top of page

Chytré hodinky skrývají hrozbu pro osobní údaje

Obrázek autora: Josef BátrlaJosef Bátrla

Málokdo při koupi chytrých hodinek či náramků přemýšlí nad tím, co se bude dít s jeho osobními údaji. Přitom jde o důležité kritérium! Sdružení NYOB odhalilo, že aplikace Fitbit předává údaje do nespecifikovaných zemí mimo EU. Hrozí jí za to miliardová pokuta.

Na stránkách Zpravodaje jsme se několikrát zabývali fenoménem „wearables“, tedy chytrými nositelnými zařízeními, jež díky propojení (často s mobilním telefonem) umožňují získávat o svém nositeli data pro jejich další zpracování. Jejich využití nabízí nepřeberné možnosti, chytré hodinky například měří náš spánek, aktivitu, spálené kalorie, ale i údaje o pulsu a další data, jejichž sledování nám může pomoci zjistit různá onemocnění. Dnes relativně běžně dostupné hodinky mohou sbírat data o funkci srdce, plic i zaznamenávat údaje o vypitých tekutinách či stravovacích návycích.


Jakkoliv jsou takové přístroje pro jedince přínosné, skrývají v sobě riziko. Každý sběr a vyhodnocení dat totiž spočívá ve zpracování osobních údajů a člověk by si měl vždy položit otázku, co se s jeho daty bude dít.


Pokud jste si někdy kupovali chytrá zařízení, položte si otázku – hrálo hlavní roli při výběru vhodného zařízení to, jak budou vaše osobní údaje zpracovávány? Pravděpodobně ne. Málokdo si totiž v rámci výběru fitness náramku či chytrých hodinek nejprve najde stránky a aplikaci výrobce a pročítá „privacy policy“ s cílem odhalit možná rizika. Ostatně pokud bychom žili v ideálním světě, kde jsou zákony všemi bezmezně dodržovány, neměl by k tomu být ani důvod.

Pozor na chytrá zařízení, zpracovávají vaše citlivá data

Jenže v ideálním světě bohužel nežijeme a někteří výrobci mohou překračovat hranici, kdy je jejich postup v souladu s GDPR. Sdružení NOYB, o jehož aktivitách jsme vás již několikrát informovali v souvislosti s podáváním stížností na různé subjekty, nedávno kritizovalo, jak ke zpracování osobních údajů uživatelů přistupuje společnost Fitbit, jež je vlastněná společností Google.


Pokud si koupíte vybrané hodinky či fitness náramky od společnosti Fitbit, budete si muset pro jejich využívání vytvořit profil v jejich aplikaci. To samo o sobě není žádným prohřeškem, ostatně takto funguje mnoho zařízení a jedná se tedy o typickou funkcionalitu. Problém může nastat v okamžiku, kdy vás aplikace nutí k něčemu, co sami dělat nechcete – jako například zpřístupnění vašich osobních údajů do zemí mimo EU, u nichž je důvodná pochybnost o dodržování záruk vyžadovaných GDPR. Pokud byste si tedy v rámci aplikace Fitbit chtěli vytvořit účet (bez čehož nelze předmětná zařízení plnohodnotně využívat), musíte aplikaci udělit svůj souhlas s předáváním osobních údajů mimo EU. Kam? To sám Fitbit nespecifikuje.


Obecným prvkem souhlasu je, že musí být udělen svobodně, jak je upraveno v čl. 4 odst. 11 GDPR a dále upřesněno v čl. 7 odst. 4 GDPR. Při posuzování, zda je souhlas udělen svobodně, se mimo jiné přihlíží k tomu, zda je plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné. V případě aplikace společnosti Fitbit poskytnutí souhlasu nelze fakticky nijak obejít. Pokud uživatelé chtějí aplikaci využívat, musejí souhlas bezpodmínečně udělit. Takový souhlas však z povahy věci nemůže být udělen svobodně, neboť je jím podmíněné využití služeb.


Čl. 49 odst. 1 písm. a) GDPR požaduje, aby byl uživatel, jehož osobní údaje mají být předány do třetích zemí, před vyjádřením výslovného souhlasu informován o možných rizicích, která mu hrozí v důsledku předání údajů do zemí s odlišnou mírou ochrany osobních údajů. Společnost Fitbit tyto informace údajně uživatelům aplikace neposkytuje, jelikož neuvádí seznam zemí, do kterých jsou osobní údaje předávány, a nespecifikuje ani konkrétní rizika, která uživatelům hrozí.


V souladu s čl. 4 odst. 11 GDPR musí být souhlas též konkrétní. Podle Evropského sboru pro ochranu osobních údajů je někdy získání konkrétního předchozího souhlasu s budoucím předáním údajů v okamžiku shromažďování údajů nemožné, a to například pokud konkrétní okolnosti předání údajů nejsou v době, kdy je souhlas udělován, známy. Organizace NYOB tvrdí, že společnost Fitbit nikdy neposkytla informace o konkrétních okolnostech předání, například seznam zemí, do kterých jsou osobní údaje uživatelů předávány, ani účely, pro které je s údaji tímto způsobem nakládáno. Daný souhlas tak nelze považovat ani za konkrétní, jak to GDPR vyžaduje.


Souhlas by měl být navíc z povahy věci odvolatelný. Jak je to v tomto případě? Pokud chcete v případě Fitbit účtu zamezit výše uvedenému zpracování a předávání, nelze jednoduše odvolat souhlas, musíte smazat celý účet. Tím pádem přicházíte o možnost dále předmětné zařízení plně využívat.


NOYB tak došel k závěru, že předmětné zpracování je nezákonné a jménem tří uživatelů podal celkem tři stížnosti, a to k rakouskému, nizozemskému a italskému dozorovému orgánu. Prostřednictvím těchto stížností se chce NOYB domoci toho, aby byl Fitbit přinucen sdělit veškeré informace dle čl. 13 GDPR včetně podrobností o předávání osobních údajů mimo EU. Samo sdružení NOYB pak vyčíslilo možnou sankci, která by mohla být společnosti provozující předmětné zpracování udělena, až na 11,28 miliardy eur. O dalších podrobnostech případu vás budeme informovat.


Коментарі


bottom of page