Gizlilik
GDPR ve fitness verileri: akıllı saat verileriniz gerçekte nereye gidiyor
Yönetmeliğin ne dediği, markaların gerçekte ne yaptığı ve Avrupa'daysenız ne talep edebileceğiniz. Hysteri olmadan, somut örneklerle.
Kısaca
- Kalp atış hızı, uyku, adet döngüsü ve SpO₂, GDPR madde 9 kapsamında 'özel' sağlık verileridir: onay, genel bir 'tümünü kabul et' değil, açık ve ayrıntılı olmalıdır.
- Neredeyse hiçbir büyük markanın Avrupa'da sunucusu yoktur: Apple, Google/Fitbit, Garmin ve Samsung, verileri SCC veya DPF mekanizmaları aracılığıyla ABD'ye aktarır.
- Şu anda kullanabileceğiniz üç pratik hakkınız var: erişim (30 gün içinde ücretsiz kopya), taşınabilirlik (CSV/JSON) ve silme.
- Gizlilik politikalarındaki kırmızı bayrak: tek bir toplu izinde yer alan 'araştırma ortaklarıyla paylaşım' veya sağlık verileri için 'reklam kişiselleştirme'.
- Health Connect, Android'deki en gizlilik dostu yapılandırmadır: veriler cihazda kalır ve her uygulama, her veri türü için ayrı ayrı izin istemek zorundadır.
Akıllı saat verileriniz (kalp atış hızı, uyku, adet döngüsü, kilo, aktivite), GDPR madde 4 sayı 15 kapsamında sağlık verisi sayılır: yönetmelik bunları e-posta adreslerinden veya satın alma geçmişinden daha katı kurallara tabi kılar ve bu verileri toplayan her markanın Avrupalı kullanıcılara karşı kesin yükümlülükleri yerine getirmesi gerekir. Bu makale, bu yükümlülüklerin pratikte ne anlama geldiğini ve haklarınızı nasıl kullanacağınızı açıklıyor.
GDPR kapsamında 'sağlık verisi' sayılan nedir
'Özel' kategori (md. 9): işleme prensipte yasaktır, açık istisnalar dışında. Akıllı saatler için ilgili iki istisna şunlardır: açık rıza (md. 9.2.a) ve sağlık hizmetleri, iş yeri hekimliği veya halk sağlığı amaçları (9.2.h-i). Neredeyse tüm tüketici üreticileri, ilk başlatmada Hizmet Şartlarını kabul ederken verdiğiniz açık rızaya dayanır.
- Kalp atış hızı: sağlık verisi.
- Adet döngüsü (Apple Watch Cycle Tracking, Withings Cycle vb.): hassas sağlık verisi.
- Uyku evrelere göre (REM, derin, hafif, uyanık): sağlık verisi.
- EKG: tıbbi sağlık verisi.
- SpO₂: sağlık verisi.
- Günlük adımlar: sınır bölgesi. Bazı veri koruma otoriteleri bunları tanımlanabilir bir kişiyle ilişkilendirildiğinde sağlık verisi olarak sınıflandırır; diğerleri standart kişisel veri olarak değerlendirir.
- Antrenman GPS izleri: kişisel veri (sağlık verisi değil), ancak ikamet yeri, iş yeri ve alışkanlıkları ortaya çıkarabilecek yerelleştirilmiş bir profil.
Verileriniz fiziksel olarak nereye gidiyor
Her markanın gizlilik politikası, sunucuların hangi ülkelerde barındırıldığını belirtir. 2026 itibarıyla kamuya açık politikalara dayalı özet:
| Marka | Birincil AB veri sunucuları | AB dışı transferler |
|---|---|---|
| Apple | İrlanda + Danimarka | Analitik işleme için ABD (SCC) |
| Google (Fitbit/Pixel) | Belçika + Hollanda + Finlandiya | ABD (DPF + SCC) |
| Samsung | Hollanda + Almanya | Yedekleme için Güney Kore; Health Cloud için ABD (SCC) |
| Garmin | Hollanda + ABD | Varsayılan olarak ABD (SCC + DPF) |
| Polar | Finlandiya | Analitik işlemeyle sınırlı |
| Withings | Fransa | Sınırlı |
| Oura | İrlanda | İşleme için ABD (SCC) |
| Xiaomi | Almanya | Singapur + Çin (SCC ile; GDPR yorum çekinceleriyle) |
| Huawei | Hollanda + Almanya | Çin (karmaşık durum, Hizmet Şartlarını okuyun) |
Haklarınız, pratikte
Erişim hakkı (md. 15)
Herhangi bir veri sorumlusundan hakkınızdaki tüm verilerin bir kopyasını isteyebilirsiniz. 30 günleri var (karmaşık vakalarda 90'a uzatılabilir). Ücretsiz. Veri seti anlaşılır olmalıdır (anlaşılmaz ikili döküm dosyaları kabul edilemez).
- Apple: privacy.apple.com üzerinden (Health iCloud verileri dahil).
- Google/Fitbit: takeout.google.com üzerinden.
- Samsung: privacy.samsung.com/tr/privacy-rights üzerinden.
- Garmin: hesap paneli → Privacy → 'Export data' üzerinden.
- Polar: flow.polar.com → profil ayarları üzerinden.
- Withings: account.withings.com → gizlilik üzerinden.
- Oura: cloud.ouraring.com → settings → export üzerinden.
- Xiaomi: privacy.mi.com üzerinden.
- Diğer tüm markalar için: privacy@[marka].com adresine e-posta gönderin (bir kanal sağlamakla yükümlüdürler).
Güvenlik Taşıyıcı Hakkı (Mülk 20)
Spesifik edin için verdiğin bilgiye (kendini veya hizmetiniz aracılığıyla) bağlı olarak. Sahip olan verilerinden türetilen veya toplamış olunan verilerin dahil olmasının mümkün olmadığını belirtin. 'Struktürlü, yaygın kullanım için ve otomatik cihaz tarafından okunabilir', genellikle CSV veya JSON olarak ifade edilir. Bu, tarihi kaybetseniz de ecosistemi değiştirmeyi mümkün kılar.
Silaha erişim hakkı (madd. 17)
Hesap kapatıldığında, veriler silinmelidir. Neredeyse tüm markalar, silinen sonra 30-180 gün içinde operasyonel yedek tutmalarını bildirmelidir (bu zorunlu değildir). Anonimleştirilmiş ve araştırma/gelişim için toplama verileri için silme zorunluluğu olmayabilir.
İstisna hakkı (Mülk İdaresi Kanunu madde 21)
KVKK’ye dayalı gerçekleştirebilecek trattamenti (pazarlama profili, toplanan agregat analitik veriler), her zaman talep etmenin hakkiniza sahipsiniz. Ver]={ Sahibi bu işlemin durdurulması veya daha öne çıkan bir ilgi kanunu olarak gösterilmesini ister. Genellikle bu, 'veri paylaşma programları ile hizmeti geliştirmek' için temel yasal kuraldır.
Bandiere kırmızı gizlilik politikasında
Giyilebilir cihaz bir brandin gizlilik ilkesini okuduktan sonra satın almadan arama bu anahtar kelimeleri. KVKK uyumluluğu daha çok veya daha az agresif uygulamaları gösteren işaretçilerdir.
- "Veri şifreleme ile araştırmacılarla veri paylaşımı yaparız" → hassas girdikçe onaylanan consenso? Sıra = tamam. Paketlenmiş "tümüne izin ver" = kırmızı.
- 'Güvenlikli ve anonsal veriler' → anonsal işlemler çoklu veri setlerinde geri alınamaz. Erişimi engelleme seçeneği varsa, kullaniciya bildirin.
- 'Günlük kullanım için hizmetlerimizi ve ortaklarımızın hizmetlerini iyileştirmek amacıyla' → 'ortak' genel bir terim olabilir.
- 'Kişisel reklam ayarları' → sağlık verileri için yasaktır (Apple, Google/Fitbit resmi olarak bunu yapmadıklarını belirtmektedir). Bu tür bir koşul sağlık verilerinde bulursanız, markayı değiştirin.
- Çin sunucusu GDPR belirtilmeksizin → Avrupa kullanımında neredeyse her zaman yasal bir sorun olur.
Özetle
- Frekans kalp atışları, uyku, ayakkabı döngüsü ve SpO₂ sağlık bilgileri 'özel' altına girmektedir GDPR m. 9: açık ve hassas bir onayı almalıyız, genel bir 'tümüne kabul' yerine.
- Sunucularımın neredeyse tümü Avrupa dışı: Apple, Google/Fitbit, Garmin, Samsung, verileri SCC veya DPF mekanizmalarıyla Amerika Birleşik Devletleri'ne aktarır. Huawei ve Xiaomi verilerini daha zayıf garanti ile Asya yönünde aktarır.
- Uzunuz üç anında uygulanabilen praktik hakkınız var: erişim (30 günde veri kopyalama, ücretsiz), taşınabilirlik (CSV/JSON formatı ile ecosisteme geçiş yapma), silme (hesabı kapatarak verilerinizi silme).
- Kırmızı bayrak gizlilik politikasında: 'araştırma ortaklarıyla paylaşıyoruz' tek bir onayla, veya 'reklam personalisasyonu' için sağlık verileri.
- KVKK uyumluluğu Android olarak Health Connect: veriler cihazda kalır ve her uygulama veri türü için izin istemez.
Sık sorulan sorular
Bir marka GDPR'ı ihlal ederse dava açabilir miyim?+
In Avrupa standart yolda veri koruma gözetmenine şikayetçi olunur (İtalya'da: GPDP, www.garanteprivacy.it). Ücretsiz olan Gözetmen, soruşturma açabilir ve cezai yaptırımlar uygulayabilir. Doğrudan vatandaş davası mümkün olsa da maliyetli olabilir; bu, belirli bir zarara sahip olduğunuzda (örn. kimlik çalınma gibi) tercih edilebilir bir seçenektir.
KVKK'ye uygun mu?+
Struktural olarak evet, bu Android üzerinde mevcut olası en gizlilik dostu ayarlıktır. Veriler telefonunda kalır, her uygulama veri türü için açıkça izin istemelidir, erişim günlüğü de bulunmaktadır. Ancak, izin vereceğiniz uygulamaları değerlendirmeniz önemlidir: bir uygulamanın HC'den okuduğu verileri başka bir yerlere yükleyebilir (MyFitnessPal veya danışmanlık uygulamalarının kendi bulutlarına verileri göndermesi gibi durumlar).
Uygulama FitMesh Sync KVKK'ye uyumlu mı?+
Evet. Gizlilik ilkesi belirtilmiş, server backend Supabase Frankfurt (UE) sunucularında barındırılmış, uygulamada hassas consent, verilerin tek tıkla silinmesi ayarlarından, üçüncü taraf ile reklam teknolojisi için veri paylaşımı yok, gizli analitik tracker yok. Tasarımın parçası olan gizlilik tasarımına dayalı mimari.
Sorumluluk reddi
FitMesh Sync bağımsız bir üründür. Apple, Google, Fitbit, Samsung, Garmin, Polar, Withings, Oura, Xiaomi, Huawei ilgili sahiplerinin ticari markalarıdır. Bu makale herhangi bir ortaklık veya sponsorluk içermez.
Sağlık bildirimi
Bu makaledeki bilgiler yalnızca genel bilgilendirme amaçlıdır ve doktorunuzun, eczacınızın veya sağlık profesyonelinizin tavsiyesinin yerini tutmaz. FitMesh Sync bir fitness ve wellness uygulamasıdır; tıbbi cihaz değildir ve herhangi bir hastalığı teşhis etmez ya da tedavi etmez. Belirtiler, klinik sorular veya tedavi kararları için her zaman doktorunuza danışın.
Yazan
Matteo Pizzi
Founder & Solo Dev, FitMesh Sync · Fosforonero
İtalyan yazılım geliştirici. FitMesh Sync'i akıllı saatim ile gerçek bir kişisel kontrol paneli arasındaki boşluğu doldurmak için kurdum. Gizlilik odaklı, bağımsız, AB sunucuları.
Proje hakkında daha fazla bilgiOkumaya devam et
Guide
2026'da giyilebilir cihaz senkronizasyonuna kapsamlı rehber
Üç standart bir arada var, on marka kendi bulutunu zorluyor. Zamandan tasarruf etmenin pratik kuralı: gadget'tan önce veri kanalını seç.
Guide
Akıllı saate ve verilerin kontrolü: nasıl seçileceği
Yapısal gizlilik, gerçek dışa aktarılabilirlik, önlenebilir lock-in. Bir teknoloji danışmanından dürüst bir rehber, bir satıcıdan değil.
Ecosystem
Google satın almasının ardından Fitbit verilerini dışa aktarma: pratik kılavuz
Google 2021'de Fitbit'i satın aldı, 2023'te hesapları birleştirdi ve Fitbit.com'u Google araçlarıyla değiştirdi. Verileriniz nerede ve nasıl çıkarırsınız.