Vandaag heeft noyb drie klachten ingediend tegen Fitbit in Oostenrijk, Nederland en Italië. Het populaire gezondheids- en fitnessbedrijf, dat in 2021 werd overgenomen door Google, dwingt nieuwe gebruikers van de app om toestemming te geven voor gegevensdoorgifte buiten de EU. In tegenstelling tot de wettelijke vereisten, krijgen gebruikers niet eens de mogelijkheid om hun toestemming in te trekken. In plaats daarvan moeten ze hun account volledig verwijderen om de illegale verwerking te stoppen.
- noyb klacht bij de Nederlandse Autoriteit Persoonsgegevens (NL)
- English auto-translation of the complaint with the Dutch DPA
- noyb klacht bij de Oostenrijkse gegevensbeschermingsautoriteit (DE)
- noyb klacht bij het Italiaanse gegevensbeschermingsautoriteit (IT)
De doorgifte van persoonsgegevens kan niet worden omzeild. Bij het aanmaken van een account bij Fitbit zijn Europese gebruikers verplicht om "in te stemmen met de overdracht van hun gegevens naar de Verenigde Staten en andere landen met andere wetten op het gebied van gegevensbescherming". Dit betekent dat hun gegevens terecht kunnen komen in landen over de hele wereld die niet dezelfde privacybescherming hebben als de EU. Met andere woorden: Fitbit dwingt zijn gebruikers om toestemming te geven voor het delen van gevoelige gegevens zonder hen duidelijke informatie te geven over mogelijke implicaties of de specifieke landen waar hun gegevens naartoe gaan. Dit resulteert in een toestemming die niet vrij, geïnformeerd of specifiek is - wat betekent dat de toestemming duidelijk niet voldoet aan de vereisten van de AVG.
Zeer persoonlijke gegevens. Volgens het privacybeleid van Fitbit omvatten de gedeelde gegevens niet alleen zaken als het e-mailadres, de geboortedatum en het geslacht van een gebruiker. Het bedrijf kan ook gegevens delen zoals "logs for food, weight, sleep, water, or female health tracking; an alarm; and messages on discussion boards or to your friends on the Services". De verzamelde gegevens kunnen zelfs worden gedeeld voor verwerking met andere bedrijven waarvan we niet weten waar ze zich bevinden. Bovendien is het voor gebruikers onmogelijk om te achterhalen om welke specifieke gegevens het gaat. Alle drie de klagers hebben hun recht op inzage uitgeoefend bij de functionaris voor gegevensbescherming van het bedrijf - maar nooit een antwoord ontvangen.
Maartje de Graaf, jurist gegevensbescherming bij noyb: "Eerst koop je een Fitbit-horloge van minimaal 100 euro. Dan schrijf je je in voor een betaald abonnement, om er vervolgens achter te komen dat je gedwongen wordt om "vrijwillig" in te stemmen met het delen van je gegevens met ontvangers over de hele wereld. Na vijf jaar AVG probeert Fitbit nog steeds een 'take it or leave it'-aanpak af te dwingen."
Take it or leave it. Om ervoor te zorgen dat gebruikers van gedachten kunnen veranderen, geeft de AVG iedereen ook het recht om hun toestemming in te trekken. Tenminste in theorie. In het privacybeleid van Fitbit staat dat de enige manier om toestemming in te trekken het verwijderen van een account is. Voor consumenten betekent dit dat ze al hun eerder bijgehouden workouts en gezondheidsgegevens kwijtraken. Dit geldt zelfs als je een premium abonnement koopt voor 79,99 euro per jaar. Hoewel deze functies de belangrijkste reden zijn om een Fitbit te kopen, is er geen realistische manier om de controle over je gegevens terug te krijgen zonder je product onbruikbaar te maken.
Bernardo Armentano, jurist gegevensbescherming bij noyb: "Fitbit wil dat je hen een blanco cheque geeft, waardoor ze je gegevens overal ter wereld naartoe kunnen sturen. Gezien het feit dat het bedrijf de meest gevoelige gezondheidsgegevens verzamelt, is het verbazingwekkend dat het niet eens probeert uit te leggen hoe het deze gegevens gebruikt, zoals de wet voorschrijft."
Massale gegevensdoorgifte niet toegestaan. Zelfs als er een manier was om toestemming in te trekken, zou Fitbit nog steeds niet voldoen aan de Europese privacywetgeving. De AVG eist duidelijk dat toestemming alleen kan worden gebruikt als uitzondering op het verbod op gegevensdoorgifte buiten de EU - wat betekent dat toestemming alleen een geldig doorgiftemechanisme kan zijn voor incidentele en niet-repetitieve gegevensdoorgiften. Fitbit gebruikt toestemming echter om alle gezondheidsgegevens routinematig te delen.
Romain Robert, een van de klagers: "Fitbit mag dan een leuke app zijn om je fitheid bij te houden, maar zodra je meer wilt weten over hoe er met je gegevens wordt omgegaan, vereist dit een marathon."
Potentiële miljardenboete. noyb vraagt de Oostenrijkse, Nederlandse en Italiaanse gegevensbeschermingsautoriteiten om Fitbit te bevelen alle verplichte informatie over de gegevensdoorgiften met haar gebruikers te delen en hen in staat te stellen de app te gebruiken zonder toestemming te hoeven geven voor de gegevensdoorgiften. Op basis van de omzet van Alphabet (het moederbedrijf van Google) van vorig jaar, zouden de bevoegde autoriteiten ook een boete tot 11,28 miljard euro kunnen opleggen.