"Grindr" ще бъде глобен с почти 10 милиона евро поради жалба по GDPR. Приложението за гей запознанства незаконно споделяше чувствителни данни на милиони потребители.
През януари 2020 г. норвежкият потребителски съвет и европейската неправителствена организация noyb.eu подадоха три стратегически жалби срещу Grindr и няколко adtech компании заради незаконно споделяне на данни на потребителите. Подобно на много други приложения, Grindr споделя лични данни (като данни за местоположението или факта, че някой използва Grindr) на потенциално стотици трети страни за реклама.
Днес норвежкият орган за защита на данните поддържа жалбите, потвърждавайки, че Grindr не е получил валидно съгласие от потребителите в предварително уведомление. Органът налага глоба от 100 милиона NOK (9,63 милиона евро или 11,69 милиона долара) на Grindr. Огромна глоба, тъй като Grindr отчете печалба от $ 31 милиона само през 2019 г. - една трета от която вече няма.
История на делото. На 14 януари 2020 г. Норвежкият потребителски съвет ( Forbrukerrådet ; NCC) подаде три стратегически GDPR жалби в сътрудничество с noyb . Жалбите са подадени до Норвежкия орган за защита на данните (DPA) срещу приложението за гей запознанства Grindr и пет adtech компании, които получават лични данни чрез приложението: Twitter`s MoPub, AT & T's AppNexus (сега Xandr ) , OpenX, AdColony и Smaato .
Grindr изпращаше пряко и косвено изключително лични данни до потенциално стотици рекламни партньори. Докладът „Извън контрол“ на NCC описва подробно как голям брой трети страни постоянно получават лични данни за потребителите на Grindr. Всеки път, когато потребител отвори Grindr, информация като текущото местоположение или фактът, че човек използва Grindr, се излъчва на рекламодатели. Тази информация се използва и за създаване на изчерпателни профили за потребителите, които могат да се използват за целенасочена реклама и други цели.
Съгласието трябва да бъде недвусмислено , информирано, конкретно и свободно дадено. Норвежката DPA прие, че твърдяното "съгласие", на което Grindr се опитва да разчита, е невалидно. Потребителите нито бяха информирани правилно, нито беше достатъчно конкретно съгласието, тъй като потребителите трябваше да се съгласят с цялата политика за поверителност, а не с конкретна операция по обработка, като споделяне на данни с други компании.
Съгласието също трябва да се дава свободно. DPA подчерта, че потребителите трябва да имат реален избор да не се съгласяват без никакви негативни последици. Grindr използва приложението, като се съгласи с споделянето на данни или с плащането на абонаментна такса.
„Съобщението е просто:„ вземи или остави “не е съгласие. Ако разчитате на незаконно „съгласие“, вие подлежите на солидна глоба. Това не се отнася само за Grindr, но и за много уебсайтове и приложения. " - Ала Криниките, адвокат по защита на данните в нойб
„ Това не само поставя ограничения за Grindr, но установява строги законови изисквания за цяла индустрия, която печели от събиране и споделяне на информация за нашите предпочитания, местоположение, покупки, физическо и психическо здраве, сексуална ориентация и политически възгледи "- Фин Myrstad, директор на цифров политика в норвежкия съвет за защита на потребителите (NCC).
Grindr трябва да контролира външни "Партньори". Освен това норвежката агенция за защита на данните заключи, че „Grindr не е успял да контролира и да поеме отговорност“ за обмена на данни с трети страни. Grindr сподели данни с потенциално стотици трети страни, като включи проследяващи кодове в приложението си. След това сляпо се довери на тези adtech компании да се съобразят със сигнал за отказ, който се изпраща до получателите на данните. DPA отбеляза, че компаниите могат лесно да игнорират сигнала и да продължат да обработват лични данни на потребителите. Липсата на какъвто и да е фактически контрол и отговорност за споделянето на данните на потребителите от Grindr не е в съответствие с принципа на отчетност от член 5, параграф 2 от ОРЗД. Много компании в бранша използват такъв сигнал, главно рамката на TCF от I nteractive Advertising Bureau (IAB).
"Компаниите не могат просто да включат външен софтуер в своите продукти и след това да се надяват, че спазват закона. Grindr включи проследяващия код на външни партньори и препрати потребителски данни на потенциално стотици трети страни - сега също трябва да гарантира, че тези" партньори " спазвайте закона. " - Ала Криниките, адвокат по защита на данните в нойб
Grindr: Потребителите може да са „двулюбиви“, но не и гей? GDPR специално защитава информацията за сексуалната ориентация. Grindr обаче е на мнение, че подобни защити не се отнасят за потребителите му, тъй като използването на Grindr няма да разкрие сексуалната ориентация на своите клиенти. Компанията твърди, че потребителите могат да бъдат откровени или „би-любопитни“ и все още да използват приложението. Норвежката DPA не купи този аргумент от приложение, което се самоопределя като „изключително за гей / би общността“. Допълнителният спорен аргумент на Grindr, че потребителите са направили сексуалната си ориентация „явно публична“ и следователно не е защитена, е също така отхвърлен от DPA.
"Приложение за гей общността, което твърди, че специалната защита за точно тази общност всъщност не се отнася за тях, е доста забележително. Не съм сигурен дали адвокатите на Grindr наистина са помислили над това." - Макс Шремс, почетен председател в noyb
Успешно възражение е малко вероятно. Норвежката DPA издаде „предварително съобщение“, след като изслуша Grindr в процедура. Grindr все още може да възрази срещу решението в рамките на 21 дни, което ще бъде прегледано от DPA. Въпреки това е малко вероятно резултатът да бъде променен по някакъв съществен начин. Въпреки това може да предстоят допълнителни глоби, тъй като Grindr вече разчита на нова система за съгласие и предполагаем "законен интерес" да използва данни без съгласието на потребителя. Това е в противоречие с решението на норвежката агенция за защита на данните, тъй като тя изрично приема, че „ всяко широко разкриване ... за маркетингови цели трябва да се основава на съгласието на субекта на данните “.
"Случаят е ясен от фактическа и правна страна. Не очакваме никакво успешно възражение от Grindr. Въпреки това, може да се предвиждат повече глоби за Grindr, тъй като напоследък той твърди, че е незаконен" легитимен интерес "за споделяне на потребителски данни с трети страни - дори без съгласие. Grindr може да бъде обвързан за втори тур. " - Ала Криниките, адвокат по защита на данните в нойб
Благодарности
- Проектът беше ръководен от Норвежкия потребителски съвет
- Техническите тестове са извършени от охранителната компания мнемоника.
- Изследването на adtech индустрията и конкретни брокери на данни е извършено с помощта на изследователя Wolfie Christl от Cracked Labs.
- Допълнителен одит на приложението Grindr е извършен от изследователя Zach Edwards от MetaX.
- Правният анализ и официалните жалби са написани с помощта на noyb.
