Retningslinjer for data fra tilkoblede kjøretøy
Det Europeiske Personvernrådet (EDPB) har publisert et utkast til retningslinjer for behandling av persondata fra tilkoblede kjøretøy (connected vehicles) og mobilitetsrelaterte applikasjoner. Lokasjonsdata, biometriske data og data som kan brukes til å avdekke lovbrudd trekkes frem som områder som kan være en utfordring i forhold til databeskyttelse og personvern. Retningslinjene er på høring til 20. mars. I Frankrike anklages energiselskaper for at smarte strømmålere bryter med EUs personvernregler.
EDPB er et uavhengige råd som ble opprettet som en del av EUs personvernsregelverk (GDPR), og består av representanter fra nasjonale tilsynsmyndigheter. Datatilsynet representerer Norge. Utkastet til retningslinjer, som ble vedtatt 28. januar, fokuserer på behandling av persondata knyttet til ikke-profesjonell bruk av tilkoblede kjøretøy og mobilitetsrelaterte applikasjoner. Retningslinjene dekker spesifikt data som behandles inne i kjøretøyet, data som utveksles mellom kjøretøy og personlige enheter (som smarttelefoner) koblet til kjøretøyet, samt data som samles inn i kjøretøyet og eksporteres til eksterne enheter for videre behandling, for eksempel bilprodusenter og forsikringsselskap.
I retningslinjene identifiserer EDPB tre kategorier av persondata som krever spesiell oppmerksomhet: lokasjonsdata, biometriske data, og data som kan avdekke trafikkforseelser og andre lovbrudd. Ifølge byrået er lokasjonsdata spesielt avslørende for en persons vaner, og kan brukes til å avdekke informasjon om en persons arbeidsplass, bolig og fritidssysler, i tillegg til sensitiv informasjon om personens religiøse eller seksuelle preferanser. EDPB mener en konstant innsamling av stedsdata bør unngås, og at teknologien heller skal aktiviseres ved behov. Føreren bør også gjøres oppmerksom på når lokasjonsdata er skrudd på, og ha mulighet til å deaktivere systemet.
Biometriske data er data som blant annet kan brukes for å få adgang til et kjøretøy, identifisere fører og gi tilgang til en førers profilinnstillinger. EDPB mener personer må sikres full kontroll over sine biometriske data, dels ved at de tilbys et ikke-biometriske alternativ, for eksempel en nøkkel eller kode for å få adgang til et kjøretøy, og dels ved at slike data lagres kryptert og lokalt.
EDPB påpeker også at data fra tilkoblede kjøretøy kan brukes til å avdekke lovbrudd, og at behandling av slike «krenkelsesdata» kun skal utføres under kontroll av en offisiell myndighet, eller der EU- eller medlemslandenes lovgivning gir bestemmelser om slik behandling med tilstrekkelige sikkerhetstiltak. EDPB understreker at persondata fra tilkoblede kjøretøy og mobilitetsrelaterte applikasjoner er underlagt bestemmelsene i kommunikasjonsverndirektivet (ePrivacy) og personvernforordningen (GDPR), som betyr at data som stammer fra slike applikasjoner kun kan behandles hvis brukeren har gitt sitt samtykke, med mindre slik behandling er nødvendig for å overføre kommunikasjon eller utføre en spesifikk tjeneste.
Slike data er et lukrativt marked, skriver Politico, som venter mye diskusjon om eierskap til data fra tilkoblede kjøretøy. I et lekket utkast av EUs nye datastrategi, omtales en «Data Act» som skal legges frem i 2021, og som blant annet vil omfatte en klargjøring av rettighetene til såkalte «co-generated data» fra tingenes internett i en industriell sammenheng.
Det franske datatilsynsorganet CNIL har gitt to energiselskaper i landet tre måneder på å rette opp praksis i tilknytning til automatiserte strømmålere som de mener bryter med EUs personvernregler. Selskapene skal ha brukt utilfredsstillende metoder for å innhente samtykke når de har samlet inn forbruksdata fra såkalte smarte strømmålere, og også lagret dataene for lenge. Ifølge CNIL skal detaljerte data fra strømmålerne kunne avsløre personlig informasjon om personers døgnrytme, fravær fra hjemmet og antall personer i husstanden. Selskapene risikerer bøter hvis de ikke endrer praksis.
Kontaktinfo
Stortingsbiblioteket: bibl@stortinget.no
Ansvarlig: Vilde Høvik Røberg