Google’ın sahibi olduğu Fitbit, Avrupa Birliği’nde, şirketin bloğun veri koruma kurallarını ihlal ederek kullanıcı verilerini yasadışı bir şekilde ihraç ettiğini iddia eden üçlü gizlilik şikayetiyle karşı karşıya.
Şikayetler, Fitbit’in, şirketin gerekli yasal standardı karşılamayan kullanıcıları rızaya zorladığını öne sürerek, kullanıcıların bilgilerinin ABD’ye ve başka yerlere uluslararası aktarımına izin verdikleri iddiasını hedef alıyor.
AB’nin Genel Veri Koruma Yönetmeliği (GDPR), yerel kullanıcıların bilgilerinin nasıl kullanılabileceğine ilişkin bir dizi kural ortaya koyuyor; bunlara, veri işleyicilerinin insanların verilerini işlemek ve veri aktarımına ilişkin kontrolleri ayarlamak için geçerli bir yasal dayanağa sahip olma zorunluluğu da dahil. Rejimin ihlalleri, ihlalcinin küresel yıllık cirosunun %4’üne varan mali cezalar gerektirebilir.
Fitbit’in AB kullanıcılarının verilerini dışa aktarmak için öne sürdüğü yasal dayanağın (onay) geçerli olabilmesi için belirli standartları karşılaması gerekiyor. Kısacası bilgilendirilmiş, spesifik ve özgürce verilmelidir. Ancak şikayetler, parasını ödedikleri ürün ve hizmetleri kullanmak isteyen kullanıcıların, ürünlerin çalışması için veri aktarımına izin verme seçeneğinin olmaması nedeniyle Fitbit’in yasa dışı bir şekilde rızayı zorladığını öne sürüyor.
Şikayetler ayrıca Fitbit’in başarısız olduğunu da iddia ediyor kullanıcılara verilerinin aktarımıyla ilgili yeterli bilgi sağlamak; yani GDPR’nin gerektirdiği gibi bilgilendirilmiş onay da sağlayamazlar. Ayrıca, Fitbit kullanıcılarının, GDPR kapsamında olması gerektiği gibi, Fitbit hesaplarını silmeleri ve takip edilen tüm antrenmanlarını kaybetmeleri dışında, onaylarını geri alamadıklarını da vurguluyorlar. Bu, Fitbit kullanıcılarının, izni iptal ettikleri için ürün deneyimlerinin cezalandırılmasıyla karşı karşıya kalacağı anlamına geliyor.
Avrupa gizlilik hakları kar amacı gütmeyen, noybüç (isimsiz) Fitbit kullanıcısı adına Avusturya, Hollanda ve İtalya’daki veri koruma yetkililerine şikayette bulundu.
Bir açıklamada yorum yapan, veri koruma avukatı Maartje de Graaf noyb dedi: “Öncelikle en az 100 € karşılığında bir Fitbit saat satın alıyorsunuz. Daha sonra ücretli bir aboneliğe kaydolursunuz, ancak verilerinizin dünya çapındaki alıcılarla paylaşılmasını ‘özgürce’ kabul etmek zorunda olduğunuzu görürsünüz. GDPR’nin üzerinden beş yıl geçmesine rağmen Fitbit hâlâ ‘al ya da bırak’ yaklaşımını uygulamaya çalışıyor.”
Noyb, son yıllarda çok sayıda başarılı GDPR şikayetinin arkasında yer alıyor; bunların arasında Meta’ya (Facebook) yönelik bir dizi saldırı da var ve bu da yakın zamanda şirketin temel davranışını güçlendiren izleme ve profil oluşturma için yerel kullanıcılardan izin istemeye geçeceğini duyurmasına yol açtı. reklam hedefleme. Yani Noyb’un stratejik davaları her zaman izlenmeye değer.
“Avrupalı kullanıcılar, Fitbit’te hesap oluştururken ‘verilerinin ABD’ye ve farklı veri koruma yasalarına sahip diğer ülkelere aktarılmasını kabul etmekle’ yükümlü. Bu, verilerinin dünya çapında AB ile aynı gizlilik korumasına sahip olmayan herhangi bir ülkeye gidebileceği anlamına geliyor,” diye yazıyor Noyb, Fitbit şikayetlerini açıklayan bir basın bülteninde. “Başka bir deyişle: Fitbit, kullanıcılarını, olası sonuçlar veya verilerinin gittiği belirli ülkeler hakkında net bilgiler vermeden, hassas verilerin paylaşılmasına izin vermeye zorluyor. Bu, ne özgür, ne bilgilendirilmiş ne de spesifik bir rızayla sonuçlanır; bu da rızanın açıkça GDPR’nin gerekliliklerini karşılamadığı anlamına gelir.”
“Fitbit’in gizlilik politikasına göre, paylaşılan veriler yalnızca kullanıcının e-posta adresi, doğum tarihi ve cinsiyeti gibi bilgileri içermiyor. Şirket ayrıca ‘yiyecek, kilo, uyku, su veya kadın sağlığı takibine ilişkin günlükler; bir alarm; ve tartışma panolarındaki veya Hizmetlerdeki arkadaşlarınıza gönderilen mesajlar. Toplanan veriler, nerede bulunduğunu bilmediğimiz üçüncü taraf şirketlerle işlenmek üzere bile paylaşılabilir” diye devam ediyor. “Ayrıca kullanıcıların hangi spesifik verinin etkilendiğini bulmaları da imkansız. Şikayetçilerin üçü de şirketin Veri Koruma Yetkilisine bilgi erişim haklarını kullandı ancak hiçbir yanıt alamadı.”
Şikayetler aynı zamanda hassas verilerin blok dışına rutin olarak aktarılmasına ilişkin rızaya dayanan Fitbit’in geçerliliğini de sorguluyor.
“GDPR, rızanın yalnızca AB dışına veri aktarımı yasağına bir istisna olarak kullanılabileceğini açıkça belirtiyor; bu, rızanın yalnızca ara sıra ve tekrarlanmayan veri aktarımları için geçerli bir yasal dayanak olabileceği anlamına geliyor. Ancak Fitbit, tüm sağlık verilerini rutin olarak paylaşmak için onay kullanıyor” diye öne süren Noyb, Fitbit’in aktarımlarının “açıkça sistematik” olduğunu savunuyor ve ayrıca ne kadar kişisel veri (bazı hassas veriler dahil) göz önüne alındığında “katı gereklilik testini geçip geçemeyeceklerini” sorguluyor. ) rutin olarak ihraç edilmektedir.
AB’nin yürütme organı Avrupa Komisyonu geçen ay ABD’li meslektaşlarıyla yeni bir yeterlilik veri aktarımı anlaşmasını kabul ederken (transatlantik veri akışlarıyla ilgili yasal riskleri azaltmayı amaçlayan üst düzey bir anlaşma), noyb, Fitbit’in buna güvenme iddiasında olmadığını belirtiyor AB kullanıcılarının veri aktarımlarına yönelik AB-ABD Veri Gizliliği Çerçevesi adı verilen çerçeve.
“Fitbit, gizlilik politikasında veya başka bir yerde verileri yeni çerçeve kapsamında aktardığını belirtmiyor ancak bunun yerine izin ve SCC’leri kullandığını belirtiyor [standard contractual clauses] ‘transfer mekanizmaları’ olarak,” de Graaf TechCrunch’a söyledi. “Fitbit ayrıca veri gizliliği çerçevesi kapsamında da sertifikalı değil.
“Bunun dışında bu sadece bir zaman meselesi. noyb ABAD önünde yeni çerçevenin geçerliliğine itiraz edecek [Court of Justice of the EU]. ABD gözetleme yasalarıyla ilgili temel sorunlar hâlâ mevcut.”
Noyb, üç şikayetin, GDPR’nin sınır ötesi şikayetleri kolaylaştırmak için tek noktadan hizmet mekanizmasına uygun olarak Google’ın AB’deki lider veri koruma gözlemcisi olan İrlanda Veri Koruma Komisyonu’na (DPC) iletilmesini beklediğini doğruladı.
2019’un başlarında Google, Yasal yargı ABD’den Dublin merkezli kuruluşu Google Ireland Limited’e kadar Avrupalı kullanıcıların verilerini nerede işlediği; bu da Avrupa Genel Merkezinin GDPR kapsamında ana kuruluş statüsü olarak bilinen statüyü kazanmasına yol açtı; bu, Google’ın AB’nin amiral gemisi ile uyumluluğunun öncü gözetimi anlamına geliyor veri koruma rejimi İrlanda DPC’sine düşüyor. (Bundan önce Google, Android akıllı telefon işletim sistemini nasıl çalıştırdığına ilişkin unsurlarla ilgili olarak Fransa’da erken bir GDPR uygulamasıyla karşı karşıya kalmıştı.)
İrlandalı düzenleyici, ağır tempo, dolambaçlı yollar veya teknoloji devleri üzerinde tam bir denetim eksikliği nedeniyle eleştirilmeye devam ediyor. Bu, Google’ı hedef alan bir dizi önemli GDPR şikayetini (DPC’nin Şubat 2020’de açtığı) Google’ın konum takibine odaklanan şikayetleri de içermektedir; ve bir diğeri Google’ın reklam teknolojisine (İrlanda düzenleyicisi bunu Mayıs 2019’da başlattı). Google’ın işiyle ilgili bu araştırmaların hiçbiri İrlanda’da henüz bir karara yol açmadı. Ve ikinci soruşturma durumunda, DPC’ye aslında geçen yıl şikayetçiler tarafından dava açılmış ve bu dava düzenleyiciyi şikayetin esasını araştırmamakla suçlamıştı.
Noyb’un yakın zamanda Meta/Facebook’a yönelik büyük saldırıları durumunda DPC, yasal temelde Meta’nın argümanlarının yanında yer alarak uygulamayı engellemekle suçlandı; bu bulgu, diğer AB DPA’ları ve Avrupa Veri Koruma Kurulu (EDPB) tarafından şu şekilde bozuldu: GDPR’ye eklenen bir itiraz ve inceleme süreci.
Dolayısıyla, DPC’nin büyük teknolojiyi denetleme konusundaki sicili göz önüne alındığında, bu üçlü Fitbit şikayetinin hızlı bir şekilde sonuçlanması pek olası görünmüyor – beş+ ülkede giderek artan açıklayıcı CJEU kararları sayesinde GDPR’nin uygulanması genel olarak bir miktar ivme kazanıyor olsa bile. uygulamaya girdiğinden beri yıllar geçti.
Noyb’un Fitbit’e yönelik şikayetleri DPC tarafından bir soruşturmayı tetiklerse ve GDPR ihlalleri ileride doğrulanırsa, ana şirketi Alphabet’in geçen yıl yıllık gelirinin 283 milyar dolara ulaştığı göz önüne alındığında Google milyarlarca dolarlık para cezasıyla karşı karşıya kalabilir. (noyb, ihlallerin doğrulanması halinde 11,28 milyar Euro’ya kadar para cezasına çarptırılabileceğini öne sürüyor.)
Her ne kadar yine de DPC, büyük teknoloji GDPR ihlallerine mümkün olan en yüksek cezayı vermekten kaçınmakla kalmadı, taslak kararları sıklıkla diğer AB DPA’larının (ve EDPB’nin) uygun gördüğünden daha düşük cezalar çizdi; bu da düzenlemenin anlaşmazlığı kapsamında müdahalelere yol açtı Bu geri itmeler genellikle uygulama sürelerine ekstra aylar katmasına rağmen, İrlanda’da nihayet uygulanan ceza düzeylerini sıklıkla yükselten uzlaşma mekanizmaları. Bu nedenle, bu şikayetlere ilişkin herhangi bir yaptırımın bir kısa mesafe koşusu değil, bir maraton olmasını bekleyin.