Inleiding:
NOYB, de Weense organisatie opgericht door privacyactivist Max Schrems, heeft drie klachten ingediend tegen Fitbit. Een populaire gezondheids- en fitnessbedrijf dat in 2021 door Google werd overgenomen. Deze drie klachten werden in drie verschillende landen ingediend, met name Oostenrijk, Nederland en Italië. NOYB heeft al honderden klachten ingediend tegen grote technologiebedrijven, variërend van Google tot Meta, wegens privacyschendingen. Vaak met grote boetes tot gevolg.
Waarom heeft NOYB een klacht ingediend tegen Fitbit?
NOYB heeft vastgesteld dat Fitbit Europese gebruikers bij het aanmaken van een account verplicht in te stemmen met de overdracht van hun gegevens naar de Verenigde Staten en tal van andere landen. Dit heeft tot gevolg dat betrokkenen die een Fitbit gebruiken geen idee hebben waar hun persoonsgegevens terecht komen.
Fitbit dwingt zijn gebruikers in essentie om toestemming te geven voor het delen van gevoelige gegevens zonder hen duidelijke informatie te geven over de mogelijke implicaties of de specifieke landen waar hun gegevens naartoe gaan. Men kan dan ook niet zeker weten of de persoonsgegevens verwerkt worden in een land met adequate gegevensbescherming.
Onvoldoende Duidelijke en Eerlijke Toestemming voor Gegevensdeling
De verzamelde gegevens werden zelfs gedeeld met externe bedrijven waarvan de betrokkenen niet weten waar deze zich bevinden. Bovendien is het voor gebruikers onmogelijk om te achterhalen om welke specifieke gegevens het gaat. Ook de DPO van Fitbit faalde erin om de betrokkenen te voorzien van een duidelijk antwoord.
Dit resulteert in een toestemming die niet vrij, geïnformeerd of specifiek is. Deze toestemming voldoet dus duidelijk niet aan de vereisten vastgelegd in de GDPR.
Een Diepgaande Duik in Privacyzorgen
Daarnaast is het ook zeer gevoelige informatie die gedeeld wordt. Volgens het privacybeleid van Fitbit omvatten de gedeelde gegevens niet alleen zaken als het e-mailadres van een gebruiker, de geboortedatum en het geslacht, maar ook gegevens zoals logboeken voor het volgen van voedselinname, gewicht, slaappatroon en waterinnamen van de betrokkenen, berichten die door betrokkenen geplaatst werden op discussieborden en zelfs privéberichten aan vrienden. Dit laatste is mogelijk doordat een Fitbit-apparaat meldingen kan ontvangen van de gebruikers nabijgelegen telefoon.
Een Schending van de GDPR-regels
Daarnaast is er ook nog het feit dat de enige manier waarop betrokkenen hun toestemming kunnen intrekken, het verwijderen van hun account is. Dit staat zo beschreven in de privacyverklaring van Fitbit.
Voor consumenten betekent dit dat ze al hun eerder bijgehouden trainingen en gezondheidsgegevens kwijtraken. Hoewel deze gegevens voor vele de reden zijn waarom ze een Fitbit kopen, is er geen realistische manier om de controle over uw gegevens terug te krijgen zonder uw product onbruikbaar te maken.
Fitbit slaagt er met andere woorden niet in om de betrokkenen de mogelijkheid te geven om hun toestemming in te trekken op een manier die strookt met de bepalingen van de GDPR.
Daarbij zijn zulke grote gegevensoverdrachten, die op heden door Fitbit worden uitgevoerd, niet toegestaan. Dit betekent dat zelfs indien er een manier zou zijn om toestemming in te trekken, Fitbit nog steeds niet zou voldoen aan de GDPR.
De GDPR stelt namelijk duidelijk dat toestemming alleen kan worden gebruikt als uitzondering op het verbod op gegevensoverdracht buiten de EU. Dit heeft tot gevolg dat ‘toestemming’ alleen een geldige rechtsgrondslag kan zijn voor incidentele en niet-repetitieve gegevensoverdrachten.
Fitbit gebruikt deze toestemming echter om routinematig alle gezondheidsgegevens van betrokkenen te delen.
Wat wil NOYB bereiken?
NOYB wil dat Fitbit wordt gedwongen om alle verplichte informatie over de gegevensoverdrachten met zijn gebruikers te delen en hen in staat te stellen Fitbit te gebruiken zonder dat ze verplicht worden om toestemming te geven voor de overdrachten. Fitbit zal zodus zijn privacybeleid moeten aanpassen, zodat het verwijderen van het account niet langer de enige manier is voor betrokkenen om hun toestemming in te trekken.
Welke gevolgen kunnen deze aanklachten hebben voor Fitbit
Als de klachten van Noyb tegen Fitbit aanleiding geven tot een onderzoek door de gegevensbeschermingsautoriteiten en de inbreuken op de GDPR later worden bevestigd, kan dit grote gevolgen hebben voor Fitbit. Boetes voor het overtreden van de GDPR-regels kunnen oplopen tot 4% van de wereldwijde jaaromzet van een bedrijf. De jaaromzet van Google bedroeg in 2022 maar liefs 280 miljard dollar. Noyb suggereert dat Fitbit boetes tot 11,28 miljard euro kan riskeren als de inbreuken worden bevestigd.
Snel en betaalbaar je GDPR inorde brengen?
Klik dan op GDPR Abonnementen!
