A 29.cikk szerinti adatvédelmi munkacsoport 01/2015 szám alatt véleményt fogadott el a drónok hasznosításával kapcsolatos adatkezelésről. Az ajánlás különlegességét adja, hogy a magyar adatvédelmi hatóság 2014. novemberében maga is ajánlást fogadott el ugyanebben a témában (melyet a munkacsoporti vélemény követ), illetőleg 2015. februárjában a NAIH adott otthont egy nemzetközi drón-konferenciának is.
Távirányítású repülőgép rendszerek (Remotely Piloted Aircraft Systems, RPAS), illetőleg a pilóta nélküli légi jármű rendszerek (Unmanned Aerial Systems, UAS) a civil repülés egyik legdinamikusabban fejlődő ágának minősülnek. A legígéretesebb felhasználási területnek az infrastruktúra felügyelet és a fényképezés minősül. (Lásd COM(2014) 207 final) A legtöbb országban mindazonáltal teljességgel hiányzik a szabályozás, melynek Európai Repülésbiztonsági Ügynökség közreműködésével való megvalósítását támogatja a 29. cikk szerinti munkacsoport.
A munkacsoport mindenekelőtt elismeri a drónok felhasználásának társadalmi és gazdasági hasznosságát, mindazonáltal fontosnak tartja megvilágítani e technológia potenciális, adatvédelmet veszélyeztető kockázataira, ami a drónok tömeges, korlátlan felhasználásra jelenthet. A munkacsoport véleménye ezen kihívásokra kísérel meg választ adni.
A munkacsoport kifejti, hogy számos drón létezik, azonban ezek közül a szenzorokkal, adatfeldolgozási eszközökkel felszerelt – különösen videó és hangrögzítési képességgel ellátott – berendezések képesek a magánélet megzavarására, amelyek ezáltal kockázatot jelenthetnek a magánéletre, melyek ezáltal az adatvédelmi jogszabályok hatálya alá tartoznak. Ezen berendezések adatvédelmi kockázatát az adja, hogy
– a földről nehezen felismerhetőek, nehezen láthatóak (pl. akár mikro méretűek lehetnek), illetőleg az adatalany által nem azonosíthatóak, hogy milyen adatok kezelését végzik általuk;
– akadálytalanul, minden tereptárgyon átjuthatnak, beláthatnak akár magánterületre is;
– közvetlen láthatóság nélkül is képesek adatot rögzíteni, akár hosszú időtartamon keresztül, folyamatosan, beavatkozás nélkül;
– több drón együttesen (összekapcsolt rajban alkalmazva) nagy terület koordinált megfigyelésére is alkalmas lehet.
A fentiek azt eredményezik, hogy a drónok felhasználhatóak titkos megfigyelésre, ami magánéletbe, illetőleg magánszférába különösen beavatkozó technikává teheti ezen eszköz alkalmazását. A munkacsoport szerint a drónok társadalmi elfogadottságát növelheti az adatvédelmi jogszabályok betartása.
Az irányadó jogszabályok tekintetében a munkacsoport az adatvédelmi irányelvre, az elektronikus hírközlési adatvédelmi irányelvre (2002/58/EK, feltéve, hogy a drónt elektronikus hírközlési szolgáltatás keretében használják), illetőleg a zárt láncú kamerarendszerekre irányadó szabályok irányadó voltára utalt, feltéve, hogy a drónokat ilyen kamerás megfigyelés céljából használják fel.
A munkacsoport nem tesz különbséget távirányítású, illetőleg pilóta nélküli automatizált rendszerek között, mivel a munkacsoport szerint adatvédelmi szempontból ezek között nincs különösebb különbség.
A munkacsoport álláspontja szerint a drón használata adott esetben a háztartási adatkezelési kivétel lá eshet, mikor természetes személynek a kizárólag saját személyes, illetőleg családi céljait szolgálja az adatkezelés, mindazonáltal ezeket a kategóriákat az EUB gyakorlata szerint szűken szükséges értelmezni. Ennek megfelelően az internetes publikáció (lásd C-101/01, Bodil Lindqvist ügy 47. sarokpontja), illetőleg ha az adatkezelés (legalább részlegesen) közterületre irányuló állandó felvétel készítését foglalja magába, úgy az nem tekinthető a háztartási adatkezelési kivétel hatálya alá tartozónak (vö. C-212/13, František Ryneš v Úřad pro ochranu osobních údajů 33. sarokpontját).
A drónok újságírás, illetőleg irodalmi kifejezés szabadsága céljából történő használata szintén kivételek hatálya alá tartozhat, melyet az irányelv 9. cikke tesz lehetővé, mindazonáltal ezek korlátját jelenti, hogy ezek gyakorlásának összeegyeztethetőnek kell lenniük egyrészről a magánélet tiszteletben tartásához való joggal, illetőleg másrészről a szólásszabadságra vonatkozó szabályokkal. E mindenkori kivételszabályoknak a munkacsoport szerint figyelembe kell venniük a magánélet, illetőleg a közlések bizalmasságának megtartására vonatkozó szabályokat, ideértve azt is, ha esetlegesen közterületen engedélyezik a drónok használatát.
A munkacsoport ezt meghaladóan foglalkozik a drónok bűnüldözési célú felhasználásával, mellyel kapcsolatosan a munkacsoport a korábban közzétett 01/2014 számú véleményébe foglalt megállapításokra utal.
A drónok civil szférában történő alkalmazása a munkacsoport álláspontja szerint a következő jogalapok igénybe vételével történhet:
– hozzájárulás (7. cikk a) pontja) – a munkacsoport szerint a hozzájárulás nem tűnik megfelelő jogalapnak, ugyanis alaposan feltehetően nem biztosítható az önkéntesség, tájékozottság, illetőleg kifejezettség feltétele sem. Nem zárható ki mindazonáltal, hogy valamely zárt rendezvény minden résztvevője önkéntes hozzájárulást adjon egy drón használatával kapcsolatos adatkezeléshez.
– adatalannyal megkötött szerződés teljesítése (7. cikk b) pontja) – ez szintén megfelelő jogalap lehet, ha például egy társaság szerződés alapján figyeli meg kamerás drón igénybevételével az adatalany területét, mindazonáltal harmadik személyek (kívülállók) személyes adatainak kezelését ez a jogalap nem teszi lehetővé.
– jogszabályi kötelezettség vagy közérdekű feladat ellátása, illetőleg hatáskör gyakorlása (7. cikk c) és e) pontja) szintén jogalapot adhat adatkezelésre, feltéve, hogy arról jogszabály kifejezetten rendelkezik;
– adatalany létfontosságú érdekei védelméhez szükséges adatkezelés (7. cikk d) pontja) – szintén megfelelő alapot jelenthet (pl. mentési munkálatok végzése során), mindazonáltal ezt a jogalapot is szűken szükséges értelmezni, illetőleg megfontolandó, hogy más jogalap alkalmazása nem-e megfelelőbb;
– 7. cikk f) pontja szerinti jogos érdek teszt is alkalmazható lehet, feltéve, hogy ezek a jogszerű érdekek magasabb rendűek, mint az érintett érdekei, illetőleg alapvető jogai vagy szabadságai, feltéve, hogy ezt megfelelő többletgaranciákkal biztosítják.
A munkacsoport kifejti, hogy a személyes adatokat célhoz kötötten, illetőleg csak abból a célból lehet kezelni, amely (eredeti) célból azokat rögzítették. Az eredetitől eltérő célból történő adatkezelésnek önálló adatkezelési jogalappal kell rendelkeznie, illetőleg csak esetileg dönthető el, hogy a cél esetleges módosulása szintén megfelel-e célhoz kötöttség követelményének.
A munkacsoport felhívja a figyelmet az adatvédelmi alapelvek közül a szükségesség, arányosság, adatminimalizálás szükségességére illetőleg arra, hogy az adatok a cél megvalósulásához szükséges mértékben és ideig kezelhetők, azoknak naprakésznek kell lenniük. Az adattakarékosság elve a megfelelő adatfeldolgozási technológia megválasztásával is elérhető, így minél kevesebb adat gyűjtésével, illetőleg olyan magánéletbarát adatkezelési technika választásával, ami anonimizálást (kitakarást, elhomályosítást) végez. Ezzel összefüggésben a munkacsoport a gyártók részére a beépített adatvédelem elvének egész drón életciklusán keresztül történő érvényesítését javasolja, ideértve különösen adatvédelmi kockázatelemzés elvégzését a potenciális adatvédelmi kockázatok azonosítása érdekében, melyet különösen megfigyelésre és felvételkészítésre alkalmas drónok esetén javasol alkalmazni a munkacsoport.
Az adatalanyok tájékoztatása szintén lényeges körülmény, mindazonáltal elismeri a munkacsoport, hogy annak megvalósítása praktikus akadályokba ütközhet. Ennél fogva munkacsoport egyidejűleg több csatorna útján történő tájékoztatást javasol, például bejárat, plakátok, piktogramok útján. Megfontolandó továbbá a drón láthatóságának növelése fényjelek, villogás vagy egyéb láthatósági intézkedés útján. A munkacsoport legjobb gyakorlatként a weboldalon, más dedikált helyeken, illetőleg szükség esetén újságban, szórólapon vagy plakátok útján való közzétételt, illetőleg tájékoztatást javasol. Hatósági vagy jogi szabályozás bevezetése esetén javasolt lehet olyan területek kialakítása, ahol szabadon használható a drón, illetőleg olyan adatbázis létrehozása is megfontolandó lehet, ahol a drónokkal kapcsolatos tájékoztatások azonos helyen megtalálhatóak.
Az adatbiztonság tekintetében biztosítani szükséges a drón és a bázisállomás közötti biztonságos adatátvitelt. Az adatok megőrzésének időtartamát szigorúan az adatkezelési célhoz szükséges igazítani. Az adatbiztonsági megfontolások érvényre juttatása érdekében a munkacsoport azt ajánlja, hogy
– a felvételekhez csak szigorúan meghatározott, korlátozott számú személy férhessen hozzá, akiknek a feladatuk ellátáshoz szükséges a felvételek ismerete;
– titkosítás használata a tárolás és továbbítás során;
– adatokhoz való hozzáférés és a használat loggolására kerüljön sor;
– szigorú adatmegőrzési határidők érvényesüljenek, automatikus anonimizálással, illetőleg törléssel a megőrzési időtartam lejártát követően;
– személyes adatok megsértésének bejelentésének biztosítása (ha azt jogszabály előírja).
Ezt meghaladóan a munkacsoport a képzés, tanúsítás, illetőleg önszabályozás fontosságát hangsúlyozza, ideértve különösen magatartási kódexek elfogadását. Ezek az intézkedések mindazonáltal meghaladják a jogi szabályozás kereteit.
A munkacsoport a fentiekre tekintettel javasolja a jogalkotók, illetőleg szabályozó hatóságok részére:
– olyan szabályozási keret elfogadását, ami a repülésbiztonság érdeke mellett az alapjogok, így különösen az adatvédelmi követelmények érvényesítését kiemelten biztosítja a drónok használatával kapcsolatosan;
– a tagállami intézkedések harmonizációját, illetőleg modernizációját ezen a területen;
– különös (magatartási) szabályok elfogadását a drónok használatára nézve, ideértve magánélet védelmi szabályok betartását, illetőleg szükség esetén repüléstilalmi övezetek kijelölését;
– a drónok forgalmazás vonatkozásában olyan kötelező tájékoztatás nyújtásának előírását, ami a drónok használatának adatvédelmi kockázatairól tájékoztatja, illetőleg a jogszabályok betartásának kötelezettségére figyelmezteti a használót;
– egységes adatvédelmi kockázatértékelési kritériumok kialakítását drónok vonatkozásában;
– a drónok kereskedelmi célú felhasználásának jogi szabályozásakor az adatvédelmi követelmények érvényesítését;
– tanúsítási rendszerek támogatását;
– a drónok használatának transzparenciáját növelő technológiák kutatásának finanszírozását.
A munkacsoport gyártók, illetőleg üzemeltetők részére javasolja
– beépített adatvédelem (privacy by design és privacy by default) alkalmazását;
– adatvédelmi felelős alkalmazását a tervezés és a drónhasználat vonatkozásában;
– önszabályozási sémák, magatartási kódexek kialakítását;
– a drónok láthatóságának, illetőleg azonosíthatóságra vonatkozó intézkedések megteremtését;
– a drón vezetője láthatóságának megteremtését;
– magánhasználatú helyek és építmények elkerülését a drón üzemetetése során.
A munkacsoport állásfoglalása itt elérhető.