Dnes, noyb podala tři stížnosti na společnost Fitbit v Rakousku, Nizozemsku a Itálii. Populární společnost zabývající se zdravím a fitness, kterou v roce 2021 koupila společnost Google, nutí nové uživatele své aplikace, aby souhlasili s předáváním údajů mimo EU. V rozporu s právními požadavky není uživatelům ani poskytnuta možnost souhlas odvolat. Místo toho musí svůj účet zcela vymazat, aby zastavili nezákonné zpracování.
- noyb stížnost u rakouské agentury DPA (DE)
- noyb stížnost u nizozemského úřadu DPA (NL)
- Anglický automatický překlad stížnosti u nizozemského DPA
- noyb stížnost u italského orgánu pro ochranu údajů (IT)
Žádný způsob, jak obejít předávání osobních údajů. Při vytváření účtu u společnosti Fitbit jsou evropští uživatelé povinni "souhlasit s předáváním svých údajů do Spojených států a dalších zemí s odlišnými zákony na ochranu osobních údajů". To znamená, že jejich údaje mohou skončit v jakékoli zemi na světě, která nemá stejnou ochranu osobních údajů jako EU. Jinými slovy: Společnost Fitbit nutí své uživatele, aby souhlasili se sdílením citlivých údajů, aniž by jim poskytla jasné informace o možných důsledcích nebo o konkrétních zemích, kam jejich údaje putují. Výsledkem je souhlas, který není svobodný, informovaný ani konkrétní - což znamená, že souhlas zjevně nesplňuje požadavky GDPR.
Vysoce osobní údaje. Podle zásad ochrany osobních údajů společnosti Fitbit sdílené údaje zahrnují nejen takové věci, jako je e-mailová adresa uživatele, datum narození a pohlaví. Společnost může sdílet také "údaje, jako jsou záznamy o jídle, hmotnosti, spánku, vodě nebo sledování ženského zdraví; budík; a zprávy na diskusních fórech nebo vašim přátelům ve službách". Shromážděné údaje mohou být dokonce sdíleny ke zpracování se společnostmi třetích stran, o kterých nevíme, kde se nacházejí. Uživatelé navíc nemohou zjistit, kterých konkrétních údajů se to týká. Všichni tři stěžovatelé uplatnili své právo na přístup k informacím u pověřence pro ochranu osobních údajů společnosti - ale nikdy nedostali odpověď.
Maartje de Graaf, právnička pro ochranu údajů ve společnosti noyb: "Nejprve si koupíte hodinky Fitbit za nejméně 100 eur. Pak se přihlásíte k placenému předplatnému, abyste zjistili, že jste nuceni "svobodně" souhlasit se sdílením svých údajů s příjemci po celém světě. Pět let po zavedení GDPR se společnost Fitbit stále snaží prosadit přístup 'ber, nebo nech být'."
Ber, nebo nech být. Aby si to uživatelé mohli rozmyslet, dává GDPR každé osobě také právo svůj souhlas odvolat. Alespoň teoreticky. Zásady ochrany osobních údajů společnosti Fitbit uvádějí, že jediným způsobem, jak odvolat souhlas, je smazat účet. Pro spotřebitele to znamená ztrátu všech dříve sledovaných tréninků a zdravotních údajů. To platí i v případě, že si zakoupíte prémiové předplatné za 79,99 eur ročně. Ačkoli jsou tyto funkce hlavním důvodem, proč si Fitbit koupit, neexistuje reálný způsob, jak získat zpět kontrolu nad svými údaji, aniž by se výrobek stal nepoužitelným.
Bernardo Armentano, právník pro ochranu osobních údajů ve společnosti noyb: "Společnost Fitbit chce, abyste jí vystavili bianco šek, který jí umožní odesílat vaše údaje kamkoli na světě. Vzhledem k tomu, že společnost shromažďuje ty nejcitlivější zdravotní údaje, je zarážející, že se ani nesnaží vysvětlit jejich použití, jak to vyžaduje zákon."
Masivní přenosy dat nejsou povoleny. I kdyby existoval způsob, jak odvolat souhlas, společnost Fitbit by stejně nedodržela evropské zákony o ochraně osobních údajů. GDPR jasně uvádí, že souhlas lze použít pouze jako výjimku ze zákazu předávání údajů mimo EU - což znamená, že souhlas může být platným právním základem pouze pro příležitostné a neopakující se předávání údajů. Společnost Fitbit však souhlas používá k běžnému sdílení všech zdravotních údajů.
Romain Robert, jeden ze stěžovatelů: "Fitbit může být příjemná aplikace pro sledování vaší kondice, ale jakmile se chcete dozvědět více o tom, jak je s vašimi údaji nakládáno, čeká vás maraton."
Potenciální miliardová pokuta. noyb požaduje, aby rakouský, nizozemský a italský orgán pro ochranu údajů nařídily společnosti Fitbit, aby sdílela všechny povinné informace o předávání údajů se svými uživateli a umožnila jim používat její aplikaci, aniž by museli s předáváním údajů souhlasit. Na základě loňského obratu společnosti Alphabet (mateřská společnost Googlu) by příslušné orgány mohly rovněž udělit pokutu ve výši až 11,28 miliardy eur.
