Dzisiaj, noyb złożył trzy skargi przeciwko Fitbit w Austrii, Holandii i we Włoszech. Popularna firma zajmująca się zdrowiem i fitnessem, przejęta przez Google w 2021 roku, zmusza nowych użytkowników swojej aplikacji do wyrażenia zgody na przekazywanie danych poza UE. Wbrew wymogom prawnym użytkownicy nie mają nawet możliwości wycofania swojej zgody. Zamiast tego muszą całkowicie usunąć swoje konto, aby zatrzymać nielegalne przetwarzanie danych.
- noyb skarga do austriackiego organu ochrony danych (DE)
- noyb skarga do holenderskiego organu ochrony danych (NL)
- Angielskie automatyczne tłumaczenie skargi do holenderskiego organu ochrony danych
- noyb skarga do włoskiego organu ochrony danych (IT)
Brak możliwości obejścia przekazywania danych osobowych. Tworząc konto w Fitbit, europejscy użytkownicy są zobowiązani do "wyrażenia zgody na przekazywanie swoich danych do Stanów Zjednoczonych i innych krajów o różnych przepisach dotyczących ochrony danych". Oznacza to, że ich dane mogą trafić do dowolnego kraju na całym świecie, który nie ma takiej samej ochrony prywatności jak UE. Innymi słowy: Fitbit zmusza swoich użytkowników do wyrażenia zgody na udostępnianie wrażliwych danych bez dostarczania im jasnych informacji na temat możliwych konsekwencji lub konkretnych krajów, do których trafiają ich dane. Powoduje to, że zgoda nie jest ani dobrowolna, ani świadoma, ani konkretna - co oznacza, że zgoda wyraźnie nie spełnia wymogów RODO.
Wysoce osobiste dane. Zgodnie z polityką prywatności Fitbit, udostępniane dane obejmują nie tylko takie rzeczy, jak adres e-mail użytkownika, data urodzenia i płeć. Firma może również udostępniać "dane takie jak dzienniki żywności, wagi, snu, wody lub śledzenia zdrowia kobiet; alarm; oraz wiadomości na forach dyskusyjnych lub znajomym w Usługach". Zebrane dane mogą być nawet udostępniane do przetwarzania firmom zewnętrznym, których lokalizacji nie znamy. Ponadto użytkownicy nie mogą dowiedzieć się, których konkretnych danych to dotyczy. Wszyscy trzej skarżący skorzystali z prawa dostępu do informacji u inspektora ochrony danych firmy - ale nigdy nie otrzymali odpowiedzi.
Maartje de Graaf, prawnik ds. ochrony danych w noyb: "Najpierw kupujesz zegarek Fitbit za co najmniej 100 euro. Następnie zapisujesz się na płatną subskrypcję, tylko po to, aby przekonać się, że jesteś zmuszony do "dobrowolnego" wyrażenia zgody na udostępnianie swoich danych odbiorcom na całym świecie. Pięć lat po wejściu w życie RODO, Fitbit nadal próbuje egzekwować podejście "bierz albo nie"."
Bierzesz albo nie. Aby upewnić się, że użytkownicy mogą zmienić zdanie, RODO daje również każdej osobie prawo do wycofania swojej zgody. Przynajmniej w teorii. Polityka prywatności Fitbit stanowi, że jedynym sposobem na wycofanie zgody jest usunięcie konta. Dla konsumentów oznacza to utratę wszystkich wcześniej śledzonych treningów i danych zdrowotnych. Dotyczy to nawet zakupu subskrypcji premium za 79,99 euro rocznie. Chociaż funkcje te są głównym powodem zakupu Fitbit, nie ma realistycznego sposobu na odzyskanie kontroli nad danymi bez uczynienia produktu bezużytecznym.
Bernardo Armentano, prawnik ds. ochrony danych w noyb: "Fitbit chce, abyś wypisał czek in blanco, pozwalając im na wysyłanie twoich danych w dowolne miejsce na świecie. Biorąc pod uwagę, że firma gromadzi najbardziej wrażliwe dane zdrowotne, zdumiewające jest to, że nawet nie próbuje wyjaśnić, w jaki sposób wykorzystuje takie dane, zgodnie z wymogami prawa"
Masowe transfery danych są niedozwolone. Nawet gdyby istniał sposób na wycofanie zgody, Fitbit nadal nie przestrzegałby europejskiego prawa prywatności. RODO wyraźnie stanowi, że zgoda może być wykorzystywana jedynie jako wyjątek od zakazu przekazywania danych poza UE - co oznacza, że zgoda może być ważną podstawą prawną jedynie w przypadku sporadycznych i niepowtarzalnych transferów danych. Fitbit wykorzystuje jednak zgodę do rutynowego udostępniania wszystkich danych zdrowotnych.
Romain Robert, jeden ze skarżących: "Fitbit może być fajną aplikacją do śledzenia kondycji, ale gdy tylko chcesz dowiedzieć się więcej o tym, jak przetwarzane są twoje dane, jesteś skazany na maraton"
Potencjalna grzywna w wysokości miliarda dolarów. noyb zwraca się do austriackich, holenderskich i włoskich organów ochrony danych o nakazanie Fitbit udostępnienia użytkownikom wszystkich obowiązkowych informacji o transferach i umożliwienie im korzystania z aplikacji bez konieczności wyrażania zgody na transfer danych. W oparciu o obroty Alphabet (spółki macierzystej Google) w ubiegłym roku, właściwe organy mogą również nałożyć grzywnę w wysokości do 11,28 mld euro.