فيتبيت المملوكة لشركة جوجل تواجه ثلاث شكاوى تتعلق بالخصوصية في الاتحاد الأوروبي، والتي تزعم أن الشركة تقوم بتصدير بيانات المستخدم بشكل غير قانوني في انتهاك لقواعد حماية البيانات الخاصة بالاتحاد.
تستهدف الشكاوى ادعاء شركة Fitbit بأن المستخدمين وافقوا على النقل الدولي لمعلوماتهم – إلى الولايات المتحدة وأماكن أخرى – بحجة أن الشركة تجبر المستخدمين على الحصول على موافقة لا تفي بالمعايير القانونية المطلوبة.
تضع اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي مجموعة من القواعد لكيفية استخدام معلومات المستخدمين المحليين، بما في ذلك مطالبة معالجي البيانات بأن يكون لديهم أساس قانوني صالح لمعالجة بيانات الأشخاص ووضع الضوابط على تصدير البيانات. يمكن أن تؤدي انتهاكات النظام إلى فرض عقوبات مالية تصل إلى 4% من إجمالي المبيعات السنوية العالمية للمخالف.
الأساس القانوني الذي تطالب به شركة Fitbit لتصدير بيانات مستخدمي الاتحاد الأوروبي – الموافقة – يجب أن يستوفي معايير معينة حتى يكون صالحًا. باختصار، يجب أن تكون مستنيرة ومحددة ومُعطاة بحرية. لكن الشكاوى تقول إن شركة Fitbit تفرض الموافقة بشكل غير قانوني لأن المستخدمين الراغبين في استخدام المنتجات والخدمات التي دفعوا ثمنها ليس لديهم خيار الموافقة على تصدير البيانات حتى تعمل المنتجات.
وتزعم الشكاوى أيضًا أن شركة Fitbit فشلت في ذلك توفير معلومات كافية للمستخدمين فيما يتعلق بعمليات نقل بياناتهم – مما يعني أنهم لا يستطيعون أيضًا تقديم موافقة مستنيرة، كما يتطلب القانون العام لحماية البيانات. كما يسلطون الضوء أيضًا على أن مستخدمي Fitbit غير قادرين على سحب الموافقة كما ينبغي أن يكونوا قادرين على ذلك بموجب اللائحة العامة لحماية البيانات – باستثناء حذف حسابات Fitbit الخاصة بهم وفقدان جميع التدريبات التي تم تتبعها. مما يعني أن مستخدمي Fitbit يواجهون معاقبة تجربة منتجهم بسبب إلغاء الموافقة.
حقوق الخصوصية الأوروبية غير هادفة للربح، noyb، قدمت الشكاوى إلى سلطات حماية البيانات في النمسا وهولندا وإيطاليا نيابة عن ثلاثة من مستخدمي Fitbit (لم يذكر اسمهم).
وتعليقًا على ذلك، قال ماارتجي دي جراف، محامي حماية البيانات في قال نويب: “أولاً، عليك شراء ساعة Fitbit مقابل 100 يورو على الأقل. ثم تقوم بالتسجيل للحصول على اشتراك مدفوع، لتجد أنك مجبر على الموافقة “بحرية” على مشاركة بياناتك مع المستلمين في جميع أنحاء العالم. وبعد مرور خمس سنوات على اللائحة العامة لحماية البيانات، لا تزال شركة Fitbit تحاول فرض نهج “خذ الأمر أو اتركه”.
لقد كان noyb وراء العشرات من الشكاوى الناجحة بشأن اللائحة العامة لحماية البيانات (GDPR) في السنوات الأخيرة – بما في ذلك سلسلة من الضربات ضد Meta (Facebook) والتي أدت مؤخرًا إلى إغلاق الشركة الإعلان عن أنه سيتحول أخيرًا إلى طلب موافقة المستخدمين المحليين للتتبع والتوصيف الذي يدعم استهداف الإعلانات السلوكية الأساسية. لذا فإن الدعاوى القضائية الإستراتيجية التي رفعها نويب تستحق المشاهدة دائمًا.
“عند إنشاء حساب في Fitbit، يكون المستخدمون الأوروبيون ملزمين بالموافقة على نقل بياناتهم إلى الولايات المتحدة والدول الأخرى التي لديها قوانين مختلفة لحماية البيانات”. وهذا يعني أن بياناتهم يمكن أن تنتهي في أي بلد حول العالم لا يتمتع بنفس إجراءات حماية الخصوصية التي يتمتع بها الاتحاد الأوروبي. “وبعبارة أخرى: تجبر شركة Fitbit مستخدميها على الموافقة على مشاركة البيانات الحساسة دون تزويدهم بمعلومات واضحة حول الآثار المحتملة أو البلدان المحددة التي تذهب إليها بياناتهم. ويؤدي هذا إلى موافقة ليست حرة أو مستنيرة أو محددة – مما يعني أن الموافقة لا تلبي بوضوح متطلبات اللائحة العامة لحماية البيانات.
“وفقًا لسياسة خصوصية Fitbit، فإن البيانات المشتركة لا تتضمن فقط أشياء مثل عنوان البريد الإلكتروني للمستخدم وتاريخ الميلاد والجنس. يمكن للشركة أيضًا مشاركة “بيانات مثل سجلات الطعام أو الوزن أو النوم أو الماء أو تتبع صحة المرأة؛ منبه؛ والرسائل على لوحات المناقشة أو إلى أصدقائك على الخدمات. ويمكن أيضًا مشاركة البيانات المجمعة للمعالجة مع شركات خارجية لا نعرف مكان تواجدها. “علاوة على ذلك، من المستحيل على المستخدمين معرفة البيانات المحددة التي تأثرت. مارس أصحاب الشكوى الثلاثة حقهم في الوصول إلى المعلومات مع مسؤول حماية البيانات في الشركة، لكنهم لم يتلقوا أي رد.
تشكك الشكاوى أيضًا في صحة اعتماد Fitbit على الموافقة على عمليات النقل الروتينية للبيانات الحساسة خارج الكتلة.
“ينص القانون العام لحماية البيانات بوضوح على أنه لا يمكن استخدام الموافقة إلا كاستثناء لحظر نقل البيانات خارج الاتحاد الأوروبي – مما يعني أن الموافقة لا يمكن أن تكون إلا أساسًا قانونيًا صالحًا لعمليات نقل البيانات العرضية وغير المتكررة. “ومع ذلك، تستخدم شركة Fitbit الموافقة لمشاركة جميع البيانات الصحية بشكل روتيني”، يقترح نويب، بحجة أن عمليات نقل Fitbit “منهجية بشكل واضح” وتتساءل أيضًا عما إذا كان بإمكانها “اجتياز اختبار الضرورة الصارمة”، بالنظر إلى كمية البيانات الشخصية (بما في ذلك بعض البيانات الحساسة). ) يتم تصديره بشكل روتيني.
في حين تبنت الهيئة التنفيذية للاتحاد الأوروبي، المفوضية الأوروبية، اتفاقية جديدة لنقل بيانات الملاءمة مع نظيراتها في الولايات المتحدة الشهر الماضي – صفقة رفيعة المستوى تهدف إلى تقليص المخاطر القانونية المتعلقة بتدفقات البيانات عبر المحيط الأطلسي – يشير نويب إلى أن فيتبيت لا تدعي أنها تعتمد على ما يسمى بإطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة لصادرات بيانات مستخدمي الاتحاد الأوروبي.
“لا تذكر شركة Fitbit في سياسة الخصوصية الخاصة بها أو في أي مكان آخر أنها تنقل البيانات بموجب الإطار الجديد، ولكنها تنص بدلاً من ذلك على أنها تستخدم الموافقة والبنود التعاقدية النموذجية” [standard contractual clauses] وقال دي جراف لـ TechCrunch: “كآليات نقل”. “إن Fitbit أيضًا غير معتمد بموجب إطار عمل خصوصية البيانات.
“وبصرف النظر عن ذلك، فهي مسألة وقت فقط حتى noyb سوف يطعن في صلاحية الإطار الجديد أمام محكمة العدل الأوروبية [Court of Justice of the EU]. ولا تزال المشاكل الأساسية المتعلقة بقوانين المراقبة الأمريكية قائمة”.
وأكدت noyb أنها تتوقع إعادة توجيه الشكاوى الثلاث مرة أخرى إلى هيئة حماية البيانات الرئيسية التابعة لشركة Google في الاتحاد الأوروبي، وهي لجنة حماية البيانات الأيرلندية (DPC)، بما يتماشى مع آلية الشباك الواحد الخاصة باللائحة العامة لحماية البيانات لتبسيط الشكاوى عبر الحدود.
في أوائل عام 2019، قامت Google بتبديلالولاية القضائية حيث يعالج بيانات المستخدمين الأوروبيين، من الولايات المتحدة إلى كيانها الذي يقع مقره في دبلن، Google Ireland Limited – مما أدى إلى حصول مقرها الرئيسي الأوروبي على ما يُعرف بحالة المؤسسة الرئيسية بموجب اللائحة العامة لحماية البيانات، مما يعني أن الإشراف الرئيسي على امتثال Google لنظام حماية البيانات الرئيسي للاتحاد الأوروبي يقع على عاتق لجنة حماية البيانات الأيرلندية. (قبل ذلك، تعرضت Google لهجوم التنفيذ المبكر للقانون العام لحماية البيانات (GDPR) في فرنسا تتعلق بعناصر كيفية تشغيل نظام تشغيل الهاتف الذكي الذي يعمل بنظام Android.)
لا تزال الهيئة التنظيمية الأيرلندية تتعرض للانتقاد بسبب وتيرة التثاقل، أو المسارات المتعرجة، أو مجرد الافتقار التام إلى التنفيذ على عمالقة التكنولوجيا. يتضمن ذلك حالة عدد من الشكاوى الرئيسية المتعلقة باللائحة العامة لحماية البيانات التي تستهدف Google – مثل تلك التي تركز على تتبع موقع Google (والتي فتحتها DPC في فبراير 2020); وآخر في تكنولوجيا الإعلانات من Google (والتي بدأتها الهيئة التنظيمية الأيرلندية مايو 2019). ولم تسفر أي من هذه التحقيقات في جوانب أعمال Google عن قرار خارج أيرلندا حتى الآن. وفي حالة الاستفسار الأخير، فإن تم رفع دعوى قضائية ضد شركة DPC بالفعل من قبل أصحاب الشكوى العام الماضي والتي اتهمت الهيئة التنظيمية بالفشل في التحقيق في جوهر الشكوى.
في حالة الضربات الكبيرة الأخيرة التي قام بها نويب على Meta/Facebook، تم اتهام لجنة حماية البيانات أيضًا بعرقلة التنفيذ من خلال الانحياز إلى حجج ميتا على أساس قانوني – وهي النتيجة التي أبطلتها اتفاقيات حماية البيانات الأخرى في الاتحاد الأوروبي و المجلس الأوروبي لحماية البيانات (EDPB) من خلال عملية الاعتراض والمراجعة المضمنة في اللائحة العامة لحماية البيانات (GDPR).
لذا، نظرًا لسجل DPC في الإشراف على شركات التكنولوجيا الكبرى، يبدو من غير المرجح التوصل إلى نتيجة سريعة لهذه الشكاوى الثلاث من Fitbit – حتى مع أن تطبيق اللائحة العامة لحماية البيانات (GDPR) بشكل عام كان يكتسب بعض الزخم، وذلك بفضل مجموعة متزايدة من توضيح أحكام محكمة العدل الأوروبية في الخمس سنوات فما فوق منذ دخوله حيز التنفيذ.
إذا أدت شكاوى noyb ضد Fitbit إلى إجراء تحقيق من قبل DPC – وتم تأكيد انتهاكات اللائحة العامة لحماية البيانات – فقد تواجه Google غرامات بمليارات الدولارات نظرًا لأن شركتها الأم، Alphabet، شهدت وصول إيراداتها السنوية إلى 283 مليار دولار في العام الماضي. (يقترح نويب أنه قد يتعرض لغرامات تصل إلى 11.28 مليار يورو إذا تم تأكيد الانتهاكات).
على الرغم من أن DPC لم تفعل ذلك مرة أخرى لقد تجنبنا فقط فرض أقصى العقوبات الممكنة على انتهاكات القانون العام لحماية البيانات (GDPR) الكبرى في مجال التكنولوجيا لقد حددت مسودات قراراتها في كثير من الأحيان عقوبات أقل مما تراه اتفاقيات حماية البيانات الأخرى في الاتحاد الأوروبي (و EDPB) كما هو مناسب – مما أدى إلى تدخلات بموجب آليات تسوية المنازعات الخاصة باللائحة والتي غالبًا ما أدت إلى رفع مستويات العقوبات المطبقة أخيرًا في أيرلندا، حتى مع عمليات الرفض هذه عادة ما يتم إضافة عدة أشهر إضافية إلى الجداول الزمنية للتنفيذ. لذا توقع أن يكون أي تطبيق لهذه الشكاوى بمثابة سباق الماراثون، وليس سباق السرعة.