A GPS-technológiát használó eszközök felhasználóihoz kapcsolódó helymeghatározó információk bonyolult rendszert alkotnak, és fontos működési alapját adják különböző – egyre szélesebb körben használt – alkalmazásoknak. A helymeghatározó adatokat aktívan használó, és folyamatos fejlesztésben lévő applikációk között kiemelt jelentőségűek a különböző sport- és fitnesz alkalmazások, amelyek a szolgáltatások nyújtása kapcsán az érintettek hely- és mozgási adatait helyezik előtérbe.
A személyes adatok az alkalmazások funkcionalitása, fejlesztése és egymással versengése tekintetében kiemelten fontos, ugyanis a követő (tracking) és a helymeghatározó funkciók a működésük alapját adják.
Ezek az applikációk, szolgáltatások a helymeghatározó adatokat – különböző technikai módszereket alkalmazva – úgy használják fel, hogy azok elviekben ne kapcsolódjanak az érintett felhasználókhoz. A helymeghatározó információk növekvő „előállítása” ellenére gyakran alábecsült annak a lehetősége, hogy ezek által személyes vagy bizonyos esetekben különleges személyes adatok kerüljenek nyilvánosságra.
A Garmin Connect a különböző Garmin készülékekhez kapcsolódó fitnesz applikáció, amely az eszközökön rögzített sporttevékenységek nyomon követéséhez és széleskörű egészségügyi adatokhoz fér hozzá. A Garmin Connect hangsúlyozottan kiemeli, hogy számukra fontos a felhasználók adatainak védelme: „célunk az, hogy Ön tudatában legyen, hogyan gyűjtjük be, használjuk fel, osztjuk meg és tároljuk személyes adatait, amikor a Garmin Connect weboldalt és mobilalkalmazást, a Garmin Sports weboldalt és mobilalkalmazást, valamint a kompatibilis Garmin készülékeket használja” (Garmin/Adatvédelem).
A Garmin a világ egyik vezető navigációs készülékgyártója. Leányvállalatain keresztül navigációs, kommunikációs és informatikai készülékek tervezésével, gyártásával, forgalmazásával és értékesítésével foglalkozik, termékei túlnyomó részében pedig GPS-technológiát alkalmaz.1 A Garmin küldetése, hogy az autós-, repülős-, hajós-, túrázó- és sporteszközök kiemelkedő minőségű, megbízható gyártójaként ügyfelei mindennapi életének meghatározó részévé váljon. A Kajmán-szigeteken bejegyzett cég főbb leányvállalatai az Egyesült Államokban, Tajvanon és az Egyesült Királyságban működnek.2
Indokolt ugyanakkor áttekinteni a Garmin Connect által begyűjtött adatok és jogalapok szabályozását (a Garmin Connect, a Garmin Sports és a kompatibilis Garmin eszközök adatvédelmi szabályzata, 2021. április 29.):
Személyes adatok kategóriái: | Adatkezelés célja: | Jogalapok: |
E-mail cím és jelszó | A felhasználói fiók biztonságának megőrzése. | A Garmin jogos érdeke. |
E-mail cím | A Garmin az e-mail címet annak érdekében is kezeli, hogy fontos információkat küldjön a Garmin termékeiről, szolgáltatásairól, alkalmazásairól vagy magáról a fiókról, például fontos biztonsági információkat vagy az adatvédelmi irányelvek lényeges módosításait. | Jogalap ugyancsak a Garmin jogos érdeke a felhasználói fiók biztonságának megőrzése tekintetében. |
E-mail cím | Marketing célokból. | Az érintett hozzájárulása. |
E-mail cím | Abból a célból történik az adatkezelés, hogy az e-mail címet a Garmin társíthassa a Garmin-fiókhoz. | A Garmin jogos érdeke „a magas színvonalú ügyfélszolgálat biztosításához”. |
E-mail cím | A Garmin saját szabályainak – felhasználó általi – megsértése miatti üzenetküldés. | A Garmin jogos érdeke. |
További kiegészítő adatok: tartózkodási hely (location data), tevékenység típusa (futás, túrázás, kerékpározás stb.) nem, születési idő, magasság, testsúly. | A kalóriák kiszámítása, illetve, hogy az ismerősök megtekinthessék a tevékenységet. | Az érintett hozzájárulása. |
A tevékenységek (futás, túrázás, kerékpározás stb.) és a tevékenységek adatai feltöltése a Garmin-fiókba (kalória, pulzusszám, alvásidő, véroxigénszint, tartózkodási hely, folyadékbevitel, menstruációs adatok, lépésszám, sebesség, távolság, tevékenységi idő stb.). | Tevékenységi adatok elemzése, a Garmin eszköz azonosítása, tevékenységhez és szegmenstérképhez kapcsolódó helyadatok megtekintése, egyéb adatok, például edzési pontszám megtekintése, továbbá ezen adatok másokkal történő megosztása. | Amennyiben a felhasználó EGT-tagállamban, az Egyesült Királyságban vagy Svájcban él, akkor a jogalap az érintett kifejezett hozzájárulása. |
A feltöltött tevékenységi adatok kezelése. | A használat és a trendek elemzése, valamint új és továbbfejlesztett szolgáltatások kifejlesztése. | A Garmin jogos érdeke. |
A feltöltött tevékenységi adatok kezelése. | Termékfejlesztési funkció elfogadása esetén, kutatási és fejlesztési célokból. | Amennyiben a felhasználó EGT-tagállamban, az Egyesült Királyságban vagy Svájcban él, akkor a jogalap az érintett kifejezett hozzájárulása. |
Garmin Express alkalmazás szinkronizálása során az adatátvitellel kapcsolatos adatok: IP-cím, a szinkronizálás ideje és dátuma, az összeomlási/diagnosztikai naplók, az eszköz földrajzi helye, az eszköz adatai, a szinkronizáláshoz használt wifi vagy mobil hálózat adatai, az eszköz akkumulátorának adatai. | A szinkronizálás során fellépő problémák azonosítása és megoldása. | A Garmin jogos érdeke. |
Garmin vállalattal folytatott kommunikáció során kezelt személyes adatok. | Ügyfélszolgálat és termékszolgáltatás. | Az érintett hozzájárulása. |
A fenti összegzés alapján megállapítható, hogy a Garmin Connect különböző típusú helymeghatározó adatokat használ (a Garmin eszköz helyadata, a felhasználó tartózkodási helye, tevékenységhez és szegmenstérképhez kapcsolódó helyadatok). Ezek kezelésének jogalapja tekintetében a hozzájárulás az elsődleges, ugyanakkor a Garmin Express-szel kapcsolatos szinkronizálás végrehajtása során az eszköz tartózkodási helyének adatait jogos érdek alapján kezeli a Garmin.
Az is egyértelmű, hogy számos olyan, a személyes adatok különleges kategóriáiba tartozó adatokat (lásd egészségügyi adatok) is gyűjt, valamint feldolgoz az alkalmazás, amelyek kezelése alapvetően tilos /GDPR 9. cikk (1) bek./. Ezek tekintetben már a „kifejezett hozzájárulását” hozza fel a Garmin Connect /GDPR 9. cikk (2) bek. a, pont/ jogalapként.
A helymeghatározó adat kiemelt fontosságát bizonyítja, hogy a Garmin új funkciót is bevezetett a személyes adatok védelme érdekében: az úgynevezett adatvédelmi zónát, vagyis a privacy zone-t. A felhasználó manuálisan kalibrálni tudja lakóhelye vagy munkahelye, illetve egyéb kiindulási helye védelmére az adatvédelmi zónát, amely így elrejti az aktivitási útvonal meghatározott részét. A Garmin további tanácsa szerint érdemes több ilyen, egymást fedő privacy zone-t is létrehozni az adatvédelmi biztonság erősítése érdekében.
A helymeghatározó adat, mint azonosító kiemelése a GDPR személyes adat fogalmában egy hosszabb folyamat eredménye és természetes következménye a digitális világ evolúciójának. Kijelenthető, hogy egyrészt a helymeghatározás technikai módszerei egyre összetettebbek és pontosabb eredményűek lettek, másrészt pedig – természetszerűleg – szorosan kapcsolódnak az érintett tevékenységéhez, ezzel magánszférájához.
A technológiai vállalatok óriási lehetőséget láttak a helymeghatározó adatok felhasználásában, amellyel olyan funkciókat tudtak/tudnak nyújtani a felhasználók részére, amelyekkel korábban nem is találkoztak. Ha az elemzett Garmint tekintjük, akkor a helymeghatározás segítségével virtuális futóversenyeken vehetünk részt vagy ismeretlen terepeken szegmenseket fedezhetünk fel, ahol szabadon összekapcsolódhatunk más sportolókkal. Ugyanakkor az alkalmazások fejlesztése jóval megelőzte az adatvédelmi megfontolásokat, és csak különböző botrányok, adatlopások, kibertámadások döbbentették rá a multinacionális cégeket arra, hogy az érintett magánszférájával is – meghatározó módon – törődni kell. Egyet lehet ennek kapcsán érteni a GDPR 9. preambulum bekezdésében foglaltakkal, mely szerint a „magánélet védelme – különösen az online tevékenységek esetén – jelentős kockázatoknak van kitéve”.
A személyes adat fogalmának folyamatos változása és összetettebbé válása megpróbálja követni a folyamatokat, a való világban megjelenő adatvédelmi kihívásokat. A 95/46/EK Irányelv az első olyan uniós dokumentum, amely az érintett közvetett azonosíthatósága tekintetében sorol fel tényezőket. Ugyanakkor az Elektronikus Hírközlési Adatvédelmi Irányelv (2002/58/EK Irányelv) már konkrétan megnevezi, ki is emeli a helymeghatározó adat jelentőségét. A 29-es Munkacsoport véleménye (WP 115) pedig ezt követően rávilágított arra, hogy a helymeghatározó adatok kulcsfontosságú (és jelentős piaci értékű) információkat szolgáltatnak az érintettekről. Az Európai Bizottság 2010-es javaslata, az úgynevezett „adatvédelmi csomag” [COM(2012) 11 final] pedig bevezette a közvetett azonosítók körébe a helymeghatározó adatot. Míg végül a GDPR jelenlegi hatályos szabályozása nevesíti a helymeghatározó adatot a személyes adat fogalmánál.
A helymeghatározó adat kapcsán a folyamatok abba az irányba mutatnak, hogy ezen azonosító szerepe egyre kiemeltebb lesz a szolgáltatók és a felhasználók szempontjából, illetve így – a természetes személyek jogait és szabadságait érintő kockázatok miatt – adatvédelmi jelentősége is különös hangsúlyt kaphat. Maga az EDPB is azt emeli ki, hogy „az elektronikus kommunikációból származó metaadatok szintén felfedhetnek igen bizalmas és személyes adatokat. Ilyen metaadatok a hívott számok, a látogatott weboldalak, a földrajzi hely (geographical location), az egyéni hívások ideje stb., amelyekből pontos következtetéseket lehet levonni az elektronikus kommunikációban részt vevő személyek magánéletéről” (EDPB 2018. május 25-ei nyilatkozata).
Egyelőre természetesen nem jelenthető ki, hogy az érintettel kapcsolatba hozható helymeghatározó adatot a személyes adatok különleges kategóriáiba /GDPR 9. cikk (1) bek./ kellene sorolni, de növekvő jelentősége miatt kiemelt adatvédelmi és adatbiztonsági figyelmet kell, hogy kapjon, mind általános, mind egyedi szabályozási szinteken. A helymeghatározó adat növekvő felhasználásával kapcsolatos folyamat még inkább gyorsulni fog, amely egyre inkább maga után kell, hogy vonja a védelmi szintek erősítését.
Kérdések merültek fel benned a helymeghatározási adatok védelmével kapcsolatban? Szakértői segítséget szeretnél igénybe venni a témában? Fordulj bizalommal az InnoCube csapatához! KATTINTS IDE!
Forrás:
Az esettanulmány Dr. Molnár Attila – A helymeghatározó adat adatvédelmi szabályozásának jelentősége című szakdolgozata alapján készült.
"*" a kötelező mezőket jelöli