Tillsyn av Googles språkassistent med forum shopping

Att använda en smart assistent som Siri, Alexa eller Google Assistent kan leda till stora risker för den personliga integriteten. Nu utmanas IT-jättarnas användning av sådana assistenter i Tyskland.

Hamburgs tillsynsmyndighet för dataskydd har öppnat ett tillsynsärende mot Google. Föremålet för tillsynen är att Google låter människor analysera inspelningar som görs av Google Assistent, Googles smarta assistent. En genomsnittlig användare av Google Assistent skulle inte förvänta sig att en människa avlyssnar de delvis mycket privata upptagningar som görs av assistenten. Inte heller skulle de förvänta sig att upptagningarna lagras. Därutöver kan inspelningarna innehålla mycket känsliga personuppgifter.

Googles förklaring för användningen är att företaget vill förbättra den artificiella intelligensen som ligger bakom Google Assistent genom att tillföra systemet input från de mänskliga redaktörerna.

GDPR och forum shopping

Men varför kan Hamburgs tillsynsmyndighet för dataskydd bedriva tillsyn mot Google? Finns det inte regler som säger att det är den irländska tillsynsmyndigheten som är ansvarig i det här fallet, eftersom Google har sitt huvudsakliga verksamhetsställe i Irland? Det stämmer! Reglerna för den så kallade ”one-stop-shop” återfinns i artikel 56 GDPR.

Men under exceptionella omständigheter får en berörd tillsynsmyndighet avvika från one-stop-shop-mekanismen och vidta provisoriska åtgärder (artikel 66 GDPR). Dessa åtgärder ska vara avsedda att ha rättsverkan på det egna territoriet. De ska också ha en förutbestämd varaktighet som inte överskrider tre månader.

Sådana exceptionella omständigheter föreligger om tillsynsmyndigheten anser att det finns ett brådskande behov av att agera för att skydda registrerades rättigheter och friheter. Och det är precis sådana omständigheter som tillsynsmyndigheten i Hamburg har åberopat i detta fall.

Länk till pressmeddelandet från Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.

Vad innebär detta för min verksamhet?

Även om ert huvudsakliga verksamhetsställe ligger i ett land där tillsynsmyndigheten inte är känd för en hård tillsyn kan ett tillsyn öppnas av ett annat lands tillsynsmyndighet. Om ni till exempel är verksamma i Tyskland, Frankrike, Polen eller Storbritannien är det inte otänkbart att tillsynsmyndigheterna där använder sig av samma förfaranden som i det här fallet.

Vad kan jag göra nu?

Det finns några saker för att påverka vilka medel tillsynsmyndigheter i andra europeiska länder kan nyttja mot en verksamhet. En sådan möjlighet är att genomföra konsekvensbedömningar för dataskydd i samråd med den behöriga tillsynsmyndigheten. Kontakta gärna oss, om du vill veta mer.

–Sebastian Arnoldt, sebastian@techlaw.se, 070 403 0353

Att använda en smart assistent som Siri, Alexa eller Google Assistent kan leda till stora risker för den personliga integriteten. Nu utmanas IT-jättarnas användning av sådana assistenter i Tyskland.

Hamburgs tillsynsmyndighet för dataskydd har öppnat ett tillsynsärende mot Google. Föremålet för tillsynen är att Google låter människor analysera inspelningar som görs av Google Assistent, Googles smarta assistent. En genomsnittlig användare av Google Assistent skulle inte förvänta sig att en människa avlyssnar de delvis mycket privata upptagningar som görs av assistenten. Inte heller skulle de förvänta sig att upptagningarna lagras. Därutöver kan inspelningarna innehålla mycket känsliga personuppgifter.

Googles förklaring för användningen är att företaget vill förbättra den artificiella intelligensen som ligger bakom Google Assistent genom att tillföra systemet input från de mänskliga redaktörerna.

GDPR och Forum shopping

Men varför kan Hamburgs tillsynsmyndighet för dataskydd bedriva tillsyn mot Google? Finns det inte regler som säger att det är den irländska tillsynsmyndigheten som är ansvarig i det här fallet, eftersom Google har sitt huvudsakliga verksamhetsställe i Irland? Det stämmer! Reglerna för den så kallade ”one-stop-shop” återfinns i artikel 56 GDPR.

Men under exceptionella omständigheter får en berörd tillsynsmyndighet avvika från one-stop-shop-mekanismen och vidta provisoriska åtgärder (artikel 66 GDPR). Dessa åtgärder ska vara avsedda att ha rättsverkan på det egna territoriet. De ska också ha en förutbestämd varaktighet som inte överskrider tre månader.

Sådana exceptionella omständigheter föreligger om tillsynsmyndigheten anser att det finns ett brådskande behov av att agera för att skydda registrerades rättigheter och friheter. Och det är precis sådana omständigheter som tillsynsmyndigheten i Hamburg har åberopat i detta fall.

Länk till pressmeddelandet från Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.

Vad innebär detta för min verksamhet?

Även om ert huvudsakliga verksamhetsställe ligger i ett land där tillsynsmyndigheten inte är känd för en hård tillsyn kan ett tillsyn öppnas av ett annat lands tillsynsmyndighet. Om ni till exempel är verksamma i Tyskland, Frankrike, Polen eller Storbritannien är det inte otänkbart att tillsynsmyndigheterna där använder sig av samma förfaranden som i det här fallet.

Vad kan jag göra nu?

Det finns några saker för att påverka vilka medel tillsynsmyndigheter i andra europeiska länder kan nyttja mot en verksamhet. En sådan möjlighet är att genomföra konsekvensbedömningar för dataskydd i samråd med den behöriga tillsynsmyndigheten. Kontakta gärna oss, om du vill veta mer.

–Sebastian Arnoldt, sebastian@techlaw.se, 070 403 0353

Söker du en expert inom IT, teknik och digitalisering?