Samotná instalace palubních kamer ve vozidlech není již žádnou novinkou. Jejich využití za účelem získání důkazního materiálu pro případ dopravní nehody je v České republice legální (z hlediska bezpečnosti provozu i ochrany soukromí dotčených osob) a zřejmě i poměrně obvyklou praxí. S tím, jak se do výbavy vozidel prosazují stále pokročilejší asistenční systémy a vývoj směřuje k plně autonomním vozům, získává však shromažďování a další využívání dat z palubních kamer zcela jiné rozměry a význam. Právě díky masivnímu zpracování dat můžeme v dohledné budoucnosti očekávat na našich silnicích vozidla, která se doteď objevovala pouze jako rekvizita ve sci-fi filmech.
Moderní vozidla jsou již dnes běžně vybavena množstvím senzorů, které získávají data jak o provozu vozidla samotného, tak i o jeho interakci s okolím, a které takto získaná data ukládají pro budoucí využití nebo i přímo předávají zpět výrobcům, servisům apod.[1] Veškeré informace „zevnitř“ vozu (vypovídající o způsobu řízení nebo o využívání bezpečnostních a asistenčních systémů) i „zvenku“ (týkající se např. dopravního značení a dopravních situací) jsou totiž zcela zásadní z hlediska další optimalizace stávajících asistenčních systémů i pro vývoj nových, včetně autonomních.
Množství dat, která jsou a nadále budou zapotřebí k vývoji a dalšímu zdokonalení („učení“) systémů autonomního řízení, je přitom takové, že jen s malou nadsázkou lze říci, že vozidla budoucnosti budou ke svému pohonu data potřebovat stejnou měrou jako palivo, resp. energii.
Osobním údajům se nelze vyhnout
Kamery snímající dění v okolí vozidla jsou jedním z klíčových prvků při vývoji autonomních systémů řízení, neboť jejich prostřednictvím lze získat komplexní data o interakci vozidla s okolím v mnoha nejrůznějších situacích a za nejrůznějších okolností. Kamery slouží k rozpoznávání překážek, chodců, zvířat, jiných vozidel, dopravních značek nebo detekci jízdních pruhů. Tato data jsou pak základem pro algoritmy autonomních systémů řízení i jejich další vývoj. S ohledem na to, že tyto algoritmy se strojově učí na základě předchozích dat, je přesnost a spolehlivost (a tedy bezpečnost) autonomních systémů řízení přímo závislá na množství, kvalitě a různorodosti dat, která získávají.
Z uvedeného je zřejmé, že získávání dat např. pouze pomocí testovacích vozů nemůže být dostačující. Naopak je žádoucí zapojení co největšího počtu vozidel účastnících se reálného provozu, a to v co nejrozmanitějším prostředí. A je tedy logické, že společnosti podílející se na vývoji autonomních systémů řízení mají, ve snaze získávat co největší objemy dat, zájem o spolupráci s provozovateli větších vozových parků, případně i se soukromými uživateli, kteří jim umožní ve svých vozech kamery instalovat.
Nejpozději v této fázi přichází na řadu také otázky spojené s plněním povinností vyplývajících z GDPR,[2] neboť jistě není zapotřebí detailně vysvětlovat, proč je na informace získané z palubních kamer nutno pohlížet jako na osobní údaje ve smyslu čl. 4 odst. 1) GDPR. Vždy bude možné přiřadit tyto informace alespoň k řidiči či provozovateli daného vozidla, případně i k třetím osobám zachyceným v okolí. Ve vztahu k posledně zmíněné slupině osob pak platí, že konkrétní obsah záběru, a tedy to, zda dojde k zaznamenání určitých identifikačních prvků, např. podoby anebo registrační značky jiného vozidla, nelze předem ovlivnit, a shromáždění těchto údajů proto není možné zcela vyloučit.
Zpracování osobních údajů „zevnitř“ vozu
Základní otázkou u každého zpracování osobních údajů je, zda je předmětná činnost vůbec legální a legitimní, tj. zda pro ni lze aplikovat některý z právních základů v čl. 6 odst. 1 GDPR. Přičemž v tomto směru je možné odlišit dva základní úhly pohledu, tj. zpracování dat z pohledu řidiče, resp. vlastníka či provozovatele vozidla, a z pohledu třetích osob náhodně zachycených v okolí.
Již samotnou instalaci kamery logicky nelze provést bez souhlasu vlastníka či provozovatele vozidla. Jestliže se jedná o fyzickou osobu, pak také zpracování osobních údajů vypovídajících o provozu tohoto vozidla, které se k této osobě vztahují, bude probíhat s jejím souhlasem ve smyslu čl. 6 odst. 1 písm. a) GDPR. V této souvislosti je potřeba vyzdvihnout zásadní roli informací o všech podstatných parametrech zpracování, bez nichž nebude souhlas platně udělen. Půjde zejména o to, kam budou získaná data předávána (s kým budou sdílena), jak dlouho budou využívána v původní (neanonymizované) podobě nebo jakým způsobem budou případně dále upravována.
Pokud vlastník vozidla a jeho řidič nejsou tatáž osoba, platí požadavek na získání souhlasu se zpracováním osobních údajů i pro řidiče. Taková situace nastane zejména u vozidel provozovaných právnickými osobami, určených k užívání jejich zaměstnanci. V případě tzv. referentských vozů (které nevyužívá trvale pouze jeden konkrétní zaměstnanec) je pak vhodné spíše přijmout technické řešení umožňující např. kameru dočasně vypnout.
Důvodem, proč není možné získávat data z kamer bez souhlasu zaměstnance, který vozidlo využívá, je fakt, že spojením informací pořízených kamerou s identitou řidiče lze docílit poměrně komplexního přehledu o jeho pohybu i způsobu chování v provozu. Takové informace přitom nejsou nezbytné pro plnění zákonných povinností správce, tj. neexistuje právní předpis, k jehož splnění by takové zpracování bylo zapotřebí. Argumentace oprávněným zájmem zaměstnavatele či vývojáře autonomních systémů pak narazí kromě zmíněného rozsahu dat i na problematiku slabšího postavení zaměstnanců ve vztahu k zaměstnavateli. Požadovaný balanční test by tedy v tomto případě jen stěží vyzněl tak, že práva a právem chráněné zájmy subjektu údajů – zaměstnance nepřevažují nad zájmy správce či třetích osob.[3]
Kromě výše zmíněné podmínky v podobě dostatečně podrobné a srozumitelné informace o zpracování je pro získání souhlasu samozřejmě zásadní, aby bylo možné zpracování skutečně svobodně a bez následků odmítnout, což se týká zejména popsané situace se služebními či referentskými vozy.
Zpracování osobních údajů „vně“ vozu
Jak bylo již uvedeno, snímáním veřejného prostoru se nelze vyhnout zpracování osobních údajů třetích osob. Tuto část zpracování je pak možné pokrýt pouze oprávněným zájmem správce a dalších zainteresovaných osob. Aplikace právního základu podle čl. 6 odst. 1 písm. f) GDPR přitom není možná bez provedení tzv. balančního testu, tedy srovnání oprávněných zájmů výrobců a vývojářů s právy a zájmy dotčených osob, zde tedy těch, kdo mohou být na záběru zachyceni.
Východiskem pro argumentaci ve prospěch shromažďování těchto údajů je fakt, že (alespoň v současné době), nejsou k dispozici srovnatelné metody získání potřebného množství dat v potřebné kvalitě, které by současně představovaly menší či nulový zásah do práv subjektů údajů. Dále, že zákonné požadavky na zajištění bezpečnosti jsou v oblasti automobility natolik přísné a specifické, že bez dlouhodobého a podrobného tréningu založeného na reálných datech není možné jim dostát.
Pro zajištění maximální míry ochrany práv subjektů údajů je dále nutné garantovat především opatření směřující k minimalizaci shromážděných dat. Není např. nutné získávat nonstop záznam veškerého provozu a dění v okolí. Na základě již získaných dat lze zařízení před-programovat tak, že bude pořízen vždy jen krátký záznam anebo sekvence fotografií předem indikované situace. Dále lze vhodně nastavit míru rozlišení pořízených záběrů, která umožní spolehlivě a bezchybně interpretovat zachycené dopravní situace, avšak bez dalších (nadbytečných) detailů. Je také možné implementovat filtrační mechanismy, které získaná data protřídí a vyberou jen ta skutečně použitelná, a další, jimiž se odstraní staré záběry, které se pro vývoj a trénování již nevyužívají.
Důležitým prvkem je i oddělení identity provozovatele či vlastníka konkrétního vozidla od předávaných dat tak, aby nebylo možné např. zpětné trasování či profilování. Pro sledovaný účel lze záznamy z jednotlivých kamer odesílat bez bližšího určení např. registrační značky či typu vozidla, ze kterého pochází. Opatření zavedená na poli minimalizace získaných dat pak mohou správci posloužit jako argument spočívající v tom, že zpětná identifikace osob zachycených na záznamech by byla spojena s nemalými dodatečnými náklady bez přínosu pro jeho cíle.
Jistým limitem pro minimalizaci rozsahu dat jsou již zmíněné bezpečnostní požadavky – autonomní systémy řízení musí být schopné detekovat např. i směr pohledu či gesta účastníků provozu, aby bylo možné předvídat jejich chování (např. úmysl chodce přejít ulici). Zásadnější následná manipulace s pořízenými záběry např. ve formě rozmazání či pixelace je proto neúčelná, neboť tím dochází ke snížení kvality snímků, a tedy bezpečnosti výsledného algoritmu. Obdobně nebude možné pořízené záznamy likvidovat v relativně krátkých lhůtách, které se vžily např. pro standardní kamerové systémy, neboť zde není účelem ad hoc odhalení a doložení určitého incidentu, ale naopak dlouhodobé využití záznamu k vývoji a dalšímu zdokonalování příslušných algoritmů.
Uvedená negativa (z pohledu subjektů údajů) bude proto nezbytné vyvážit zvýšeným důrazem na vyhodnocení rizik a přijetí opatření k jejich eliminaci. Stěžejní jsou v tomto ohledu opatření bezpečnostní, tj. organizační, fyzické i technické prostředky určené k zamezení přístupu neoprávněným osobám. Samozřejmostí je omezení přístupových oprávnění na limitovaný okruh osob, včetně zavedení interních kontrolních mechanismů.
Za těchto okolností by následně bylo možné označit shromažďování a další zpracování dat získaných pomocní palubních kamer i vně vozu za oprávněný zájem správce či třetí osoby, při jehož realizaci nedochází k zásahu do práv subjektů údajů v míře vyšší než nezbytné (tj. oprávněné zájmy subjektu údajů nepřevažují nad zájmy správce).
Co na to umělá inteligence?
Tématu tohoto příspěvku se přímo nevěnuje žádné stanovisko EDPB[4] a nezabývá se jím ani český dozorový úřad (ÚOOÚ).[5] Je však samozřejmě možné využít stanoviska a vodítka zabývající se obecně požadavky na souhlas a balančními testy publikovaná EDPB nebo národními dozorovými úřady.[6]
Shrnutí tématu můžeme nicméně nechat na umělé inteligenci samotné. Co odpoví na otázku, jaký můžeme očekávat další vývoj v oblasti sběru dat pro vývoj autonomních systémů?
„Další vývoj v oblasti sběru dat pro vývoj autonomních systémů bude pravděpodobně směřovat k vyšší kvalitě a přesnosti dat. Výrobci a vývojáři autonomních systémů se budou snažit získat co nejvíce kvalitních dat z různých zdrojů a tato data budou analyzovat a využívat k trénování svých algoritmů. Můžeme také očekávat vývoj nových technologií a senzorů, které budou schopny získat nové typy dat s vyšší přesností a rozlišením. Například lze očekávat pokrok v oblasti senzorů pro rozpoznávání hloubky, které mohou poskytnout detailnější informace o okolním prostředí a umožnit vozidlům lépe rozlišovat překážky. Zároveň by mělo docházet k dalšímu zdokonalování technologií pro ochranu soukromí, aby byla zajištěna co největší ochrana osobních údajů při sběru dat pro vývoj autonomních systémů. To může zahrnovat využití technologií pro anonymizaci a pseudonymizaci dat, zpřísnění pravidel pro sběr a ukládání dat a další opatření pro ochranu soukromí.“[7]
Ludmila Probstová
Autorka je GDPR specialistka ve společnosti Bosch
[1] Zpracování osobních údajů získaných v souvislosti s provozem vozidla, příp. propojením s dalšími zařízeními, a sdílených s třetími stranami (výrobci, pojišťovnami, servisy) je předmětem stanoviska EDPB č. 1/2020 (Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications; https://edpb.europa.eu).
[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů).
[3] Otázka, kdo je v uvažované situaci správcem a kdo zpracovatelem, příp. zda jde o společné správce, může mít zřejmě více vyústění s ohledem na to, jak konkrétně je nastavena spolupráce mezi všemi zainteresovanými subjekty. Závěr o nevhodnosti uvedených právních titulů platí nicméně ve všech konstelacích.
[4] Ve výše zmíněném stanovisku EDPB č. 1/2020 jsou kamery zmíněny spíše okrajově a výslovně je z jeho předmětu vyňato monitorování veřejných prostranství.
[5] Stanovisko ÚOOÚ č. 1/2015, Provozování kamery v motorovém vozidle se záběrem mimo toto vozidlo, není již na webových stránkách tohoto úřadu dostupné. Z dohledatelných informací je však zřejmé, že se zabývalo výhradně kamerami instalovanými za účelem doložení okolností a průběhu dopravních nehod.
[6] Např. stanovisko EDPB č. 5/2020, k souhlasu podle nařízení 2016/679. K balančním testům např. přehledný návod vypracovaný dozorovým úřadem pro Velkou Británii (Information Commissioner, https://ico.org.uk/).
[7] OpenAI, (2023), ChatGPT, https://openai.com/blog/chatgpt/ k dotazu: Jaký můžeme očekávat další vývoj v oblasti sběru dat pro vývoj autonomních systémů? Odpověď ze dne 24. února 2023.