Auto jako díra na vaše data a osobní údaje? 

Mozilla Foundation, organizace která stojí za webovým prohlížeč Firefox, který se pyšní akcentem na soukromí, publikovala v minulém týdnu článek[1], který hodnotil sběř dat a soukromí řidičů aut. Zkoumána byla auta 28 různých automobilek. Výsledky byly katastrofální.

Článek byl následně, byť s dílčími nepřesnostmi publikován také na webu České televize.[2] V článku bylo rozebráno, jaká data sbírají moderní automibily, jaké dávají řidičům možnosti s ohledem na nakládaní a ochranu jejich dat a co z toho pro řidiče plyne.

[Je dobré si připomenout, že výzkum byl prováděn v USA, kde na rozdíl od Evropy neplatí Nařízení o ochraně osobních údajů (GDPR) ani směrnice e-Privacy. Nicméně ani přísná regulace nemusí automobilky donutit k tomu, aby se v tomto ohledu chovaly odpovědně. Rizika spojená s ochranou soukromí a údajů nastínil Evropský sbor pro ochranu osobních údajů (EDPB)[3] již v roce 2020, mj. pokud jde o absenci souhlasů v případě následného zpracování, maskování účelů zpracování jako nezbytně nutných k poskytování služeb s cílem se souhlasům vyhnout nebo zakomponování souhlasů do smluv o koupi nebo pronájmu automobilu, zpracování citlivých údajů (biometrické údaje, náboženské vyznání či sexuální orientaci) a údajů odhalujících trestné činy nebo přestupky, které si vyžadují přísnejší podmínky zpracování, netransparentní informování, problematika informování spolucestujících v autě, předávání dat do třetích zemí, třeba i právě do USA.]

Automobilky se již léta chlubí, že jejich auta jsou spíše sofistikovanými počítači na kolech, než klasickým dopravním prostředkem.[4] Autoři článku zmiňují několik problémových oblastí spojených s auty. Auta sbírají daleko více dat, než ke svému provozu potřebují (vlastně veškerá dostupná data – čím lepší výbavu a senzory si koupíte, tím více o vás toho automobilka zjistí a prodá), většina automobilek (84% ze zkoumaných) může vaše data prodávat a většina automobilek (92% ze zkoumaných) dává řidičům malou až žádnou kontrolu nad tím, jak je s jejich daty nakládáno. Vzhledem k tomu, že řidiči si auto kupují, je přístup automobilek ke sběru dat dalším způsobem, jak z nich vytáhnout peníze. Vzhledem ke shodnému přístupu prakticky všech automobilek bez možnosti obrany.

A jaká data automobilky sbírají? [Jednodušší by možná bylo říci, jaká nesbírají…] Mezi 28 analyzovanými automobilkami jsou i takové, které dle své vlastní dokumentace sbírají informace o sexuální aktivitě řidičů (Nissan), o genetických informacích, hladině stresu, o tom, kolik peněz vyděláváte… Tato data jsou extrémními výstřelky nad rámec vašeho jména, kontaktů, adresy, cest, které vozem absolvujete a dalších, které byste asi očekávali.

Jaké možnosti automobilka řidičům v souladu s ochranou jejich dat a osobních údajů dává? Z 28 zkoumaných jen 2 umožňují vymazat osobní data řidiče. U ostatních tato možnost prostě neexistuje. Nadto automobilky ve svých dokumentacích neuvádí, zda jsou „data at rest“ uložená ve voze šifrována. Odpověď nebyla výzkumníkům zřejmá ani z těch mála odpovědí, které jim automobilky na tuto otázku doručily. To je vzhledem k dosavadní nevalné historii zabezpečení dat problém – např. Volskwagen sdělil, že mezi srpnem 2019 a květnem 2021 byla on-line k dispozici data o jeho 3,3 milionech zákazníků.

A co automobilky s daty a osobními údaji dělají? V dokumentacích je možno se dočíst, že je mohou využívat ke zlepšení svých služeb i je prodat dál. Jedna ze společností, která tyto data kupuje je například High Mobility[5]. Jestli a komu je přeprodává dál není veřejná informace.

Článek je uzavřen tím, že žádná z automobilek neprošla testy Mozilla Foundation a všechny byly oceněny známkou „Privacy not included“ – „Soukromí nezaručeno“. Některé byly horší než jiné, všechny ale byly špatné. [Připomínáme, že praxe v Evropě může být oproti v článku popsaným postupům rozdílná, byť zkušenosti tomu neodpovídají. Informovalo vás auto, jaké údaje o vás zpracovává? Mnoho důvodů pro rozdílné postupy tak nenacházíme. Jedinými rozdíly je robustnější právní regulace ochrany osobních údajů a dat v EU. Ta je však ne vždy zcela vymáhána. Zvláště v případě automotive to může být z hlediska jeho postavení v rámci evropského hospodářství ne zcela žádoucí. S celou věcí pak může ještě zamíchat funkce „On-board monitoring, která bude povinná při přijetí normy EURO7.[6] Ta ukládá automobilkám povinnost sbírat real-life data o provozu automobilu. Sbíraných dat tak ještě přibude.]

Další články

V době, kdy kyberhrozby stále více ohrožují finanční sektor, přichází DORA – regulace, která má změnit způsob, jakým finanční instituce řídí především digitální rizika.  Nařízení o digitální provozní odolnosti (Digital Operational...
Bezpečnější digitální produkty díky novému nařízení EU Cyber Resilience Act. Kybernetická bezpečnost se stává stále naléhavějším tématem nejen v pracovním prostředí, ale i v domácnostech. V reakci na tyto hrozby...
Umělá inteligence (AI) – perfektní nástroj, nebo dvousečná zbraň?  Stejně jako každý moderní obor, i oblast kybernetické bezpečnosti musí nevyhnutelně „jít s dobou“ – a jedním z největších trendů posledních měsíců je...

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

EMAIL