Nike past zijn Nike+ Running-app aan naar aanleiding van een onderzoek door het College bescherming persoonsgegevens. Uit dat onderzoek blijkt dat Nike onder andere bijzondere persoonsgegevens verwerkt en daar niet altijd een geldige grondslag voor heeft.
Het bijna honderd pagina's tellende onderzoek wijst uit dat Nike als verantwoordelijke tekortschiet als het bedrijf persoonsgegevens van gebruikers verwerkt. Er worden volgens het CBP niet alleen 'gewone' persoonsgegevens verwerkt, maar ook bijzondere, met betrekking tot de gezondheid van de gebruiker. De Running-app meet loopafstand, -snelheid en -tijd, waarbij de gebruiker ook wordt gevraagd zijn geslacht, lichaamslengte en gewicht in te vullen. Bij het aanmaken van een account wordt dan nog eens gevraagd naar geslacht, postcode, land en e-mailadres. Op basis van deze gegevens zou Nike onder andere inzicht kunnen krijgen in de gezondheid van gebruikers.
Bij de verwerking van persoonsgegevens is het van belang dat de gebruiker wordt geïnformeerd over wat er met deze gegevens gebeurt en waarom deze verzameld worden. Bovendien moet er in het geval van verwerking van bijzondere persoonsgegevens om toestemming worden gevraagd bij de gebruiker. De plichten hangen nauw met elkaar samen; zonder informatie is het immers niet mogelijk om te weten waarvoor je toestemming verleent. In de ogen van het CBP voldoet Nike niet aan deze verplichtingen.
Nike heeft in de loop van het onderzoek al enige verbeteringen in zijn privacybeleid aangebracht. Na afloop van het onderzoek beloofde het bedrijf aanvullende verbeteringen. Zo zijn gebruikers in nieuwe versies van de app niet meer verplicht hun lengte en gewicht op te geven. Bij bestaande gebruikers zal alsnog om toestemming worden gevraagd voor het behouden van deze gegevens. Ook de bewaartermijn van de gegevens wordt verkort naar een jaar. Deze was tot nu toe onbeperkt. Gebruikers worden vanaf nu ook beter geïnformeerd door verwijzing naar het juiste privacybeleid in de verschillende appwinkels. Tot slot kondigt Nike een 'grondige wijziging' van zijn Europese privacybeleid aan.
Een woordvoerder van het CBP geeft aan dat de door Nike getroffen maatregelen op dit moment afdoende zijn. In de toekomst moet blijken of dit zo blijft. Er wordt nog wel 'een vinger aan de pols gehouden' om er zeker van te zijn dat de beloofde maatregelen daadwerkelijk uitgevoerd worden. Als overtredingen voortduren kan het CBP handhavend optreden.
Het onderzoek van het CBP is voortgekomen uit de onderzoeksagenda van 2014. Daarin heeft de toezichthouder zich onder andere gericht op het gebruik van persoonsgegevens door mobiele apps. De agenda van 2015 bevat aandachtspunten voor onderwerpen als profiling en persoonsgegevens bij lokale overheden.