Noyb (Eiropas digitālo tiesību centrs) iesniedzis trīs sūdzības pret Fitbit Austrijā, Nīderlandē un Itālijā. Populārais veselības un fitnesa uzņēmums, kuru 2021. gadā iegādājās Google, liek saviem jaunajiem lietotnes lietotājiem piekrist datu pārsūtīšanai ārpus ES. Pretēji juridiskajām prasībām lietotājiem pat netiek nodrošināta iespēja atsaukt savu piekrišanu. Tā vietā viņiem ir pilnībā jāizdzēš savs konts, lai pārtrauktu nelikumīgu datu apstrādi.
Personas datu pārsūtīšanu nav iespējams apiet
Veidojot kontu Fitbit, Eiropas lietotājiem ir pienākums “piekrist savu datu pārsūtīšanai uz Amerikas Savienotajām Valstīm un citām valstīm, kurās ir atšķirīgi datu aizsardzības likumi”. Tas nozīmē, ka viņu dati var nonākt jebkurā pasaules valstī, kurā nav tādas pašas privātuma aizsardzības kā ES. Citiem vārdiem sakot: Fitbit liek saviem lietotājiem piekrist jūtīgu datu kopīgošanai, nesniedzot viņiem skaidru informāciju par iespējamām sekām vai konkrētām valstīm, uz kurām tiek nosūtīti viņu dati. Tā rezultātā piekrišana nav nedz brīva, nedz informēta, nedz konkrēta, un tas nozīmē, ka piekrišana acīmredzami neatbilst GDPR prasībām.
Ļoti personiski dati
Saskaņā ar Fitbit privātuma politiku kopīgajos datos ir iekļauti ne tikai tādi dati kā lietotāja e-pasta adrese, dzimšanas datums un dzimums. Uzņēmums var arī kopīgot tādus datus kā ēdiena, svara, miega, ūdens vai sieviešu veselības stāvokļa izsekošanas ierakstus, modinātājus un ziņojumus diskusiju dēļos vai draugiem.
Savāktie dati var tikt pat koplietoti apstrādei ar trešo pušu uzņēmumiem, par kuriem mēs nezinām, kur tie atrodas. Turklāt lietotājiem nav iespējams noskaidrot, uz kuriem konkrētiem datiem tas attiecas.
Visi trīs sūdzību iesniedzēji izmantoja savas tiesības piekļūt informācijai, vēršoties pie uzņēmuma datu aizsardzības speciālista, taču atbildi tā arī nesaņēma.
Maartje de Graaf, datu aizsardzības juriste noyb: “Pirmkārt, jūs iegādājaties Fitbit pulksteni par vismaz 100 eiro. Tad jūs parakstāties uz maksas abonementu, lai uzzinātu, ka esat spiests “brīvi” piekrist savu datu koplietošanai ar saņēmējiem visā pasaulē. Piecus gadus pēc GDPR stāšanās spēkā Fitbit joprojām mēģina uzspiest pieeju “ņem vai atstāj”(take it or leave it).”
Izdzēsies vai piekrīti
Lai nodrošinātu, ka lietotāji var mainīt savu viedokli, GDPR ikvienai personai arī dod tiesības atsaukt savu piekrišanu. Vismaz teorētiski. Fitbit privātuma politikā ir norādīts, ka vienīgais veids, kā atsaukt piekrišanu, ir dzēst kontu. Patērētājiem tas nozīmē, ka viņi zaudē visus savus iepriekš izsekotos treniņus un veselības datus. Tas attiecas pat tad, ja iegādājaties premium abonementu par 79,99 eiro gadā.
Lai gan šīs funkcijas ir galvenais iemesls, kāpēc iegādāties Fitbit, nav reāla veida, kā atgūt kontroli pār saviem datiem, nepadarot savu produktu nederīgu.
Bernardo Armentano, datu aizsardzības jurists noyb: “Fitbit vēlas, lai jūs izrakstītu tukšu čeku, kas ļauj nosūtīt jūsu datus uz jebkuru vietu pasaulē. Ņemot vērā, ka uzņēmums vāc visjutīgākos veselības datus, ir pārsteidzoši, ka tas pat necenšas paskaidrot šādu datu izmantošanu, kā to prasa likums.”
Masveida datu pārsūtīšana nav atļauta
Pat ja būtu iespējams atsaukt piekrišanu, Fitbit joprojām neatbilstu Eiropas privātuma tiesību aktiem. GDPR ir skaidri noteikts, ka piekrišanu var izmantot tikai kā izņēmumu no datu nosūtīšanas ārpus ES aizlieguma – tas nozīmē, ka piekrišana var būt derīgs juridiskais pamats tikai atsevišķiem un neatkārtojamiem datu sūtījumiem. Tomēr Fitbit izmanto piekrišanu, lai regulāri kopīgotu visus veselības datus.
Romain Robert, viens no sūdzības iesniedzējiem: “Fitbit var būt jauka lietotne, lai sekotu līdzi savai fiziskajai sagatavotībai, bet, tiklīdz jūs vēlaties uzzināt vairāk par to, kā tiek apstrādāti jūsu dati, jūs gaida maratons.”
Iespējamais miljarda dolāru naudas sods
noyb pieprasa Austrijas, Nīderlandes un Itālijas datu aizsardzības iestādēm likt Fitbit sniegt visu obligāto informāciju par datu pārsūtīšanu lietotājiem, un ļaut viņiem izmantot lietotni bez piekrišanas datu pārsūtīšanai.
Pamatojoties uz Alphabet (Google mātesuzņēmuma) pagājušā gada apgrozījumu, kompetentās iestādes varētu arī uzlikt naudas sodu līdz pat 11,28 miljardu eiro apmērā.
