Σήμερα, η noyb υπέβαλε τρεις καταγγελίες κατά της Fitbit στην Αυστρία, την Ολλανδία και την Ιταλία. Η δημοφιλής εταιρεία υγείας και φυσικής κατάστασης, που εξαγοράστηκε από την Google το 2021, αναγκάζει τους νέους χρήστες της εφαρμογής της να συναινέσουν σε μεταφορές δεδομένων εκτός ΕΕ. Σε αντίθεση με τις νομικές απαιτήσεις, οι χρήστες δεν έχουν καν τη δυνατότητα να αποσύρουν τη συγκατάθεσή τους. Αντίθετα, πρέπει να διαγράψουν εντελώς τον λογαριασμό τους για να σταματήσουν την παράνομη επεξεργασία.
- noyb καταγγελία με το αυστριακό DPA (DE)
- noyb καταγγελία με την ολλανδική DPA (NL)
- Αγγλική αυτόματη μετάφραση της καταγγελίας με την ολλανδική DPA
- noyb καταγγελία με την ιταλική DPA (IT)
Δεν υπάρχει τρόπος να παρακάμψουμε τη μεταφορά προσωπικών δεδομένων. Κατά τη δημιουργία λογαριασμού στο Fitbit, οι Ευρωπαίοι χρήστες υποχρεούνται να «συμφωνήσουν στη μεταφορά των δεδομένων τους στις Ηνωμένες Πολιτείες και σε άλλες χώρες με διαφορετικούς νόμους περί προστασίας δεδομένων». Αυτό σημαίνει ότι τα δεδομένα τους θα μπορούσαν να καταλήξουν σε οποιαδήποτε χώρα σε όλο τον κόσμο που δεν έχει την ίδια προστασία απορρήτου με την ΕΕ. Με άλλα λόγια: η Fitbit αναγκάζει τους χρήστες της να συναινέσουν στην κοινή χρήση ευαίσθητων δεδομένων χωρίς να τους παρέχει σαφείς πληροφορίες σχετικά με πιθανές επιπτώσεις ή τις συγκεκριμένες χώρες στις οποίες πηγαίνουν τα δεδομένα τους. Αυτό οδηγεί σε μια συναίνεση που δεν είναι ούτε δωρεάν, ενημερωμένη ή συγκεκριμένη – πράγμα που σημαίνει ότι η συγκατάθεση σαφώς δεν πληροί τις απαιτήσεις του GDPR.
Εξαιρετικά προσωπικά δεδομένα. Σύμφωνα με την πολιτική απορρήτου της Fitbit, τα κοινά δεδομένα δεν περιλαμβάνουν μόνο στοιχεία όπως τη διεύθυνση email ενός χρήστη, την ημερομηνία γέννησης και το φύλο. Η εταιρεία μπορεί επίσης να μοιράζεται «δεδομένα όπως αρχεία καταγραφής για φαγητό, βάρος, ύπνο, νερό ή παρακολούθηση της υγείας των γυναικών. ένας συναγερμός? και μηνύματα σε πίνακες συζητήσεων ή στους φίλους σας στις Υπηρεσίες». Τα δεδομένα που συλλέγονται μπορούν ακόμη και να κοινοποιηθούν για επεξεργασία με τρίτες εταιρείες των οποίων δεν γνωρίζουμε πού βρίσκονται. Επιπλέον, είναι αδύνατο για τους χρήστες να βρουν ποια συγκεκριμένα δεδομένα επηρεάζονται. Και οι τρεις καταγγέλλοντες άσκησαν το δικαίωμά τους πρόσβασης σε πληροφορίες με τον Υπεύθυνο Προστασίας Δεδομένων της εταιρείας – αλλά ποτέ δεν έλαβαν απάντηση.
Maartje de Graaf, Δικηγόρος Προστασίας Δεδομένων στο noyb : «Πρώτα, αγοράζετε ένα ρολόι Fitbit για τουλάχιστον 100 ευρώ. Στη συνέχεια, εγγράφεστε για μια συνδρομή επί πληρωμή, μόνο για να διαπιστώσετε ότι είστε αναγκασμένοι να συμφωνήσετε «ελεύθερα» στην κοινή χρήση των δεδομένων σας με παραλήπτες σε όλο τον κόσμο. Πέντε χρόνια μετά τον GDPR, η Fitbit εξακολουθεί να προσπαθεί να επιβάλει μια προσέγγιση «πάρε το ή άφησέ το».
Πάρτε το ή αφήστε το. Για να διασφαλιστεί ότι οι χρήστες μπορούν να αλλάξουν γνώμη, ο GDPR δίνει επίσης σε κάθε άτομο το δικαίωμα να αποσύρει τη συγκατάθεσή του. Τουλάχιστον στη θεωρία. Η πολιτική απορρήτου της Fitbit αναφέρει ότι ο μόνος τρόπος ανάκλησης της συγκατάθεσης είναι η διαγραφή ενός λογαριασμού. Για τους καταναλωτές, αυτό σημαίνει ότι χάνουν όλες τις προπονήσεις και τα δεδομένα υγείας που είχαν παρακολουθήσει προηγουμένως. Αυτό ισχύει ακόμη και αν αγοράσετε μια premium συνδρομή για 79,99 ευρώ ετησίως. Αν και αυτές οι δυνατότητες είναι ο κύριος λόγος για να αγοράσετε ένα Fitbit, δεν υπάρχει ρεαλιστικός τρόπος να ανακτήσετε τον έλεγχο των δεδομένων σας χωρίς να αχρηστεύσετε το προϊόν σας.
Bernardo Armentano, Δικηγόρος Προστασίας Δεδομένων στο noyb : «Η Fitbit θέλει να γράψετε μια λευκή επιταγή, επιτρέποντάς της να στείλει τα δεδομένα σας οπουδήποτε στον κόσμο. Δεδομένου ότι η εταιρεία συλλέγει τα πιο ευαίσθητα δεδομένα υγείας, είναι εκπληκτικό το γεγονός ότι δεν προσπαθεί καν να εξηγήσει τη χρήση τέτοιων δεδομένων, όπως απαιτεί ο νόμος».
Δεν επιτρέπεται η μαζική μεταφορά δεδομένων. Ακόμα κι αν υπήρχε τρόπος ανάκλησης της συγκατάθεσης, η Fitbit δεν θα συμμορφωνόταν με την ευρωπαϊκή νομοθεσία περί απορρήτου. Ο GDPR δηλώνει ξεκάθαρα ότι η συγκατάθεση μπορεί να χρησιμοποιηθεί μόνο ως εξαίρεση από την απαγόρευση μεταφοράς δεδομένων εκτός ΕΕ – πράγμα που σημαίνει ότι η συγκατάθεση μπορεί να είναι έγκυρη νομική βάση μόνο για περιστασιακές και μη επαναλαμβανόμενες μεταφορές δεδομένων. Η Fitbit, ωστόσο, χρησιμοποιεί τη συγκατάθεση για να κοινοποιεί όλα τα δεδομένα υγείας τακτικά.
Romain Robert, ένας από τους καταγγέλλοντες: "Το Fitbit μπορεί να είναι μια καλή εφαρμογή για να παρακολουθείτε τη φυσική σας κατάσταση, αλλά μόλις θέλετε να μάθετε περισσότερα για τον τρόπο χειρισμού των δεδομένων σας, είστε αναγκασμένοι σε έναν μαραθώνιο."
Πιθανό πρόστιμο δισεκατομμυρίων δολαρίων. Η noyb ζητά από την Αυστριακή, την Ολλανδική και την Ιταλία DPA να διατάξουν τη Fitbit να κοινοποιήσει όλες τις υποχρεωτικές πληροφορίες σχετικά με τις μεταφορές με τους χρήστες της και να τους επιτρέψει να χρησιμοποιούν την εφαρμογή της χωρίς να χρειάζεται να συναινέσουν στις μεταφορές δεδομένων. Με βάση τον κύκλο εργασιών της Alphabet (μητρικής εταιρείας της Google) τον περασμένο χρόνο, οι αρμόδιες αρχές θα μπορούσαν επίσης να εκδώσουν πρόστιμο έως και 11,28 δισ. ευρώ.