A Sonos ellen egy technológiai ügyekre specializálódott jogász, George Gardiner nyújtott be panaszt a brit adatvédelmi hatósághoz, kifogásolva, hogy a cég túlzott mennyiségű személyes adatot próbál begyűjteni ügyfeleitől, ennek megtagadására pedig nem ad számukra érdemi lehetőséget, formálissá téve a felhasználók beleegyezését. A beadvány szerint a Sonos sadtvédelmi szabályai ellentétesek a GDPR rendelkelzéseivel és azok helyi implementációjával: a gyártó termékei nem felelnek meg a tervezéskor elvárható adatvédelmi feltételeknek (privacy-by-design), és a felhasználókkal szabálytalan módon akarják elfogadtatni a szerződés változtatásait.

A dolog lényege röviden annyi, hogy a Sonos még 2017 nyarán, bizonyos hang alapú szolgáltatások elindításakor úgy változtatta meg a szóban forgó feltételeket, hogy azok lehetőséget adjanak a korábbinál több adat beszippantására, Ezt nyilván senkinek sem volt kötelező elfogadnia, ám ezzel együtt le kellett mondani a későbbi szoftveres frissítések letöltésének lehetőségéről is, amivel egyebek mellett az audiorendszereket vezérlő applikáció is használhatatlanná vált. Gardiner szerint a meglehetősen drága eszközökbe való befektetés és a biztonsági kockázatok együttesen azt eredményezték, hogy a felhasználók kénytelenek voltak beadni a derekukat.

Mostantól mindig így volt

A panaszban az ügyvéd kifogásolja az adatvédelmi szabályzat praktikusan kötelező érvényű megváltoztatását, ami nem volt tekintettel a több mint 3 ezer fontot érő eszközök vásárlóinak tényleges beleegyezésére, ráadásul az összes új szabály egyetlen kattintással való elfogadtatása ugyancsak olyan mindent vagy semmit játék, ami szembe megy a GDPR rendelkezéseivel. A Sonos ezzel begyűjthette a neveket, email- és IP-címeket vagy a "sütik és ahhoz hasonló technológiák által továbbított adatokat", de szó volt például a kontrollerek típusáról, a tartalmak forrásaként használt gépek operációs rendszeréről és más információkról is.

A Sonos mindehhez azt a magyarázatot fűzte, hogy a fenti adatokra szüksége van a termékek teljesítményének és funkcionalitásának további biztosításához, illetve a különféle szolgáltatásokkal való interakciójához. Ez az indoklás Gardiner szerint úgy billeg, mint a háromlábú kecske, hiszen az eszközök 2017 augusztusa előtt is kifogástalanul működtek, és az új hangfelismerő szolgáltatások használata sem magától értetődő – főleg, hogy ezeket nehéz úgy eladni, mint ami feltétlenül szükséges a korábban is kezelt rendszerek használatához.

A jogász egyébként úgy látja, hogy egy-egy eszközt nyilván meg lehet tervezni olyan funkcionalitással, ami megköveteli a hatalmas felhasználói adatcsomag begyűjtését, de ugyanígy meg lehet tervezni olyan módon is, hogy sokkal kevesebb adatra legyen szüksége – egy pedig kizárólag a gyártókon múlik. A kifogások alapja itt annyi, hoyg a jelen felállásban a Sonos részletes profilt építhet a felhasználókról, ezt pedig a cég szolgáltatásaihoz tartozó felhasználói fiókhoz vagy akár harmadik félnél működő fiókokhoz lehet kapcsolni.

Egyelőre biztosak magukban

Gardiner megpróbálta megszerezni a Sonostól mindazokat az adatokat, amelyeket ezidáig begyűjtöttek róla, de a vállalat ezt nem volt hajlandó biztosítani. Az adatvédelmi hatóságnál most azt próbálja elérni, hogy mind magát az adatgyűjtést, mind a felhasználói feltételek zsarolásra emlékeztető megváltoztatását nyilvántsa szabálytalannak, és kötelezze arra a Sonost, hogy az összes így szerzett információt törölje a rendszeréből. A Sonos egyelőre beleállt a dologba, és közölte, hogy eddig sem bocsátotta áruba, illetve a jövőben sem fogja értékesíteni a felhasználói adatokat. Emellett megerősítették azt az álláspontjukat, hogy az adatgyűjtésre szükség van az eszközök további működéséhez.

A cég közleményében a legérdekesebb az utoldó mondat, amely szerint nem csak félelmetesen komolyan veszik a felhasználók adatainak védelmét, de saját szabályaikat a legújabb, aktuális törvényeknek megfelelően alakították ki. Ilyesmit viszont a GDPR alkalmazásának kezdete óta csak nagyon kevesen állíthatnak teljes bizonyossággal, így ebben az esetben is csak most fog kiderülni, hogy a fenti gyakorlat valóban megfelel-e az aktuális európai szabályozásnak. Bár az ügy látszólag nem különösebben érdekes, a beszámolók szerint érdemes lesz odafigyelni a brit adatvédelmi hatóság döntésére, mert az több kérdésben, így a "privacy-by-design" szempontjából is iránymutató lesz.