Datatilsynet med skarp kritik af Erhvervsstyrelsen: Optog samtaler i årevis uden samtykke

Du har helt ret i at Nordnet gerne må optage samtaler uden samtykke.

I min banks fortolkning giver denne bestemmelse dem hjemmel til at optage alle ind- og udgående telefonsamtaler. Jeg ved ikke, om den holder i byretten.

Ved et tilfælde fandt jeg ud af, at banken også optager såkaldte “serviceopkald”, dvs. når de uopfordret ringer til kunder, der ikke har givet samtykke til at blive ringet op i salgsøjemed. Ved den slags opkald er det som udgangspunkt ulovligt for dem at forsøge at sælge noget (herunder værdipapirer).

@Gert det er ikke ualmindeligt at der laves databehandleraftaler med renovationsfirmaer der destruere/makulerer personfølsomme data.

Instruktionen i disse databehandleraftaler er at data skal destrueres, og data ikke må benyttes til andre formål. Det er ikke til at vide, hvad der står i den præcise databehandleraftale mellem Marius Pedersen og Falck, men forhåbentlig står der, at behandlingsformålet er destruktion.

Og ja, du har ret der fremgår af vilkårene, at der er underdatabehandlere i Indien, USA og Global (hvad så end det måtte dække over). Det fremgår dog, at det er support-funktioner der varetages herfra. Det kunne være interressant at spørge Falck præcist hvilke oplysninger der havner hos disse underdatabehandlere, for jeg tvivler egentlig på, om personoplysningerne rent faktisk havner hos disse support funktioner.

I forhold til deres databehandlere, så finder jeg heller ikke setuppet hverken alarmerende eller specielt anderledes end hvad man kunne forvente. Falck kan jo af gode grunde ikke selv udvikle database soft- og hardwareløsninger til opgaven, men benytter Microsofts løsninger.

Det største problem er vel den generelle natur af beskrivelsen.

Feks. får Marius Pedersen overleveret det biologiske materiale, som skal destrueres. Men der er ingen som helst grund til at de skal have andre oplysninger.

Det får de nok heller ikke, men vi kan ikke vide det. Vi kan jo se hvordan generelle tilladelser er blevet misbrugt i mobil-apps.

Og så er der selvfølgelig de principielle problemer med at overlade følsomme oplysninger til usikkert 3. land. dvs. Indien og USA (Microsoft).

@Tobias Det er et yderst interessant spørgsmål. Datatilsynet har ikke offentliggjort afgørelser af den type.

Da Datatilsynet i november udgav vejledningen omkring optagelse af telefonsamtaler, der skrev de samtidig at forventede at komme med en "vejledning omkring optagelsen af andre former for samtaler, herunder f.eks. optagelse af møder på Zoom, Skype, Teams o.l."

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/nov/ny-vejledende-tekst-om-optagelse-af-telefonsamtaler

Mig bekendt er der ikke kommet sådan en vejledning endnu.

Umiddelbart vil mit bud være, at der gælder de samme regler som ved optagelse af telefonsamtaler, dvs. hovedreglen er SAMTYKKE.

Det der gør dit spørgsmål interessant er, om en arbejdsgiver kan optage en sådan videosamtale med andre hjemler end samtykke?

Som det fremgår af Datatilsynets vejledning om "Databeskyttelse i forbindelse med ansættelsesforhold", så har en arbejdsgiver lidt videre rammer, og jeg kan bestemt ikke afvise, at en arbejdsgiver kan have en særlig interesse i, at optage videosamtaler.

https://www.datatilsynet.dk/Media/0/8/Vejledning%20om%20databeskyttelse%20i%20forbindelse%20med%20ans%C3%A6ttelsesforhold.pdf

Hvis det ikke er tilfældet, hvilket jo må være op til Datatilsynets afgørelse, så vil den almindelige praksis omkring samtykker være gældende. Som du selv er inde på, så vil sådan et samtykke jf. Datatilsynets praksis for samtykker skulle indhentes som en frivillig og utvetydig viljetilkendesgivelse.

Hvis jeg var dig, ville jeg prøve at kontakte Datatilsynet og spørge til status på den vejledning de forvente at lave på området.

Er der nogen der ved hvordan det forholder sig med optagelse af video opkald? Jeg har hørt at i nogen virksomheder er det praksis at optage alle video møder f.eks. Har man som medarbejder ikke nogen beskyttelse her? Der er jo ikke noget reelt samtykke når chefen kalder ind til zoom møde og optager det, hvis man siger nej tak kan man risikere en fyreseddel så det er jo en form for pression der burde invalidere et evt. 'samtykke'.

@Rune, efter at have løbet vilkårene hurtigt igennem, så synes jeg ikke der er noget dybt alarmerende ved de privatlivsvilkår du har linket til.

De bærer præg af at være flækket hurtigt sammen, og jeg håber ikke Falck har betalt en advokat for lave dem, men overordnet set er der ikke noget fundamentalt galt med vilkårene.

Jeg vil tillade mig, at vende det lidt om, og stille spørgsmålet, hvordan skulle Falck kunne løse opgaven med at foretage Kvicktest, hvis de ikke må behandle dine data?

I forhold til deres databehandlere, så finder jeg heller ikke setuppet hverken alarmerende eller specielt anderledes end hvad man kunne forvente. Falck kan jo af gode grunde ikke selv udvikle database soft- og hardwareløsninger til opgaven, men benytter Microsofts løsninger.

Man kunne godt have en teoretisk diskussion om Falck lever op til deres oplysningsforpligtigelse jf. Persondataforordningens artikel 13, når du ikke får tid til at læse vilkårene igennem inden der sker en behandling, men spurgte du, om du måtte få mere tid til at læse dem?

Der er dog ét punkt som jeg finder bekymrende, uden det dog har betydning for selve behandlingsgrundlaget, da de har det på plads jf. deres beskrivelse af artikel 6(1)(C), 9(2)(h) og 9(2)(i) samt lex specialis i sundhedslovgivningen.

Men Falcks interesseafvejninger efter artikel 6(1)(f), er noget forvrøvlet sludder.

"For behandling baseret på vores legitime interesse, har vi her bl.a. lagt vægt på:

1. Vores interesse i at behandle oplysninger for at dokumentere vores overholdelse af lovgivningen.
2. Vores interesse i at give dig adgang til et testcertifikat og oplysninger om vores behandling af dine personoplysninger via SMS, for at forøge din brugeroplevelse.
3. Hvis tests faciliteret af arbejdsgiver/skoleledelse: Vores interesse i at videregive information til din arbejdsgiver/skoleledelse, med henblik på at sikre hurtig og effektiv smitteinddæmning."

Det bør Falck få slettet, da deres formål ikke bliver hjemlet af en interesseafvejning, men af de forpligtigelser der ligger i lovgivningen og af den (de) kontrakte(r) de har indgået.

Jeg tvivler dog stærkt på, at det vil resultere i kritik fra Datatilsynet, men det får Falck til at fremstå en smulle fjollede.

Er der nogen der kan udrede om følgende ligger inden for GDPR.

Falk står for kvik test. Ved indtjek bliver man gjort opmærksom på at man modtager 2 sms’er den ene kommer med det samme og omhandler privatlivspolitik den anden er svaret. I realiteten bliver man indkaldt til tjek øjeblikkeligt og har ikke mulighed for at gennemgå “privatlivs politikken”. Den ser således ud (personligt synes jeg den virker alarmerende, men har svært ved at vurderer hvor meget), især samarbejdspartner delen:https://www.falck.dk/globalassets/covid-19-pdfer/danish-amb-privacy-notice-covid-19-company-test_falck_-antigentest-v.1-da.pdf

@Lars, det er helt korrekt, at du som privat borger - som udgangspunkt - ikke er underlagt reglerne i Persondataforordningen (GDPR).

Som du selv er inde på, så gælder Persondataforordningens regler for Virksomheder, foreninger, fonde og myndigheder.

Hvis du som privatperson ønsker at optage en samtale, så skal du sørge for at du kun optager samtaler som du selv deltager i, da det ellers vil være en hemmelig optagelse der kan være i strid med Straffelovens § 263.

Du skal dog også være opmærksom på, at du ikke må offentliggøre samtalen du har optaget.

Du har helt ret i at Nordnet gerne må optage samtaler uden samtykke. Det sker, som du er inde på, fordi det er den eneste måde at dokumentere en aftale på. Aktiehandler går stærkt og derfor er handel med værdipapirer én af de få undtagelser, hvor optagelse af samtaler uden samtykke er inden for skiven ifølge Datatilsynet.

Et andet eksempel hvor samtaler må optages uden samtykke er via 112 og 114.

Datatilsynet lavede i november 2020 en ganske glimrende vejledning på området https://www.datatilsynet.dk/Media/B/F/Optagelse%20af%20telefonsamtaler.pdf

Det skal dog bemærkes, at det der står i den vejledning, for en stor dels vedkommende, har været praksis siden den første afgørelse på området helt tilbage i 2003.

I forhold til om et argument om kunne dokumentere korrekt vejledning fra det offentlige, så har Datatilsynet i den konkrete afgørelse været inde og underkende dette. Jeg kan forstå på Erhvervsstyrelsens udtalelse til Version2, at det har styrelsen åbenbart ikke selv opdaget

Jeg har altid fået at vide at optagelse af samtaler - telefon- såvel som "almindelige" - var lovligt så længe at blot den ene part i samtalen vidste det, og når den der optager selv er part i samtalen er den betingelse jo opfyldt.

Borgerne bør kunne henvende sig til en offentlig myndighed, uden at blive optaget til forskellige formål.

At tale om "Kvalitetsikring", mere end antyder at sletningen efter 96 timer, er noget, som man justerer efter forgodtbefindende.

Nu prøver Erhvervsstyrelsen sig med en alternativ forklaring:

Styrelsen hæfter sig dog ved, at Datatilsynet ikke har lagt vægt på, at styrelsen som offentlig forvaltningsmyndighed har et særligt ansvar for at sørge for, at styrelsens vejledning af borgerne og virksomhederne er korrekt

Det er en lidt for gennemskuelig undskyldning, da optagelserne blev slettet efter96 timer. Om man giver de rigtige oplysninger, det skulle man også gerne kunne finde i de oplysninger som bliver skrevet ned efter reglerne om notatpligt.

Jeg har altid fået at vide at optagelse af samtaler - telefon- såvel som "almindelige" - var lovligt så længe at blot den ene part i samtalen vidste det, og når den der optager selv er part i samtalen er den betingelse jo opfyldt.

Er det lavet om? Eller gælder der bare andre regler for firmaer?

Nordnet (så vidt jeg husker) gør det samme på en ordretelefon, hvor VIP-kunder kan ringe ind for at lægge børsordrer. Her var der også nogen, som klagede, men udfaldet af den blev, at Nordnet gerne måtte optage samtaler uden samtykke, fordi årsagen var med henblik på at kunne dokumentere ordrer ( + der er en masse særlovgivning, bl.a. hvidvask, som nok hjemler en sådan optagelse).

Så ville det være nok, hvis Erhversstyrelsen blot anvendte en anden begrundelse? Altså ikke, at det sker mhp. "kvalitetssikring", men af hensyn til at kunne "dokumentere korrekt vejledning fra det offentlige"?

Det skal jeg ikke kunne svare på — men så skal de selvfølgelig være opmærksom på, at hvis de anvender samtalerne til andet end dokumentation af vejledning, fx for at overvåge truende adfærd, ja men så må det nye formål ikke være i uoverensstemmelse med det oprindelige indsamlingsformål — så pointen er, at det nok i alle tilfælde ville kræve et samtykke fra borgeren.

Det, der adskiller Nordnet fra Erhvervsstyrelsen, er formentlig, at Nordnets formål er langt mere snævert og præcist defineret — hvorimod Erhvervsstyrelsens formål virker til at kunne være alt i verden; inklusiv at flytte visse samtaler over i separate systemer i en udefineret periode for at kunne politianmelde.