Kto skončí na súde za únik dát z vášho auta? Kontroverzná otázka zodpovednosti GDPR, ktorú výrobcovia ignorujú

Moderné automobily sa v priebehu poslednej dekády transformovali z čisto mechanických strojov na komplexné počítače na kolesách. S príchodom konektivity a autonómnych funkcií sa však vozidlá stali aj masívnymi zberačmi osobných údajov. Od vašej presnej polohy, cez štýl jazdy, až po biometrické dáta snímané senzormi v interiéri – auto o vás vie takmer všetko. Problém nastáva v momente, keď sa pýtame na bezpečnosť týchto informácií. Európske nariadenie GDPR kladie prísne nároky na ochranu súkromia, no automobilový priemysel sa nachádza v šedej zóne. Kto je skutočne zodpovedný za únik citlivých dát? Je to výrobca hardvéru, vývojár softvéru, alebo samotný majiteľ, ktorý potvrdil neprehľadné obchodné podmienky? Táto otázka vyvoláva ostré právne diskusie, ktoré výrobcovia často zámerne ignorujú, kým nečelia prvému veľkému súdnemu sporu, ktorý môže navždy zmeniť pravidlá hry v autopriemysle.

Auto ako pojazdné datacentrum: Čo všetko o vás vaše vozidlo vie?

Mnoho vodičov si neuvedomuje, že ich moderné vozidlo generuje až 25 gigabajtov dát za hodinu jazdy. Tieto údaje nie sú len technického charakteru, ako je tlak v pneumatikách alebo teplota motora. Moderné systémy spracúvajú informácie, ktoré spadajú pod prísnu ochranu GDPR:

• Geolokačné údaje: História vašich trás, miesta, kde trávite noc, a pravidelné ciele vašich ciest.
• Biometrické informácie: Kamery sledujúce únavu vodiča snímajú črty tváre a pohyb očí.
• Interakcia so smartfónom: Po pripojení telefónu cez Bluetooth alebo kábel môže auto pristupovať k vašim kontaktom, správam a histórii hovorov.
• Profilovanie vodiča: Údaje o prudkom brzdení, rýchlosti a spôsobe predbiehania, ktoré môžu byť predané poisťovniam.

Všetky tieto informácie sú ukladané v palubných počítačoch a následne odosielané na cloudové servery výrobcov. Otázkou zostáva, či je tento prenos dostatočne šifrovaný a či má používateľ reálnu možnosť tento zber dát odmietnuť bez toho, aby stratil prístup k základným funkciám vozidla.

1. Právna dilema: Kto je prevádzkovateľom a kto sprostredkovateľom?

Podľa nariadenia GDPR je kľúčové určiť, kto je prevádzkovateľom (controller) osobných údajov, pretože práve on nesie primárnu právnu zodpovednosť. V ekosystéme prepojených vozidiel je však situácia extrémne komplikovaná. Do procesu vstupuje výrobca automobilu (OEM), dodávatelia telematických služieb, poskytovatelia máp (napríklad Google) a operátori cloudových úložísk.

Výrobcovia sa často snažia pasovať do roly sprostredkovateľov, čím prenášajú zodpovednosť na tretie strany alebo dokonca na samotného používateľa. Právni experti však upozorňujú, že ak výrobca určuje účel a prostriedky spracúvania (teda rozhoduje, aké dáta sa zbierajú a prečo), automaticky sa stáva prevádzkovateľom. V prípade masívneho úniku dát by tak pred súdom nemali stáť subdodávatelia, ale samotná automobilka, ktorá systém navrhla a predala.

Tento právny spor je ešte intenzívnejší pri autonómnych vozidlách. Ak auto zaznamená nehodu pomocou externých kamier, sníma aj osoby mimo vozidla – chodcov či iných vodičov. Títo ľudia nikdy neudelili súhlas so spracovaním svojich údajov, čo stavia výrobcov do priameho konfliktu s európskou legislatívou o ochrane súkromia.

Šedá zóna v zmluvných podmienkach: Prečo výrobcovia hrajú mŕtveho chrobáka?

Väčšina majiteľov nových áut pri preberaní vozidla podpíše desiatky strán obchodných podmienok. Tieto dokumenty sú často písané vágne a skrývajú súhlasy s prenosom dát tretím stranám na „marketingové účely“ alebo „zlepšovanie služieb“. Výrobcovia sa spoliehajú na to, že priemerný spotrebiteľ nemá čas ani odborné vzdelanie na to, aby analyzoval dátové toky svojho auta.

Ignorancia zodpovednosti zo strany výrobcov je strategická. Kým neexistuje precedens v podobe drakonickej pokuty od dozorných orgánov, je pre nich ekonomicky výhodnejšie dáta zbierať a monetizovať, než investovať milióny do robustnej kybernetickej bezpečnosti a transparentnosti. Mnohé systémy v autách dokonca neumožňujú jednoduché vymazanie osobných údajov pri predaji vozidla, čo je priame porušenie „práva na zabudnutie“ podľa GDPR.

2. Riziká kybernetických útokov a úniku dát v ére autonómnej jazdy

Autonómne vozidlá sú závislé od neustálej komunikácie so sieťou (V2X – Vehicle-to-Everything). Každý bod pripojenia predstavuje potenciálnu dieru v bezpečnosti. Ak hacker získa prístup k serverom výrobcu, nielenže môže ukradnúť osobné údaje miliónov vodičov, ale v extrémnom prípade by mohol prevziať kontrolu nad samotnými vozidlami.

Súdne spory v budúcnosti sa nebudú týkať len toho, že niekto ukradol vašu e-mailovú adresu z infotainmentu. Budú sa týkať otázok, ako:

• Kto zodpovedá za únik obrazových záznamov z interiéru vozidla, ktoré sa dostali na verejnosť?
• Je výrobca vinný, ak vďaka slabej autentifikácii niekto na diaľku sledoval polohu vášho auta za účelom krádeže?
• Kto zaplatí pokutu, ak auto nelegálne zdieľalo informácie o vašom zdravotnom stave (zistenom cez senzory sedadla) so zdravotnou poisťovňou?

Práve prepojenie kybernetickej bezpečnosti a ochrany súkromia je bodom, kde sa láme chlieb. GDPR vyžaduje „privacy by design“ a „privacy by default“, čo znamená, že ochrana dát musí byť zakomponovaná už v základnom návrhu vozidla. Realita je však taká, že bezpečnosť je často až na druhom mieste za konektivitou a dizajnom rozhraní.

Kto ponesie následky pred súdom? Scenáre zodpovednosti

V prípade súdneho konania budú súdy skúmať tzv. technickú a organizačnú primeranosť opatrení. Ak sa preukáže, že výrobca vedel o zraniteľnosti systému a neopravil ju (napríklad cez OTA aktualizáciu), jeho šanca na obhajobu je nulová. Podľa článku 82 GDPR má každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia nariadenia, právo na náhradu škody.

Zodpovednosť sa pravdepodobne rozdelí do troch rovín:

1. Výrobca auta: Zodpovedá za celkovú architektúru a bezpečnosť ekystému.
2. Softvérový gigant: Ak systém beží na platforme tretej strany (napr. Android Automotive), časť zodpovednosti za spracovanie dát v cloude prechádza na nich.
3. Majiteľ/Prevádzkovateľ vozového parku: V prípade firiem sú to oni, kto musí zamestnancov informovať o monitorovaní vozidiel, inak riskujú žaloby priamo od vlastných pracovníkov.

Problematika zodpovednosti za únik osobných údajov z moderných a autonómnych vozidiel je časovanou bombou, ktorá čaká na svoju rozbušku. Súčasný stav, kedy výrobcovia automobilov prenášajú bremeno ochrany súkromia na koncového používateľa prostredníctvom nečitateľných zmluvných podmienok, je z dlhodobého hľadiska neudržateľný. Európske orgány na ochranu údajov už začínajú upriamovať svoju pozornosť na telematiku a prepojené systémy, čo naznačuje príchod éry prísnych auditov a vysokých sankcií. Pre spotrebiteľa je kľúčové pochopiť, že auto už nie je len dopravný prostriedok, ale výkonné digitálne zariadenie, ktoré si vyžaduje rovnakú úroveň ostražitosti ako smartfón alebo počítač. Na druhej strane, výrobcovia musia prestať ignorovať etické a právne aspekty spracúvania dát a prijať plnú zodpovednosť za bezpečnosť informácií, ktoré od svojich zákazníkov zbierajú. Či už ide o geolokačné údaje, biometriu alebo záznamy z okolia vozidla, transparentnosť a bezpečnosť musia byť prioritou, nie len položkou v manuáli, ktorú nikto nečíta. Súdne spory, ktoré nás čakajú, definujú hranicu medzi technologickým pokrokom a právom na súkromie v 21. storočí, pričom výsledok týchto sporov určí, či budeme v našich autách v bezpečí nielen fyzicky, ale aj digitálne.