Днес, ноиб подаде три жалби срещу Fitbit в Австрия, Нидерландия и Италия. Популярната компания за здраве и фитнес, придобита от Google през 2021 г., принуждава новите потребители на своето приложение да се съгласят с прехвърлянето на данни извън ЕС. В противоречие със законовите изисквания на потребителите дори не се предоставя възможност да оттеглят съгласието си. Вместо това те трябва напълно да изтрият профила си, за да спрат незаконната обработка.
- ноиб жалба до австрийската DPA (DE)
- noyb жалба до нидерландската DPA (NL)
- Автоматичен превод на английски език на жалбата до нидерландската DPA
- noyb жалба до италианската DPA (IT)
Няма начин да се заобиколи предаването на лични данни. При създаването на акаунт във Fitbit европейските потребители са задължени да "се съгласят с прехвърлянето на техните данни в САЩ и други държави с различни закони за защита на данните". Това означава, че техните данни могат да попаднат във всяка държава по света, която няма същата защита на личните данни като ЕС. С други думи: Fitbit принуждава потребителите си да се съгласят да споделят чувствителни данни, без да им предоставя ясна информация за възможните последици или за конкретните държави, в които отиват данните им. Това води до съгласие, което не е нито свободно, нито информирано, нито конкретно - което означава, че съгласието очевидно не отговаря на изискванията на GDPR.
Лични данни с висока степен на защита. Според политиката за поверителност на Fitbit споделените данни включват не само неща като имейл адрес, дата на раждане и пол на потребителя. Компанията може да сподели и "данни като дневници за проследяване на храна, тегло, сън, вода или женско здраве; аларма; и съобщения в дискусионни форуми или до вашите приятели в Услугите". Събраните данни могат дори да бъдат споделени за обработка с компании на трети страни, за които не знаем къде се намират. Освен това за потребителите е невъзможно да разберат кои конкретни данни са засегнати. И тримата жалбоподатели упражниха правото си на достъп до информация пред длъжностното лице по защита на данните на дружеството - но така и не получиха отговор.
Маартье де Грааф, юрист по защита на данните в noyb: "Първо, купувате си часовник Fitbit за поне 100 евро. След това се записвате за платен абонамент, само за да разберете, че сте принудени да се съгласите "свободно" да споделяте данните си с получатели по целия свят. Пет години след влизането в сила на GDPR Fitbit все още се опитва да наложи подхода "вземи или остави"."
Вземи или остави. За да са сигурни, че потребителите могат да променят мнението си, GDPR също така дава на всяко лице правото да оттегли съгласието си. Поне на теория. В политиката за поверителност на Fitbit се посочва, че единственият начин за оттегляне на съгласието е да се изтрие профилът. За потребителите това означава да загубят всичките си предишни проследявани тренировки и здравни данни. Това важи дори ако закупите премиум абонамент за 79,99 евро на година. Въпреки че тези функции са основната причина да си купите Fitbit, няма реалистичен начин да си възвърнете контрола върху данните, без да направите продукта си безполезен.
Бернардо Арментано, юрист по защита на данните в noyb: "Fitbit иска от вас да напишете празен чек, който да им позволи да изпращат данните ви навсякъде по света. Като се има предвид, че компанията събира най-чувствителните здравни данни, учудващо е, че тя дори не се опитва да обясни използването на тези данни, както се изисква от закона."
Мащабното прехвърляне на данни не е разрешено. Дори да имаше начин да се оттегли съгласието, Fitbit пак нямаше да спази европейското законодателство за защита на личните данни. В ОРЗД ясно се посочва, че съгласието може да се използва само като изключение от забраната за прехвърляне на данни извън ЕС - което означава, че съгласието може да бъде валидно правно основание само за случайни и неповтарящи се прехвърляния на данни. Fitbit обаче използва съгласието за рутинно споделяне на всички здравни данни.
Ромен Робер, един от жалбоподателите: "Fitbit може и да е приятно приложение за проследяване на физическата ви форма, но щом поискате да научите повече за това как се обработват данните ви, сте обречени на маратон."
Потенциална глоба в размер на милиард долара. noyb иска от австрийския, нидерландския и италианския орган за защита на данните да разпоредят на Fitbit да сподели цялата задължителна информация за предаването на данни с потребителите си и да им позволи да използват приложението му, без да се налага да дават съгласие за предаването на данни. Въз основа на оборота на Alphabet (компанията майка на Google) за миналата година компетентните органи биха могли да издадат и глоба в размер до 11,28 млрд. евро.