Tänään, noyb teki kolme valitusta Fitbitistä Itävallassa, Alankomaissa ja Italiassa. Suosittu terveys- ja kuntoiluyritys, jonka Google osti vuonna 2021, pakottaa sovelluksensa uudet käyttäjät antamaan suostumuksensa tietojen siirtoon EU:n ulkopuolelle. Vastoin lakisääteisiä vaatimuksia käyttäjille ei edes anneta mahdollisuutta peruuttaa suostumustaan. Sen sijaan heidän on poistettava tilinsä kokonaan lopettaakseen laittoman käsittelyn.
- noyb valitus Itävallan tietosuojaviranomaiselle (DE)
- noyb valitus Alankomaiden tietosuojaviranomaiselle (NL)
- Alankomaiden tietosuojaviranomaiselle tehdyn valituksen automaattinen englanninkielinen käännös
- noyb kantelu Italian tietosuojaviranomaiselle (IT)
Henkilötietojen siirtoa ei voi kiertää. Kun eurooppalaiset käyttäjät luovat tilin Fitbitille, heidän on "hyväksyttävä tietojensa siirto Yhdysvaltoihin ja muihin maihin, joissa on erilainen tietosuojalainsäädäntö". Tämä tarkoittaa, että heidän tietonsa voivat päätyä mihin tahansa maahan ympäri maailmaa, jossa ei ole samanlaista yksityisyyden suojaa kuin EU:ssa. Toisin sanoen: Fitbit pakottaa käyttäjänsä suostumaan arkaluonteisten tietojen jakamiseen antamatta heille selkeitä tietoja mahdollisista seurauksista tai siitä, mihin maihin heidän tietonsa päätyvät. Tämä johtaa suostumukseen, joka ei ole vapaa, tietoinen eikä erityinen - mikä tarkoittaa, että suostumus ei selvästikään täytä GDPR:n vaatimuksia.
Erittäin henkilökohtaiset tiedot. Fitbitin tietosuojakäytännön mukaan jaettuihin tietoihin eivät kuulu ainoastaan käyttäjän sähköpostiosoite, syntymäaika ja sukupuoli. Yritys voi myös jakaa "tietoja, kuten lokitietoja ruoan, painon, unen, veden tai naisten terveyden seurannasta; hälytyksen; ja viestejä keskustelupalstoilla tai ystävillesi palveluissa". Kerättyjä tietoja voidaan jopa jakaa käsittelyä varten kolmansille osapuolille, joista emme tiedä, missä ne sijaitsevat. Käyttäjien on lisäksi mahdotonta saada selville, mihin tiettyihin tietoihin ne vaikuttavat. Kaikki kolme kantelijaa käyttivät oikeuttaan saada tietoja yrityksen tietosuojavastaavalta - mutta eivät koskaan saaneet vastausta.
Maartje de Graaf, tietosuojalakimies noyb: "Ensin ostat Fitbit-kellon vähintään 100 eurolla. Sitten rekisteröidyt maksulliseen tilaukseen ja huomaat, että sinun on pakko "vapaasti" suostua tietojesi jakamiseen vastaanottajien kanssa ympäri maailmaa. Viisi vuotta yleisen tietosuoja-asetuksen jälkeen Fitbit yrittää yhä pakottaa sinut noudattamaan "ota tai jätä" -lähestymistapaa."
Ota tai jätä. Varmistaakseen, että käyttäjät voivat muuttaa mielensä, GDPR antaa jokaiselle henkilölle myös oikeuden peruuttaa suostumuksensa. Ainakin teoriassa. Fitbitin tietosuojakäytännössä todetaan, että ainoa tapa peruuttaa suostumus on poistaa tili. Kuluttajille tämä tarkoittaa, että he menettävät kaikki aiemmin seuratut harjoitukset ja terveystiedot. Tämä pätee jopa silloin, jos ostaa premium-tilauksen 79,99 eurolla vuodessa. Vaikka nämä ominaisuudet ovat tärkein syy ostaa Fitbit, ei ole realistista tapaa saada tietonsa takaisin hallintaan tekemättä tuotteesta hyödytöntä.
Bernardo Armentano, tietosuojalakimies noyb: "Fitbit haluaa, että kirjoitat tyhjän shekin, jonka avulla he voivat lähettää tietojasi minne tahansa maailmassa. Kun otetaan huomioon, että yritys kerää arkaluonteisimpia terveystietoja, on hämmästyttävää, ettei se edes yritä selittää näiden tietojen käyttöä, kuten laki edellyttää."
Massiiviset tiedonsiirrot eivät ole sallittuja. Vaikka suostumuksen voisi peruuttaa, Fitbit ei silti noudattaisi eurooppalaista tietosuojalainsäädäntöä. Yleisessä tietosuoja-asetuksessa todetaan selvästi, että suostumusta voidaan käyttää vain poikkeuksena EU:n ulkopuolelle suuntautuvia tiedonsiirtoja koskevasta kiellosta - mikä tarkoittaa, että suostumus voi olla pätevä oikeusperusta vain satunnaisille ja ei-toistuville tiedonsiirroille. Fitbit kuitenkin käyttää suostumusta kaikkien terveystietojen rutiininomaiseen jakamiseen.
Romain Robert, yksi kantelijoista: "Fitbit voi olla mukava sovellus, jolla voi seurata kuntoaan, mutta kun haluaa tietää lisää siitä, miten tietoja käsitellään, on edessä maraton."
Mahdollinen miljardin dollarin sakko. noyb pyytää Itävallan, Alankomaiden ja Italian tietosuojaviranomaisia määräämään Fitbitin jakamaan kaikki pakolliset tiedot siirroista käyttäjilleen ja antamaan heille mahdollisuuden käyttää sovellusta ilman, että heidän tarvitsee antaa suostumuksensa tiedonsiirtoihin. Alphabetin (Googlen emoyhtiö) viime vuoden liikevaihdon perusteella toimivaltaiset viranomaiset voisivat myös määrätä jopa 11,28 miljardin euron sakon.
