Tesla vant i helgen en pris for mobilitet. En pris de neppe syns det er særlig hyggelig å motta.
Den såkalte «BigBrother»-prisen kalles en «Oscar for data-blekkspruter», og gis til myndigheter og organisasjoner i privat sektor som ikke respekterer folks rett til privatliv, ifølge organisasjonens nettside. Nå er Tesla, ved Tesla i Tyskland, på listen over vinnere.
Prisen har blitt delt ut hvert år siden 1998, og deles ut i en rekke land. I Tyskland har den vært delt ut siden 2000.
Det er kanskje ikke så rart at tyskerne er skeptiske til overvåkning og opptatt av personvern. Særlig ikke når man tar i betraktning overvåkningssamfunnet store deler av landets befolkning levde i før 1989.
De har noen av verdens strengeste personvernlover, som blant annet har ført til at landet i stor grad ikke er dekket av tjenester som Google Street View. På Google Maps er det i hovedsak bare de store byene som er dekket av Street View.
Tyskerne er svært beskyttende når det kommer til personsensitiv data. Allerede i 1970 innførte de som første land i verden en persondatalov. I de senere år er EUs personvernforordning modellert etter tysk lovverk.
Så det er ikke overraskende at mange tyskere er skeptiske til biler som ikke bare er konstant tilkoblet internett, men også samler inn data både fra kjøring og fra omgivelsene.
Tvilsom ære
Årets BigBrother-pris har for første gang en kategori for mobilitet, og Tesla får den tvilsomme æren av å være første mottaker.
Samtidig understreker juryen at en pris til Tesla ikke er en «frifinnelse» av tyske og europeiske bilprodusenters omgang med kundedata. Tvert i mot mener det at også disse «stinker», og ser ikke bort fra at flere kan få en pris ved senere anledning.
Tesla var for øvrig ikke eneste prisvinner i helgen. En rekke tyske statlige og delstatlige organer fikk priser, en bedrift som selger et EEG-pannebånd som kan måle konsentrasjonsnivået til barn fikk pris, og Hennes & Mauritz fikk pris for påstått ulovlig innsamling av ansattes opplysninger, for å nevne noen.
«Overvåkningssystemer på fire hjul»
Juryen mener Tesla selger biler som overvåker førerne og området rundt bilen i detalj og over tid, heter det i begrunnelsen. Bilene beskrives som overvåkningssystemer på fire hjul.
Juryen peker spesielt på at «overvåkningsorgien» gjøres mulig av Teslas brukervilkår, som ikke spesifiserer i detalj hva Tesla overvåker eller hvor informasjonen havner. Ordlyden i vilkårene er vag.
Det er videre uklart hvilke data som overføres fra bilen til Tesla, hvilke data som lagres i bilen, og hvilke som overskrives.
«Rettighetene Elon Musks firma tillater seg i vilkårene er praktisk talt ubegrenset. Av hensyn til forbrukerbeskyttelse må det anatas at de har til hensikt å gjøre at som er forklart i vilkårene», skriver de videre, og viser til at du må samtykke til at informasjon om deg og din bruk av bilen overføres til land utenfor ditt hjemland, inkludert USA.
Du kan nekte, men det kan få konsekvenser
Det er riktig nok mulig å nekte Tesla å hente slik data, men i vilkårene skriver de at dette kan føre til at kjøretøyet får begrenset funksjonalitet, alvorlige skader eller blir ubrukelig.
Juryen peker på at bilene under kjøring kan lagre de siste ti minuttene med video fra sine kameraer, og at videoene kan lagres kontinuerlig på en USB-enhet. I tillegg har bilene såkalt «Sentry mode», som kontinuerlig overvåker omgivelsene, og det er nok at en person eller bil passerer nær bilen for at video lagres når den står parkert. Det er ifølge europeiske personvernregler ulovlig, mener de.
Dette kan dessuten åpne for overvåkning gjennom bruk at ansiktsgjenkjenning og skiltgjenkjenning, hevdes det. Juryen viser til et produkt som via USB kontinuerlig kan kjøre skiltgjenkjenning under kjøring, og ansiktsgjenkjenning når bilen er parkert.
Nå er riktig nok dette produktet, kalt Surveillance Detection Scout, paranoid nok i seg selv. Det er utviklet for at du skal kunne finne ut om noen følger etter deg. Men det demonstrerer i det minste noen av mulighetene for overvåkning som finnes i systemet.
Foruten en rekke kameraer på utsiden av bilen, er det også kamera i kupeen til Model 3 og Model Y. Dette er rettet mot menneskene inni bilen, og begrunnelsen er at bilene skal kunne brukes som selvkjørende drosjer i fremtiden. Eieren av bilen vil trolig sette pris på videobevis hvis noen passasjerer skulle finne på å herpe bilen innvendig.
Easee klaget på den norske ladestandarden. Nå gir de opp
– Nevner ikke GDPR
GDPR, eller personvernforordningen på norsk, er de strenge personvernreglene EU innførte i 2018. Hensikten med reglene er styrket personvern og bedre kontroll på behandling av personopplysninger i EU.
Juryen peker på at GDPR ikke er nevnt i Teslas vilkår, og mener at de uansett opererer i strid med GDPR. Informasjon om hva slags data som samles inn, og hva den brukes til, skal være gjøres tilgjengelig med et klart og tydelig språk, ifølge regelverket. Dette mener juryen Tesla synder mot.
I konklusjonen skriver juryen at det er åpenbart at Teslas biler ikke er lovlige i EU. De mener alle som kjøper en Tesla vil være nødt til å deaktivere mange tjenester for at bilen skal være i henhold til regelverket.
De mener også at man ikke bør ta med passasjerer i bilen før det eksisterer en måte for disse å få utlevert data Tesla lagrer om dem.
De mener at personvernmyndighetene må ta en nærmere titt på Tesla.
Juryen understreker at de ikke har noe imot førerstøttesystemer eller semiautonome systemer. Men data fra systemene både kan og bør forbli i kjøretøyet, og overføring begrenses til kun å gjelde helt spesifikke situasjoner som når airbag utløses, mener de.
Tesla: – Mottar bare det nødvendige
I en respons til kritikken, svarer Tesla at dataprosesseringen de gjør er underlagt GDPR. De mottar kun opptak fra kameraene om det har forekommet sikkerhetskritiske hendelser, som en airbag som løses ut, eller er nær å bli løst ut.
I tillegg mottar Tesla data om kundene som frivillig har meldt seg som tidlig mottakere av ny programvare. Dette er frivillig.
Videoopptak fra kameraene anonymiseres alltid, og kan ikke spores tilbake til en individuell bil. Slike opptak brukes for å forbedre førerstøttesystemene, ifølge Tesla. Slike opptak deles kun med Tesla om kunden har aktivert datadeling. Dette er deaktivert som standard.
Det påpekes også at ingen av opptakene som deles med Tesla er kontinuerlige opptak som viser hele kjøreturen. Det deles kun relevante opptak for den aktuelle situasjonen.
Videre viser Tesla til at kameraet inni bilen ikke er aktivt i Model 3 i Europa. Ingen video- eller lydopptak gjøres inni bilen, ifølge Tesla.
De understreker også at opptak fra dashbordkameraet og den såkalte Sentry-modusen kun lagres på kundens USB-lagringsenhet, og at Tesla ikke har noen som helst tilgang til dette.
Innbrudd og ulykker
Det er likevel unntak. Om bilen registrerer et innbrudd, for eksempel ved at et vindu knuses, overføres videoopptaket til Tesla, hvor det lagres i 72 timer. Dette skal fungere som en sikkerhetskopi for kunden.
Tesla viser også til at det er fullt mulig for hvem som helst å kjøpe dashbordkamera, og at det er kundens ansvar å sørge for at kameraovervåkning brukes i henhold til lovverket, med mindre lokal lovgivning forbyr salget av dashbordkamera eller på annen måte overføre ansvaret til selger.
Teslas respons adresserer imidlertid ikke kritikken som handler om spesifikt hvilken data som lagres, hva som kan hentes ut av bilen, og hva som faktisk hentes ut. Ei heller i hvilken grad slike data kan brukes til å kartlegge bilens og dermed eierens bevegelser.
Så skal det også understrekes at eksterne enheter som aktivt kan drive skiltgjenkjenning og ansiktsgjenkjenning så vidt vi vet ikke er installert i Teslas biler. En slik enhet kan like gjerne jobbe med bildedata fra et hvilket som helst kamera, som for eksempel et dashbordkamera fra en tredjepart.
Viktigere å ha kontroll
Datatilsynet mener det er viktig at bilprodusentene følger opp personvernreglene.
– Med mer omfattende avanserte tekniske løsninger følger også mulighetene for å trå feil både når det gjelder å ivareta informasjonssikkerheten , personvernet og det å gi tilstrekkelig og god informasjon til de registrerte. I de tilfeller det ikke er full kontroll på at behandlingen av personopplysningene er korrekt, er det grunn til bekymring, sier Atle Årnes, fagdirektør teknologi i Datatilsynet i en e-post til TU.
Han sier at personvernundersøkelser har vist at forbrukere svarer de ikke er bekymret for personvernet siden Datatilsynet tar seg av dette.
– Det er imidlertid viktig at forbrukerne selv vurderer hva de vil godta av bilprodusentenes behandling av deres personopplysninger. Det er nok slik at forbrukerne dessverre tar for gitt at de store bilprodusentene opptrer korrekt i forhold til behandlingen av deres personopplysninger, skriver Årnes.
Datatilsynet har ikke hatt tilsyn med aktører i bilindustrien siden GDPR-reglene kom i 2018.
Når det gjelder spørsmålet om kameraovervåkning som skjer i bilen, viser Årnes til Datatilsynets veileder for kameraovervåkning som informerer om hva som er lov for virksomheter og privatpersoner.
Ny dom gjør dataoverføring til USA vanskelig
– Når det gjelder data som overføres til Tesla i USA – hvilke implikasjoner kan dette ha?
– Når personopplysninger overføres til USA, som ikke er underlagt personvernforordningsregler, gjelder spesielle krav for overføringen slik at beskyttelsesnivået som gjelder i EØS-området ikke undergraves. Akkurat nå, på grunn av Schrems II-dommen kommer EU-domstolen med tilleggskrav for overføring av personopplysninger til land utenfor EØS (tredjeland). Det vil si at det ikke lenger er tilstrekkelig å bruke et gyldig overføringsgrunnlag slik som EU-kommisjonens standardbestemmelser eller bindende konsernregler (BCR), skriver Årnes.
Schrems II-dommen falt i sommer, og handler om i hvilken grad Facebook kunne overføre informasjon om brukere i Europa til USA. Tidligere har den såkalte Privacy Shield-avtalen mellom USA og EU tillatt dette, under forutsetning om at mottakeren i USA var sertifisert i henhold til Privacy Shield-rammeverket.
Schrems II-dommen opphevet denne avtalen med umiddelbar virkning, og sentralt i spørsmålet stod amerikansk etterretning som har vide hjemler for overvåkning i USA. Det er i praksis ikke mulig å sikre at personvernet opprettholdes når data er overført til USA.
I praksis er det nå i mange tilfeller ulovlig å overføre personopplysninger til USA. Det er opp til dataeier, for eksempel Tesla, å sikre at personopplysninger som overføres til USA oppnår samme beskyttelsesnivå som i EU og EØS.
Schrems II-dommen er for øvrig fyldig dekket av vår søsterpublikasjon Digi.no.
Tesla kutter prisene i flere land
