Device tal til mig.
Men overhold venligst reglerne.
Politikken har den 20. og 21. august 2019 bragt en historie om brug af personoplysninger i taleservicerne fra Apple, Google, Amazon og Microsoft. Det har vist sig, at disse taleservices optager samtaler uden at det oplyste igangsætnings ord har været anvendt. Det vil sige private samtaler, uden at brugeren har vidst at optagelsen skete.
Historien er kun kommet frem fordi medarbejdere anonymt har fortalt om, at de har fået til opgave at transskribere samtaler som tydeligvis var private og ikke henvendt til taleservicen.
Historien er et klassisk eksempel på udbud af produkter, hvor det egentlig ikke burde handle om personoplysninger, men om en tjeneste, som skulle gøre livet nemmere for brugerne.
Men den oplyste indsamling af personoplysninger, efterlader jo en række spørgsmål, om hvorvidt disse taleservices overholder reglerne for behandling af personoplysninger.
Det er også her fokus i historien ligger. Det er forståeligt, da det er en god journalistisk vinkel og naturligvis af stor interesse for alle der får optaget private samtaler m.v. uden deres viden. Og der er da også mange persondataretlige overvejelser man kan gøre sig baseret alene på det der står i artiklerne. Man kan f.eks. overveje hvordan sikkerhedsvurderingerne for disse tjenester ser ud. Der synes at mange nogle passende tekniske foranstaltninger mod uautoriserede optagelser. Om der måske ligefrem er tale om et sikkerhedsbrud, da der jo kan tale om uautoriseret adgang til personoplysninger, er da også interessant at få belyst.
Hvis der ikke er tale om et sikkerhedsbrud, er spørgsmålet om behandlingen af de indsamlede personoplysninger ligger inden for det oplyste formål?
Hvad er egentlig behandlingsgrundlag. Det er da mere end tvivlsomt at man kan bruge legitime interesser her, da den viderebehandling der sker, åbenbart er lagt ud over hvad brugerne kan forvente.
Det må så være samtykke, men er det så et lovligt samtykke?
Det kunne være interessant at få belyst, da der er særligt krav til et samtykke, der står i et omfattende sæt vilkår.
For man skal givet læse mange siders vilkår for at kunne svare på ovenstående spørgsmål. Det interessant ved sager er, at der også er en række andre regler, som kan bruges i spil. Regler som ikke er omtalt i Politikken. For hvad med de køberetlige regler. Der er da meget der tyder på at produkterne lider af en alvorlig mangel? F.eks. fordi en tilsikret funktionalitet ikke er tilstede i produktet.
Hvis det ikke gør det, så bør man se på hvordan de er markedsført. For hvis de kan optage uden at brugeren beder om det, så kan man da godt forestille sig, at markedsføringen er vildledende.
Google smart speaker.
Overholder vilkårene og samtykkes placeringerne reglerne for god markedsføringsskik og artikel 7, stk. 2 i GDPR?
God markedsføringskik stiller måske nogle yderligere krav til placeringen af et samtykke. Det er måske ikke god skik at gemme et samtykke nede i nogle vilkår. Måske stiller god skik – ud over kravene i artikel 7, stk. 2 i GDPR om et klart og tydeligt sprog, krav om at kravet om at samtykke og de væsentligst forhold man samtykke til, skal være en klar og tydelig del af al markedsføringen og produktbeskrivelsen.
Hvis vilkårene er meget amerikanske – f.eks. mange lange og indviklede, så kan man også bringe aftalelovens § 36 på banen. For er der så tale om vilkår, der er så urimelige, at de efter dansk ret vil kunne tilsidesættes helt eller delvist? Hvis ja, så er de også i strid med god markedsføringsskik. Når man udbyder produkter, som baserer sig på behandling af personoplysninger, er det væsentligt at holde sig for øje, at produktet skal overholde de køberetlige, aftaleretlige og markedsføringsretlige regler.
Behandlingen af personoplysningerne skal naturligvis overholde reglerne i GDPR og databeskyttelsesloven m.v., men udover disse regler, er der de regler, der afgøre om et produkt lovligt er bragt i omsætning i Danmark. I den vurdering er den lovlige behandlingen af personoplysninger, kun et – givet vigtigt – element. Men der er mange andre forhold man skal se på.
Selv hvis man formelt set overholder GDPR kravene, herunder kravet til f.eks. samtykke, så kan man godt få markedsført sig på en sådan måde, at det er i strid med god markedsføringskik.
Ja måske endda få markedsført sig på en vildledende måde. Det kan f.eks. ske, hvis man ikke på en klar og tydelig måde gør forbrugeren opmærksom på, præcis hvilke personoplysninger man indsamler, hvad de skal anvendes til og hvorfor disse personoplysninger er nødvendige for at produktet kan fungere.
Brugen af personoplysningerne kan i disse dage været en vigtig egenskab ved produkter og så er vi tilbage ved kravene til en fyldestgørende produktbeskrivelse, som så måske ikke er opfyldt, eller opfyldt fuldt ud.
De persondataretlige regler er specialregler om behandling af personoplysninger, mens de køberetlige og markedsføringsretlige regler er regler som er designet til at yde forbrugerne beskyttelse, når virksomheder markedsføre produkter til dem, herunder digitale produkter.
Disse beskyttelsesregler har efter min opfattelse fået alt for lidt opmærksomhed, da det typisk også eller måske alene vil være overtrådt, når vi taler om produkter med et stort forbrug af personoplysninger.
Så vil man f.eks. sikre sig at ens taleservice overholder alle regler, så er det ikke utænkeligt, at man vil være tvunget til enten at ændre på produkter, eller som det mindst være mere tydelige og ja – ærlig – i den måde man markedsføre taleservicen på.
Det betyder også, at når politikkerne efterlyser regler til regulering af taleservice, så skal de samme politikker blot være opmærksom på, at disse regler skam allerede findes.
Det er måske blot et spørgsmål om at påse, at der er ressourcer nok til at de også kan håndhæves effektivt over for f.eks. store tech giganter.