V současné době dochází k postupné elektronizaci a automatizaci celé řady činností, přičemž modernizaci se v blízké budoucnosti nevyhne ani oblast dopravy. Od letošního roku totiž některé členské státy EU, včetně České republiky, začínají s testováním tzv. Inteligentních kooperativních dopravních systémů (dále jen „C‑ITS“). C‑ITS fungují na principu sdílení dat mezi vozidly navzájem, jakož i mezi vozidly a dopravní infrastrukturou (např. sdílení dat se semafory, propojení informací se železniční tratí). Tato data zahrnují zejména informace o dopravní situaci, včetně stavebních prací na silnicích, informací o dopravních nehodách, zácpách, případně o nepříznivém počasí majícím vliv na plynulost dopravy. Základním cílem výměny těchto dat mezi vozidly by mělo být zvýšení bezpečnosti a plynulosti současné dopravy.[1]
Využívání C‑ITS v praxi je prozatím v testovací fázi. Výsledky testování by však v nadcházejících letech měly přispět k nastavení pravidel v rámci specifické právní úpravy, která by měla regulovat fungování C‑ITS a ochranu subjektů při jeho fungování.
Jaký je však právní rámec C‑ITS nyní?
Dle pracovní skupiny zřízené podle článku 29 směrnice 95/46/ES (dále jen „WP29“) jsou data sdílená mezi vozidly osobními údaji ve smyslu Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“), a to vzhledem k tomu, že se vážou k identifikovaným nebo identifikovatelným fyzickým osobám (dále jen „subjekty údajů“).
Konkrétní subjekt údajů může být v tomto případě identifikován několika cestami. Jednou z těchto cest by měl být certifikát udělený vozidlu se zabudovaným C-ITS, respektive prostřednictvím tohoto certifikátu bude možné identifikovat provozovatele tohoto vozidla.[2] Dalším způsobem je i údaj o umístění vozidla, který má dle WP29 potenciál subjekt údajů identifikovat, přičemž k identifikaci dle výzkumu postačí zaznamenat čtyři místa, na kterých se vozidlo v po sobě jdoucích okamžicích nacházelo. Identifikace by byla zmařena pouze, pokud by byly sdíleny anonymizované údaje, tedy údaje postrádající identifikátor.[3] Dle závěrů WP29 lze předpokládat, že subjektem údajů bude provozovatel vozidla, který je držitelem certifikátu pro C-ITS. Identifikace dalších subjektů údajů se bude vázat na konkrétní způsoby přenosu dat. Například pokud bude možné informace sdílet i přes mobilní telefony, existuje možnost identifikace i u držitelů mobilních telefonů.
Bez ochrany dat to nepůjde
Z hlediska posouzení dat sdílených mezi vozidly jako osobních údajů je nutné na tuto činnost aplikovat i další ustanovení GDPR. Důraz by přitom měl být kladen zejména na zásadu minimalizace zpracování osobních údajů, a tedy, že sdílená data by měla být zpracovávaná v co nejnižším rozsahu. Systém by měl být navíc zabezpečen tak, aby nedocházelo k neoprávněným únikům či zneužitím osobních údajů. Logicky by totiž o data mohly mít zájem i další subjekty, které s přenosem dat v rámci konkrétního vozidla nebudou mít mnoho společného, jako například automobilové společnosti, které budou chtít provozovatele vozidel oslovovat s nabídkami nových automobilů, případně pojišťovny s cílem nabídky pojištění na míru.[4]
V rámci záměrné ochrany osobních údajů (tzv. privacy by design) by mělo dojít alespoň k pseudonymizaci sdílených osobních údajů s tím, že by měl být co nejvíce omezen přístup k identifikátorům, na jejichž základě by bylo možné pseudonymizované údaje rozšifrovat. Subjekty údajů by rovněž měly mít možnost se rozhodnout, kdo další bude moci jejich osobní údaje zpracovávat a také v jaké míře budou jejich osobní údaje sdíleny. Například by subjekty údajů měly mít možnost si samy nastavit možnosti sběru a sdílení dat o čase, lokaci či dosahu frekvence přenášející data.
Dále by měla být zaručena transparentnost ve vztahu k subjektům údajů, přičemž ty by měly být zejména informovány o tom, na jakém právním základě daný správce, případně společní správci, zpracovávají jejich osobní údaje, v jakém rozsahu, za jakým účelem, po jakou dobu a jaká práva mohou u správce uplatnit.
ePrivacy a jeho dosah na C‑ITS
Vyřešení všech těchto otázek může navíc zkomplikovat Nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích, dále jen „ePrivacy“), které je prozatím ve stádiu návrhu. E‑privacy by přitom mělo chránit koncové zařízení subjektu údajů a mělo by dopadnout na přenos informací mezi zařízeními navzájem. ePrivacy by tak mělo představovat „lex specialis“ k GDPR ve vztahu k elektronické komunikaci. Nicméně i přesto zřejmě e‑Privacy nebude schopné podchytit všechny problematické body systému datově propojených vozidel a budeme si muset v tomto směru vyčkat na speciální právní regulaci.
C‑ITS jako realita na českých silnicích
I přesto, že komplexní speciální právní regulace technologií C‑ITS je prozatím ve svých počátcích, samotný projekt testování a postupného zavádění C‑ITS v členských státech EU je již v plném proudu, a to v rámci celoevropského projektu C‑ROADS. V České republice je projekt známý pod názvem C‑ROADS Czech Republic. [5] Tento projekt funguje na základě vzájemné spolupráce orgánů veřejné správy se soukromými společnostmi za účelem testování C‑ITS technologií v reálném provozu na vymezených úsecích silniční sítě. Výsledky testování C‑ITS jsou hodnoceny na úrovni EU a měly by být použity pro účely vytvoření regulace C‑ITS.
I subjekty podílející se na zavedení či testování C-ITS by tak jako správci osobních údajů měly zajistit, že zpracování osobních údajů bude z jejich strany v souladu s účinnými právními předpisy na ochranu osobních údajů, v současnosti zejména s GDPR, a to jak v testovací fázi, tak zejména v plném provozu, ke kterému dojde v blízké budoucnosti.
Zaujal Vás tento článek a chcete se se o tomto tématu a dalších z oblasti vývoje chytrých technologií dozvědět více? Sledujte náš Twitter či Facebook.
[1] C‑ITS Platform. Final Report Phase II [online]. September 2017, p. 9. Dostupné z: https://ec.europa.eu/transport/sites/transport/files/2017-09-c-its-platform-final-report.pdf
[2] WP29. Opinion 03/2017 on Processing personal data in the context of Cooperative Intelligent Transport Systems (C-ITS) [online]. October 2017, p. 6. Dostupné z: http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47888
[3] WP29. Opinion 05/2014 on Anonymisation Techniques [online]. April 2014, p. 23. Dostupné z: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf
[4] WP29. Opinion 03/2017 on Processing personal data in the context of Cooperative Intelligent Transport Systems (C-ITS) [online]. October 2017, p. 8.
[5] C-ROADS CZECH REPUBLIC [online]. 2018. Dostupné z: http://c-roads.cz/