Tilkoblede kjøretøy (connected vehicles) er bare en av mange “ting” som er koblet mot internett, og som altså er en del av begrepet “Internet of Things” (IoT). Særlig i forbindelse med ulykker, men også ellers, vil det oppstå behov for å hente ut data fra slike tilkoblede kjøretøy.
Det Europeiske Personvernrådet (EDPB) har publisert et utkast til retningslinjer for behandling av persondata fra tilkoblede kjøretøy (connected vehicles) og mobilitetsrelaterte applikasjoner[1]. Høringsfristen for de foreslåtte retningslinjene utløp 20. mars 2020 og det blir spennende å se om de retningslinjene som vedtas vil avvike fra det foreliggende forslaget.
Forslaget til retningslinjer kan i korthet oppsummeres slik:
Persondata fra det tilkoblede kjøretøyet kategoriseres i tre grupper:
- Lokasjonsdata
- Biometriske data, og
- Data som kan avdekke trafikkforseelser og andre lovbrudd
Lokasjonsdata er spesielt sensitivt siden dette kartlegger kjøretøyets bevegelsesmønster og dermed kan avsløre en persons reisevaner. Dette kan igjen kan avdekke informasjon om personens fritidssysler, arbeidsplass, osv. EDPB mener:
- at konstant innsamling av lokasjonsdata bør unngås,
- at slik type innsamling heller bør aktiveres ved behov, og
- at føreren bør gjøres oppmerksom på at lokasjonsdata er aktivert og ha mulighet til å deaktivere systemet.
Biometriske data er data som kan bruks til erstatning for bl.a. en tradisjonell bilnøkkel, slik som å låse opp bilen, starte bilen, gi tilgang til førerens bruker- og profilinnstilling, osv. I utkastet til retningslinjer mener EDPB:
- at personer må sikres full kontroll over egne biometriske data,
- at bilprodusentene bør tilby et ikke-biometrisk alternativ (eksempelvis nøkkel eller kodebrikke), og
- at biometrisk data bør krypteres og lagres lokalt.
Når det gjelder data fra tilkoblede kjøretøy som kan avdekke trafikkforseelser og andre lovbrudd, understreker EDPB at behandlingen av slik type data kun skal utføres under kontroll av offentlig myndighet eller der EU- og medlemslandenes lovgivning har fastsatt regler om behandling av slik data med tilstrekkelige og egnede sikkerhetstiltak. EDPB understreker samtidig at data fra tilkoblede kjøretøy allerede er underlagt kommunikasjonsverndirektivet (ePrivacy) og personvernforordningen (GDPR).
I tiden som kommer forventer vi to ting: at vi vil se mange diskusjoner om eierskap til data fra tilkoblede kjøretøy, både fra private og offentlige aktører, og at EUs nye datastrategi (Data Act) som kommer i 2021 vil inneholde en klargjøring av rettighetene til “co-generated data” fra tingenes internett (IoT).
[1] https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202001_connectedvehicles.pdf