Idag är det noyb lämnat in tre klagomål mot Fitbit i Österrike, Nederländerna och Italien. Det populära hälso- och fitnessföretaget, som förvärvades av Google 2021, tvingar nya användare av sin app att samtycka till dataöverföringar utanför EU. I strid med lagkraven ges användarna inte ens möjlighet att återkalla sitt samtycke. Istället måste de radera sitt konto helt och hållet för att stoppa den olagliga behandlingen.
- noyb klagomål hos österrikiska datainspektionen (DE)
- noyb klagomål till den nederländska dataskyddsmyndigheten (NL)
- Engelsk autoöversättning av klagomålet till nederländska DPA
- noyb klagomål till den italienska dataskyddsmyndigheten (IT)
Ingen väg runt överföringen av personuppgifter. När europeiska användare skapar ett konto hos Fitbit måste de "samtycka till att deras uppgifter överförs till USA och andra länder med andra dataskyddslagar". Detta innebär att deras uppgifter kan hamna i vilket land som helst runt om i världen som inte har samma integritetsskydd som EU. Med andra ord: Fitbit Fitbit tvingar sina användare att samtycka till att dela känsliga uppgifter utan att ge dem tydlig information om möjliga konsekvenser eller de specifika länder som deras uppgifter hamnar i. Detta resulterar i ett samtycke som varken är fritt, informerat eller specifikt - vilket innebär att samtycket helt klart inte uppfyller GDPR:s krav.
Mycket personliga uppgifter. Enligt Fitbits integritetspolicy omfattar de delade uppgifterna inte bara saker som en användares e-postadress, födelsedatum och kön. Företaget kan också dela "data som loggar för spårning av mat, vikt, sömn, vatten eller kvinnohälsa, ett larm och meddelanden på diskussionsforum eller till dina vänner på tjänsterna". De insamlade uppgifterna kan även delas för behandling med tredjepartsföretag som vi inte vet var de är belägna. Dessutom är det omöjligt för användarna att ta reda på vilka specifika uppgifter som berörs. Alla tre klagande utövade sin rätt till tillgång till information hos företagets dataskyddsombud - men fick aldrig något svar.
Maartje de Graaf, dataskyddsjurist på noyb: "Först köper du en Fitbit-klocka för minst 100 euro. Sedan registrerar du dig för en betald prenumeration, bara för att upptäcka att du tvingas att "fritt" samtycka till att dela dina uppgifter med mottagare runt om i världen. Fem år efter GDPR försöker Fitbit fortfarande genomdriva en "ta det eller lämna det"-strategi."
Ta det eller lämna det. För att se till att användarna kan ändra sig ger GDPR också varje person rätt att återkalla sitt samtycke. Åtminstone i teorin. I Fitbits integritetspolicy står det att det enda sättet att återkalla sitt samtycke är att radera ett konto. För konsumenter innebär detta att de förlorar alla sina tidigare spårade träningspass och hälsodata. Detta gäller även om du köper en premiumprenumeration för 79,99 euro per år. Även om dessa funktioner är huvudskälet till att köpa en Fitbit finns det inget realistiskt sätt att återfå kontrollen över sina uppgifter utan att göra produkten värdelös.
Bernardo Armentano, dataskyddsjurist på noyb: "Fitbit vill att du ska skriva ut en blankocheck så att de kan skicka dina uppgifter vart som helst i världen. Med tanke på att företaget samlar in de mest känsliga hälsouppgifterna är det förvånande att de inte ens försöker förklara hur de använder sådana uppgifter, vilket krävs enligt lag."
Massiva dataöverföringar är inte tillåtna. Även om det fanns ett sätt att återkalla samtycke skulle Fitbit fortfarande inte följa europeisk integritetslagstiftning. I GDPR anges tydligt att samtycke endast kan användas som ett undantag från förbudet mot dataöverföringar utanför EU - vilket innebär att samtycke endast kan vara en giltig rättslig grund för tillfälliga och icke-repetitiva dataöverföringar. Fitbit använder dock samtycke för att dela all hälsodata rutinmässigt.
Romain Robert, en av de klagande: "Fitbit må vara en trevlig app för att hålla koll på din kondition, men när du väl vill veta mer om hur dina uppgifter hanteras är du på väg mot ett maratonlopp."
Potentiella miljardböter. noyb begär att de österrikiska, nederländska och italienska dataskyddsmyndigheterna ska beordra Fitbit att dela all obligatorisk information om överföringarna med sina användare och låta dem använda appen utan att behöva ge sitt samtycke till dataöverföringarna. Baserat på Alphabets (Googles moderbolag) omsättning förra året skulle de behöriga myndigheterna också kunna utfärda böter på upp till 11,28 miljarder euro.
