Ma, noyb három panaszt nyújtott be a Fitbit ellen Ausztriában, Hollandiában és Olaszországban. A népszerű egészségügyi és fitneszcég, amelyet 2021-ben vásárolt fel a Google, arra kényszeríti az alkalmazás új felhasználóit, hogy hozzájáruljanak az EU-n kívüli adattovábbításhoz. A törvényi előírásokkal ellentétben a felhasználóknak még csak lehetőséget sem biztosítanak a hozzájárulás visszavonására. Ehelyett teljesen törölniük kell a fiókjukat, hogy megállítsák az illegális feldolgozást.
- noyb panasz az osztrák adatvédelmi hatóságnál (DE)
- noyb panasz a holland adatvédelmi hatóságnál (NL)
- A holland adatvédelmi hatóságnál benyújtott panasz automatikus angol nyelvű fordítása
- noyb panasz az olasz adatvédelmi hatóságnál (IT)
A személyes adatok továbbítását nem lehet megkerülni. A Fitbitnél történő fiók létrehozásakor az európai felhasználóknak "bele kell egyezniük adataiknak az Egyesült Államokba és más, eltérő adatvédelmi törvényekkel rendelkező országokba történő továbbításához". Ez azt jelenti, hogy az adataik a világ bármely olyan országába kerülhetnek, ahol nem ugyanaz az adatvédelmi védelem érvényesül, mint az EU-ban. Más szóval: A Fitbit arra kényszeríti felhasználóit, hogy hozzájáruljanak az érzékeny adatok megosztásához anélkül, hogy egyértelmű tájékoztatást adna nekik a lehetséges következményekről vagy arról, hogy az adataik mely országokba kerülnek. Ez olyan hozzájárulást eredményez, amely nem szabad, nem tájékozott és nem is konkrét - ami azt jelenti, hogy a hozzájárulás egyértelműen nem felel meg a GDPR követelményeinek.
Rendkívül személyes adatok. A Fitbit adatvédelmi irányelvei szerint a megosztott adatok nem csak olyan dolgokat tartalmaznak, mint a felhasználó e-mail címe, születési dátuma és neme. A vállalat "olyan adatokat is megoszthat, mint az étkezés, a testsúly, az alvás, a víz vagy a női egészség nyomon követésére szolgáló naplók; egy ébresztő; és üzenetek a vitafórumokon vagy a barátaidnak a Szolgáltatásokon". Az összegyűjtött adatokat akár harmadik fél vállalatokkal is megoszthatják feldolgozásra, amelyekről nem tudjuk, hogy hol találhatók. Továbbá a felhasználók számára lehetetlen kideríteni, hogy mely konkrét adatokról van szó. Mindhárom panaszos élt a tájékoztatáshoz való jogával a vállalat adatvédelmi tisztviselőjénél - de választ soha nem kaptak.
Maartje de Graaf, a noyb adatvédelmi jogásza: "Először is, az ember legalább 100 euróért vesz egy Fitbit órát. Aztán feliratkozol egy fizetős előfizetésre, hogy aztán rájöjj, hogy kénytelen vagy "szabadon" beleegyezni, hogy az adataidat világszerte megosztják a címzettekkel. Öt évvel a GDPR után a Fitbit még mindig a "fogadd el, vagy hagyd el" megközelítést próbálja érvényesíteni."
Fogadd el vagy hagyd el. Annak érdekében, hogy a felhasználók meggondolhassák magukat, a GDPR minden személynek jogot biztosít arra is, hogy visszavonja hozzájárulását. Legalábbis elméletben. A Fitbit adatvédelmi irányelvei szerint a hozzájárulás visszavonásának egyetlen módja a fiók törlése. A fogyasztók számára ez azt jelenti, hogy elveszítik a korábban nyomon követett edzéseiket és egészségügyi adataikat. Ez még akkor is érvényes, ha valaki évi 79,99 euróért prémium előfizetést vásárol. Bár ezek a funkciók a fő okok a Fitbit megvásárlására, nincs reális módja annak, hogy visszaszerezzük az adatok feletti ellenőrzést anélkül, hogy a termék használhatatlanná válna.
Bernardo Armentano, a noyb adatvédelmi ügyvédje: "A Fitbit azt akarja, hogy írj egy biankó csekket, amely lehetővé teszi számukra, hogy az adataidat a világ bármely pontjára elküldjék. Tekintettel arra, hogy a vállalat a legérzékenyebb egészségügyi adatokat gyűjti, megdöbbentő, hogy még csak meg sem próbálja megmagyarázni az ilyen adatok felhasználását, ahogy azt a törvény előírja."
Tömeges adattovábbítás nem megengedett. Még ha lenne is mód a hozzájárulás visszavonására, a Fitbit akkor sem felelne meg az európai adatvédelmi törvényeknek. A GDPR egyértelműen kimondja, hogy a hozzájárulás csak kivételként használható az EU-n kívüli adattovábbítás tilalma alól - ami azt jelenti, hogy a hozzájárulás csak alkalmi és nem ismétlődő adattovábbítás esetén lehet érvényes jogalap. A Fitbit azonban a hozzájárulást az összes egészségügyi adat rutinszerű megosztására használja.
Romain Robert, az egyik panaszos: "A Fitbit lehet egy szép alkalmazás a fitneszed nyomon követésére, de ha egyszer többet akarsz megtudni arról, hogyan kezelik az adataidat, akkor maratoni futásra kényszerülsz"
Potenciális milliárd dolláros bírság. noyb arra kéri az osztrák, holland és olasz adatvédelmi hatóságokat, hogy kötelezzék a Fitbitet, hogy ossza meg az adattovábbítással kapcsolatos összes kötelező információt a felhasználóival, és tegye lehetővé számukra, hogy anélkül használhassák az alkalmazást, hogy beleegyeznének az adattovábbításba. Az Alphabet (a Google anyavállalata) tavalyi forgalma alapján az illetékes hatóságok akár 11,28 milliárd eurós bírságot is kiszabhatnak.
