése a lényeg. Az EDPB továbbá specifikusan a gépjárművek videoeszközeivel a személyes adatok hálózatba kapcsolt járművek és mobilitáshoz kapcsolódó alkalmazások vonatkozásában történő kezeléséről szóló 1/2020. sz. iránymutatásban szól és az ilyen kamerás megfigyelés esetén a döntést az egyes tagállamok egyéni hatáskörébe utalja:

„A járműveket egyre gyakrabban szerelik fel képrögzítő eszközökkel (pl. parkolókamera-rendszerekkel vagy menetrögzítő kamerákkal). Mivel ezeknek alkalmazása a nyilvános helyekről való filmfelvétel készítésének kérdését érinti, amely az egyes tagállamokban meghatározott konkrét, vonatkozó jogi keret értékelését kívánja meg, az adatkezelés e típusa nem tartozik a jelen iránymutatás hatálya alá.”

Noha a későbbiekben olvashatók alapján Magyaroroszágon ez kifejezett problémát jelenthet, más tagállamokban, például Németországban bár önmagában a tesztautók kamerával való felszerelése nem tilalmazott, a GDPR elvárásainak ezekben az esetekben is meg kell felelniük az adatkezelőknek.

Alsó-Szászország adatvédelmi hatósága például 1,1 millió eurós bírságot szabott ki egy autógyártóra a közlekedési balesetek elkerülését célzó vezetéstámogató rendszerrel kapcsolatos tesztelés során történő kamerás adatkezelések jogszerűtlenségével kapcsolatban. A tartományi adatvédelmi hatóság megállapította, hogy a járműről hiányoztak a kameraszimbólumot tartalmazó jelzések és a GDPR 13-14. cikke szerint előírt egyéb információk. A bírságot tehát a következő hiányosságok alapozták meg:

  • GDPR szerint az érintettek tájékoztatásának hiánya (ideértve a kameraszimbólumot és adatkezelési tájékoztatót);
  • a vállalat és a teszteléseket végző alvállalkozó közötti adatfeldolgozói szerződés hiánya;
  • adatvédelmi hatásvizsgálat elkészítésének hiánya;
  • technikai és szervezési intézkedésekre utalás hiánya az adatkezelési nyilvántartásban.

A vállalat az eljárás során kiküszöbölte a hibákat a hatóság iránymutatásainak megfelelően. Fontos azt is kiemelni, hogy az alsó-szászországi adatvédelmi biztos, Barbara Thiel szerint „A tesztutak egyébként adatvédelmi szempontból nem voltak kifogásolhatóak” azaz általánosan a GDPR rendelkezéseinek betartása mellett minden további nélkül lehet kamerafelvételeket készíteni gépjármű asszisztens rendszereinek tesztelése céljából Alsó-Szászországban és feltehetően az egész szövetségi köztársaságban.

Néhány autógyártó adatvédelmi gyakorlata

Az egyes gyártók adatvédelmi gyakorlatának feltérképezése érdekében véletlenszerűen kiválasztottuk és megvizsgáltuk három gyártó (BMW, Ford és Honda Research Center) adatkezelési tájékoztatóját. A dokumentumok közül egy magyarul, a többi kettő németül volt elérhető számunkra. Az adatkezelési tájékoztatók átolvasását követően a következő általános megállapításokat tehetjük:

  • Jogalap tekintetében valamennyi esetben jogos érdeket jelöltek meg az adatkezelők, míg egy esetben – különösebb részletezés nélkül – jogi kötelezettség is feltüntetésre került.
  • Adattovábbítás tekintetében valamennyi gyártó további fejlesztőknek és cégcsoporton belüli további vállalatoknak továbbíthatja a személyes adatokat. Az adattovábbítás adott esetben még az EU/EGT-n kívülre is történhet.
  • Kezelt személyes adatok tekintetében vannak különbségek: két esetben alapvetően csak a vizuális környezet rögzítése történik meg (emberek, járművek, rendszámok, földterület és épületek), de egy esetben hangfelvétel készítésére is sor kerül. Az adatkezelési tájékoztatók rendre jelzik, hogy a személyes adatokra nincsen szükségük, az objektumok felismerése céljából kezelik csak a személyes adatokat és mindent megtesznek, hogy minél hamarabb kitakarásra kerüljenek a személyes adatok a felvételekről és lehetőség szerint azok a gépjárművet el se hagyják.
  • Az adatmegőrzési időről egzakt módon egyik adatkezelési tájékoztató sem rendelkezik, érdekes kérdés, hogy ezekben az esetekben az érintett megfelelő tájékoztatása megtörténik-e.

Összességében az adatkezelési tájékoztatók egy honlapon még nem lennének kielégítőek, az érintetteknek a tesztjárművön feltüntetett piktogramokkal is tudomást kell szerezniük az adatkezelésről. Egyedül a BMW csatolta a tájékoztatójához ezeket a képeket is, amely képeket a tesztjárműveken még egy az adatkezelési tájékoztatóra mutató QR kód is kiegészít:

BMW Adatvédelmi Nyilatkozat

Eddigi magyar hatósági gyakorlat és jogszabályi környezet

Magyarország Európán belül is kifejezetten megengedő szabályokat alkotott a fejlesztési célú autonóm járművek forgalomba helyezésével kapcsolatban. A közúti járművek forgalomba helyezésének és forgalomban tartásának műszaki feltételeiről szóló 6/1990. (IV. 12.) KöHÉM rendelet („Rendelet”) ezen szabályokon túl az ilyen fejlesztési célú autonóm járművek tesztelése során kötelezően kezelendő adatokról is tartalmaz rendelkezést. A Rendelet 17. melléklete szerint a gépjármű adatrögzítő berendezésének legalább a következő információk rögzítésére kell alkalmasnak lennie:

  • tesztvezető neve;
  • kézi vagy automatikus üzemmódban működik-e a jármű;
  • a jármű sebessége;
  • a jármű GPS-koordinátái;
  • a jármű világító és fényjelző berendezéseinek működése;
  • a jármű hangjelző berendezésének használata (kürt, megkülönböztető jelzés).

Ebben a sorban nem szólnak az egyes szkennerek/kamerák által készített felvételekről, illetve (személyes) adatokról, noha a lista nem kimerítő felsorolást tartalmaz csak egyfajta minimumkövetelményt. Technológiai szempontból jelenlegi tudásunk szerint egyértelmű, hogy ilyen rendszereket csak kamerákkal együtt lehet hatékonyan működtetni és tesztelni. Bizonyos gyártók kifejezetten csak kameraképekre hagyatkoznak önvezető rendszereik fejlesztése során.

Ezzel némileg ellentmondásos a NAIH egy adatvédelmi állásfoglalása, amely szerint „közterület megfigyelésére csak szűk körben van lehetőség, mivel ez a tevékenység sértheti a kamerával megfigyelt személy magánszféráját azáltal, hogy akár akarata ellenére is kezelik személyes adatait.” A NAIH továbbá felsorol néhány törvényt, amely feljogosítja az adatkezelőt a közterületen használt kamerák üzemeltetésére (például Rendőrségről szóló 1994. évi XXXIV. törvény 42. §, a fegyveres biztonsági őrségek, a fegyveres biztonsági őrségről, a természetvédelmi és a mezei őrszolgálatról szóló 1997. évi CLIX. törvény 9/A. §, stb.). Ezen törvények sorából hiányzik a tesztjárművekre vonatkozó jogszabály.

Konklúzió és kitekintés

A technológia fejlődése miatt egyre inkább jelentőssé válnak a tesztjárművek által kezelt személyes adatok, különösen a kamerafelvételek adatvédelmi kérdései. Ezt mi sem mutatja jobban, mint hogy Németországban már a hatósági gyakorlat is kezd kialakulni és bírságolás is történt. Míg az látszik, hogy ott általánosan megengedett a közterületen történő kamerahasználat az ilyen tesztjárművek esetén, addig Magyarországon nem ennyire egyértelmű a kép.

Noha előremutató és kifejezetten fejlesztő-barát engedélyeztetési/forgalomba helyezési szabályok élnek Magyarországon már 2017 óta, addig a később hatályba lépett GDPR alatt a magyar adatvédelmi hatósági gyakorlat még nincs összhangban a fejlesztői igényekkel. Érdekes lesz látni, hogy milyen irányba indul majd el a magyar vagy más EU-s adatvédelmi hatóság és megszorító vagy inkább megengedő értelmezést tesz majd magáévá a tesztjárművek kamerafelvételeivel kapcsolatban.