Dane osobowe i ich przetwarzanie stały się ostatnio gorącym tematem. Po części dlatego, że od maja 2018 roku zaczęło obowiązywać RODO – unijne przepisy skierowane na ochronę osób fizycznych (czemu towarzyszył pewien chaos informacyjny). A po drugie: nigdy jeszcze potencjał drzemiący w informacjach osobistych, zbieranych i przetwarzanych na różne sposoby, nie był tak wielki.

Magdalena Koniarska, DLA Piper
* Magdalena Koniarska, adwokat, Senior Associate, DLA Piper

Do branż, dla których kwestia ta ma wręcz kardynalne znaczenie, należą usługi współdzielonej mobilności. Ich technologia oparta jest na masowym wykorzystaniu urządzeń mobilnych i aplikacji, które nieustająco zbierają dane o użytkownikach shared mobility. Możliwość wymiany i użycia tych danych stanowi ogromną pokusę zarówno dla biznesu, jak i zarządzających miastami.

Dostęp do informacji np. o tym jakimi trasami, z jakim natężeniem, z jaką prędkością itd. poruszają się mieszkańcy, z podziałem na formy transportu, byłby ważną przesłanką przy decyzjach dotyczących planowania przestrzeni i ruchu. Miastom łatwiej byłoby określić np. to, jak i gdzie powinny przebiegać ścieżki dla rowerów czy hulajnóg, gdzie zaplanować przestrzenie na parkowanie współdzielonych pojazdów lub czy powierzchnię parkingową dla aut w centrach miast można ograniczyć na rzecz przestrzeni dla współdzielonych hulajnóg bądź rowerów.

Jednocześnie jednak pojawiają się wyzwania. Dotyczą one głównie zapewnienia, by przetwarzanie i wymiana danych w ramach współdzielonej mobilności odbywały się zgodnie z RODO i lokalnymi przepisami.

Cel, jakim jest polepszenie możliwości transportu i poprawa ruchu w mieście, nie może przysłonić troski o prywatność użytkowników.

Przepisy RODO wymagają zapewnienia bardzo konkretnych warunków do przetwarzania danych osobowych. Jest to m.in. ścisłe określenie celu, podstawy prawnej takich działań, uregulowanie kwestii odbiorców danych, zapewnienie stosownych zabezpieczeń technicznych i organizacyjnych. A także dostarczenie pełnej, zgodnej z art. 13 lub 14 RODO informacji użytkownikom oraz umożliwienie im realizacji swoich praw. I choć o danych przetwarzanych w systemach współdzielonej mobilności mówi się głównie jako o zanonimizowanych i zagregowanych, to nie zapominajmy o możliwości ich odanonimizowania. Tudzież o fakcie, że niektóre informacji zbierane przez aplikacje bez wątpienia są danymi osobowymi i nimi pozostają. A zatem muszą być chronione zgodnie z właściwymi standardami.

W tym kontekście już teraz widać pewne „grzechy” podmiotów zapewniających rowery, hulajnogi czy skutery – takie, jak zbieranie danych nadmiarowych (np. na stałe włączony tracking danych, co wcale nie jest niezbędne do funkcjonowania pojazdów), łączenie danych z urządzeń/aplikacji z danymi z portali społecznościowych, zmuszanie użytkowników do przesyłania skanów dokumentów (choć do potwierdzenia ważności i zidentyfikowania użytkownika wystarczy np. numer i data wydania/ważności), mało przejrzyste informacje w zakresie polityki przetwarzania danych itd.

Uznanie, że dane w ramach systemów współdzielonej mobilności nie mają w ogóle charakteru danych osobowych i dlatego wymiana ich może być zupełnie swobodna, to mrzonka. Dowodzą tego choćby badania naukowców z MIT, którzy odkryli, że wystarczą zaledwie cztery miejsca i czasy lokalizacji uzyskane z telefonu komórkowego, by zidentyfikować osobę fizyczną.

Dlatego niezbędne jest, by od początku systemy współdzielonej mobilności nastawione były na właściwą ochronę danych osobowych, co zarazem może podnosić ich atrakcyjność, wzmacniając zaufanie użytkowników.