Prywatność
Korzystasz z FitBita? Musisz zgodzić się na transfer danych poza UE
FitBit to popularna marka urządzeń do pomiarów fitnessowych i witalnych, którą w 2021 r. przejęło Google. Organizacja noyb twierdzi, że FitBit nielegalnie zmusza użytkowników do zgody na transfery danych poza UE, stawiając to jako warunek konieczny do korzystania z jego usług.
Marka FitBit jest dobrze znana wszystkim fanom urządzeń ubieralnych, które służą do pomiarów fitnessowych i witalnych . Producent popularnych smartwatchy i opasek elektronicznych został w 2021 r. przejęty przez koncern Google, mający dużą chrapkę zarówno na dostęp do danych o aktywności fizycznej, jak i szersze wejście w sektor technologii dla zdrowia - na wzór Apple'a.
Według organizacji noyb zajmującej się ochroną prywatności w świecie cyfrowym, FitBit wymusza na użytkownikach z Unii Europejskiej zgodę na transfer danych poza granice tego obszaru, jako warunek konieczny do korzystania z jego usług - co jest naruszeniem prawa.
Jak FitBit łamie prawo?
Organizacja noyb złożyła przeciwko FitBitowi pozwy w trzech krajach - Austrii, Niderlandach i Włoszech. Jak argumentuje, FitBit nie tylko zmusza użytkowników do wyrażenia zgody na transfer danych poza granice Unii Europejskiej, ale także nie oferuje możliwości rezygnacji z tych transferów i wycofania zgody.
Wymuszanie zgody - samo w sobie niezgodne z RODO - następuje w chwili założenia konta użytkownika w usłudze FitBit. To wówczas osoby chcące korzystać z niej są zobligowane przez firmę do zgody na transfer danych poza granice UE - do Stanów Zjednoczonych i "innych krajów z odmiennymi regulacjami ochrony danych".
Jak tłumaczy noyb, oznacza to tyle, że dane użytkowników FitBita mogą trafić do dowolnej jurysdykcji, która do przetwarzania i ochrony danych osobowych oraz prywatności ma zupełnie inne podejście, niż Unia Europejska - i w związku z tym nie ma żadnej gwarancji, że będą przetwarzane z poszanowaniem zasad i standardów obowiązujących w ramach Wspólnoty.
Aby przetwarzanie danych ustało, użytkownik może jedynie usunąć konto w usłudze FitBit - to jedyny sposób, aby jego prawo nie było dalej naruszane przez firmę - twierdzą aktywiści.
Dane wrażliwe
Kontrowersji dodaje fakt, że dane przetwarzane przez FitBita to dane wrażliwe - bo za takie należy uznać informacje o naszej aktywności fizycznej, parametrach witalnych organizmu i dane zdrowotne, których żąda od nas FitBit i które są przez niego transferowane poza UE.
Organizacja noyb zwraca uwagę, że użytkownicy FitBita nie są informowani o ryzyku, jakie wiąże się z przetwarzaniem tego rodzaju danych, a informacje o nich mogą przecież trafiać również do zewnętrznych podmiotów - w tym do firm, przetwarzających wrażliwe dane w celach komercyjnych.
Aktywiści podkreślają też, że wcześniej - przed złożeniem pozwów - kontaktowali się z osobą odpowiedzialną za kwestie przetwarzania danych w FitBicie korzystając z dawanego użytkownikom przez RODO prawa dostępu do danych, jednak nie otrzymali żadnej odpowiedzi ze strony firmy.
Wymuszona zgoda to nie zgoda
FitBit zdaniem noyb narusza fundamentalną zasadę RODO, jaką jest konieczność uzyskania wyrażonej dobrowolnie i świadomie zgody użytkownika na przetwarzanie danych, w szczególności - danych wrażliwych.
Zgoda nie jest dobrowolna w sytuacji, gdy staje się warunkiem niezbędnym do korzystania z usługi - wówczas mamy do czynienia z jej wymuszaniem. To szczególnie bulwersujące w przypadku firmy, która oferuje drogie urządzenia i płatny abonament na swoją usługę - dodatkowo chce bowiem zarabiać na transferach danych, na które wymusza zgodę użytkowników.
Jak zwracają uwagę działacze, FitBit nie informuje, jak mogą być wykorzystywane dane, kiedy już trafią poza UE. Organizacja dodaje, że nawet, gdyby zgoda była dobrowolna, to i tak nie spełniałaby w wypadku tej firmy wymogów RODO - bo prawo to mówi, że zgoda może być uzasadnieniem tylko dla okazjonalnych transferów danych poza UE, tymczasem FitBit realizuje je cały czas.
Aktywiści obliczyli, że jeśli organy ochrony danych w krajach, w których złożone zostały pozwy zdecydują się obciążyć FitBita orzeczeniem o karze, może ona wynieść nawet 11,28 mld euro - w związku z tym, że podstawą do jej orzeczenia jest wysokość przychodów osiągniętych w ub. roku podatkowym przez koncern Alphabet, do którego spółki-córki (Google) należy FitBit.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:\*[email protected].\*
Haertle: Każdego da się zhakować
Materiał sponsorowany