2019-04-08 | Adatvédelem, Érdekességek
A hordható eszközök használata már évek óta a sportolók, szponzorok, csapatok és versenyligák érdeklődésének középpontjában áll, próbálva megtalálni az egyensúlyt a játékosok adatbiztonsága, a sportszakmai és pénzügyi érdekek között. Azonban különféle érdekek ütköznek a sportolók ilyen szintű megfigyelését illetően, amelyeket a jog csak hellyel-közzel orvosol.
Mire használhatóak a hordható e-eszközök?
A „hordható technológia” egy általános kifejezés minden olyan elektronikus megfigyelő eszközre, amely a testen viselhető – jellemzően a ruhába varrva, vagy egyéb módon egy kiegészítőbe ágyazva – és vezeték nélküli internetre csatlakozás, bluetooth vagy önálló adatkapcsolat folytán képes az összegyűjtött adatok továbbítására.
Ezek a megfigyelő eszközök nyomon követhetik a viselővel kapcsolatos különféle információkat, például a pulzusszámot, a glükózszintet, a pulzoximetriát, az alvási mintákat, a járásmódot és más fizikai és fiziológiai méréseket, amelyek megkönnyíthetik a sportoló teljesítményének és regenerációjának értékelését.
Ezek a fizikai és fiziológiai adatok „biometrikus információnak” tekinthetők különböző jogszabályok meghatározásában.
A biometrikus információ tágabb kategóriáján belül léteznek az ún. „biometrikus azonosítók”, melyek olyan egyedi ismertetőjegyek, melyek alkalmasak egy konkrét személy azonosítására. A biometrikus információk általánosabb adatpontok, mint például a magasság és a testsúly, míg az ujjlenyomat biometrikus azonosítónak minősül, mivel teljesen egyedi minden ember esetében.
Az ilyen eszközök jelentősége abban áll, hogy a sportolók és az edzők számára betekintést enged a sportteljesítményre, a stresszre, a pihenésre és a regenerálódásra, az óriási lehetőségek miatt pedig használatuk mértéke az utóbbi években exponenciálisan nőtt.
A megfigyelő eszközök használata a versenysportban (Egyesült Államok)
Észak-Amerika első osztályú profi baseball bajnoksága (Major League Baseball – „MLB”) jelenleg engedélyezi a technológia játék közben való használatát, ezáltal lehetővé téve a játékosok teljesítményének valós idejű követését, valamint a gyakori betegségek okainak elemzését, mint például a dobókra jellemzően nehezedő stressz vizsgálatát. Ez azért is fontos, mert egy komoly sérülés akár egy évre is a kispadra száműzhet egy-egy játékost.
Például 2016-ban az MLB és a Játékosok Szövetsége jóváhagyta a játékban használt, érzékelővel ellátott pólóujj használatát, amely kifejezetten a dobó karjára nehezedő nyomás mérésére szolgál, ezen túl ráadásul méri a kar sebességét, forgását és a könyökre nehezedő erőt, így segíthet a dobóknak a sérülések elkerülésében, a pihenés és a dobás korrekciója révén.
A szabályozás lényeges eleme, hogy noha a technológia használata engedélyezett játék és edzés közben is, ez mindenképpen a játékos önkéntes döntésére van bízva, és bármikor felhagyhat a használattal. Sőt, az MLB kollektív szerződése alapján a csapatnak törölnie kell az eszközök által rögzített adatokat, ha a játékos ezt kéri.
Az észak-amerikai profi kosárlabdaligában (National Basketball Association – „NBA”) is hasonló a szabályrendszer, melynek célja a technológia lehetséges manipulációjának megelőzése. Az ott érvényes kollektív szerződés alapján tilos a használatuk hivatalos meccs közben, edzésen pedig szigorúan önkéntes alapú. Az említett szerződés meghatározza továbbá az adatgyűjtés célját is, miszerint a csapat kizárólag egészségügyi, teljesítménnyel kapcsolatos, illetve taktikai és stratégiai célzattal alkalmazhatja az ilyen eszközöket. E rendelkezés tiszteletben tartása érdekében, minden csapatnak – mely a technológia használatára kéri játékosát -, írásban világosan meg kell határoznia, hogy milyen adatok kerülnek rögzítésre, azokat hogyan használják fel, illetve hogy milyen előnye származik a játékosnak az adatgyűjtésből és azok elemzéséből.
Az adatokkal való visszaélés lehetséges korlátozása
Az NBA kollektív szerződése rendelkezéseket tartalmaz a játékosok biometrikus adataival való visszaélések esetére is. Eszerint, ha a sportoló hozzájárul a megfigyelő eszközök használatához, a szerződés kifejezetten tiltja az így szerzett adatok felhasználását a csapat és a játékos közötti szerződést és fizetést illető tárgyalások során.
Bármely csapat, amely megsérti ezt a tilalmat, akár 250.000 USD büntetésre számíthat, azonban ennek ellenére is könnyen lehetnek a játékosok visszaélés áldozatai.
Bár elméletileg védelmet jelent viszont számukra, hogy bármikor, bármilyen okból felhagyhatnak az eszközök használatával a gyakorlatban nehezen elképzelhető, hogy egy játékos edzője „kérése” ellenére nem engedélyezi az eszközök alkalmazását. Az ilyen kollektív szerződések fontos kereteket fektetnek le a potenciálisan érzékeny adatok tulajdonjogával kapcsolatban és próbálják megtalálni a megfelelő egyensúlyt a sportolók és a csapatok igényei között a magánszféra megóvása érdekében, de szükséges megvizsgálni, hogy vajon mennyire jelentenek tényleges jogvédelmet?!
Az Amerikaifutball-szövetség („NFL”) 2017-ben felajánlotta a játékosoknak, hogy saját maguk rendelkezzenek a sportteljesítményüket rögzítő adatokkal, ennek megfelelően akár értékesíthetik azt harmadik személy számára is. A személyes adatok értékesítéséből való bevételszerzés így az egyes sportolók, és nem a szövetség, vagy a csapatok kezében összpontosul.
A sportolók megfigyelő eszközeire vonatkozó jogszabályok
Érdekes jelenség, ahogy a jog világszerte próbál lépést tartani a technológia fejlődésével, és igyekszik reagálni az újonnan felmerülő problémákra, lehetőleg minél kevesebb joghézagot hagyva.
Jelenleg az USA-nak is csak pár tagállama – elsőként Illinois, Texas és Washington – fogadott el biometrikus azonosítók gyűjtésére vonatkozó szabályozást. Mivel ezen jogszabályok többsége 2008-2009-ben lépett hatályba, a technológiai fejlődés miatt nem meglepő, hogy nem fedik le a manapság ilyen eszközök által gyűjtött adatok minden kategóriáját, mivel csak a retina vagy írisz felvétel, ujjlenyomat, hangminta, kéz- vagy fejforma rögzítése esetén alkalmazhatók. Az újabb törvények már az „egyéb egyedi biológiai minták vagy jellemzők” kiegészítéssel jelentősen tágítja a biometrikus azonosító fogalmát.
A közelmúltban megszavazott kaliforniai Fogyasztói Adatvédelmi Törvény már a biometrikus információ fogalmába sorolja a mozgással kapcsolatos vagy egészségügyi adatokat, ami azt jelenti, hogy a hordható eszközök által gyűjtött adatok minden valószínűség szerint számos új szabály hatálya alá kerülnek majd 2020-tól.
Adatvédelmi szempontból érdekesség, hogy az USA több államában a személyes adatok közé sorolták a biometrikus adatokat, amelyek veszélyeztetése esetén kötelezővé tehetik a szabályozók és az érintett személyek értesítését. A viselhető eszközök egyre nagyobb elterjedésével pedig további jogi és adatvédelmi kockázatok merülhetnek fel, hackerek támadásainak lehetnek kitéve például a gyártók és az adatokat tároló vállalatok is.
Jogszabályi háttér Magyarországon és az Európai Unióban
Korábbi cikkünkben már kifejtettük az IoT eszközök (Internet of Things – Dolgok Internete) használata esetén felmerülő alapvető adatvédelmi és biztonsági aggályokat, a hordható típusok természetükből fakadóan azonban további problémákat vetnek fel. Ilyenek például az okosórák-, szemüvegek, vagy a sportolók felszerelésére vagy testére rögzített készülékek, melyek folyamatosan bekapcsolt állapotban vannak, így hatalmas mennyiségű adatot rögzítenek.
Az aggályok között felmerül az elégtelen felhasználói tájékoztatás és értesítés, elsősorban arról, hogy ki jogosult az adatok kezelésére, mi az adatkezelés célja, meddig tart maga a tárolás, illetve, hogy harmadik személy hozzáférhet-e a rögzített információkhoz. Az értesítés és a tájékoztatás hiánya vagy elégtelensége pedig azt is jelentheti, hogy a beleegyezést nem megfelelő információk birtokában adta meg a felhasználó. A vonatkozó jogszabályok szerint viszont a hozzájárulás megadása az adatkezelés elengedhetetlen feltétele.
Az Európai Unió Adatvédelmi Rendelete (vagyis a GDPR) rögzíti, hogy adatkezelésre csak akkor kerülhet sor „ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez”. A rendelet felsorol pár kifejezett példát a hozzájárulás megadásának módjára, de alkalmas a beleegyezés kifejtésére bármely olyan cselekedet vagy egyéb nyilatkozat, amely az adott összefüggésben az érintett hozzájárulását kifejezi.
Vannak olyan esetek, amikor kötelező a felhasználó hozzájárulása az eszköz/szolgáltatás használatához. Ezek a következők:
- személyes adatok használata, pl.: email, kor vagy tartózkodási hely;
- érzékeny személyes adatainak kezelése, sportolók esetén ilyen például a pulzusszám, tevékenységi adat, alvási adatok, illetve bármely egészségügyi adat.
- felhasználó saját országán (EU esetén – jogilag biztonságosnak ítélt területen) kívüli adattovábbítás;
- fiatalkorúak esetében szükséges (13 éves kor alatti) szülőjüknek vagy gyámjuknak a hozzájárulása.
A GDPR fentebb említett rendelkezéséből kiderül, hogy hozzájárulást adni könnyű, mivel bármilyen módon lehet. Egy IoT eszköz – főleg a sportolóknak fejlesztett kisméretű készülékek – esetében azonban sokkal fontosabb a beleegyezést megelőző megfelelő felvilágosítás nyújtása, mivel előfordulhat, hogy azok kijelzővel nem is rendelkeznek. A jelenlegi adatvédelmi gyakorlatot tekintve egyre gyakrabban okozhatja a felhasználók adatkezelési tájékoztatásának elmaradását a termékek folyamatosan csökkenő mérete. Bevett gyakorlat a gyártók részéről, hogy az eszközhöz csatlakozó okostelefon kijelzőjén jelenítik meg a szükséges információkat és szerzik be a hozzájárulást. Ilyen lehet például egy sportkarkötő és a működtetéséhez szükséges mobiltelefonos applikáció
Az Európai Unió létrehozott egy Adatvédelmi Munkacsoportot, mely ugyancsak aggályait fejezte ki az említett eszközök elterjedésével kapcsolatban, kiemelve annak a veszélyét, hogy a felhasználó elveszítheti az irányítást adatai terjedése felett. A csoport egyik véleményében azt is kifejtette, hogy az IoT felépítése és sajátosságai miatt nem biztosított, hogy az adatkezelés célja, melyet felhasználó tájékoztatásakor közöltek, ugyanaz az indok, mint amelyre az érzékeny személyes adatok gyűjtése megtörtént. A csoport a GDPR alapelveit hangsúlyozta az ilyen eszközökkel kapcsolatban:
- „Privacy by design „vagyis a beépített adatvédelem azt jelenti, hogy a gyártók már a tervezéskor figyelembe veszik az adatvédelmi szempontokat és kockázatokat.
- A gyártók használhatják a termékek csomagolását a szükséges információk feltüntetésére, mellyel a sportolók, felhasználók figyelmét felhívhatják a tudatos használatra. A felhívás történhet képek ikonok formájában, mely egyértelműen mutatja, hogy milyen szenzorokkal, milyen adatokat gyűjt a készülék és meddig tárolja azt.
- Adatminimalizálás elve, amely az eszközt elhagyó adatok mennyiségének csökkentését jelenti. Amennyiben ez nem lehetséges, a limitálásra törekedni kell „az adatgyűjtés lehető legkorábbi pontján”.