NCC & ноиб Жалба по GDPR: "Grindr" е глобен с 6,3 млн. евро заради незаконно споделяне на данни
Днес норвежкият орган за защита на данните наложи глоба на "Grindr" в размер на 65 млн. норвежки крони (6,34 млн. евро или 7,17 млн. долара). Приложението за запознанства на ЛГБТКИ не е получило валидно съгласие от потребителите, но въпреки това е споделяло чувствителни лични данни.
Контекст на делото На 14 януари 2020 г. Норвежкият съвет за защита на потребителите (Forbrukerrådet; NCC) подаде три стратегически жалби по GDPR в сътрудничество с noyb. Жалбите бяха подадени до норвежкия орган за защита на данните (ОЗД) срещу приложението за запознанства с хомосексуални Grindr и пет adtech компании, които са получавали лични данни чрез приложението: Twitter`s MoPub, AT&T`s AppNexus (сега Xandr), OpenX, AdColony и Smaato
Grindr е изпращал чувствителни лични данни на стотици потенциални рекламни партньори. На доклад "Извън контрол на НСС подробно описва как голям брой трети страни постоянно са получавали лични данни за потребителите на Grindr, като например факта, че използват Grindr, и данни за местоположението им
На 26 януари 2021 г. норвежкият орган обяви в "проекторешение" намерението си да наложи на Grindr глоба в размер на 100 млн. норвежки кро ни (около 10 млн. евро) за нарушение на член 4, параграф 11, член 6, член 7 и член 9, параграф 2, буква а) от ОРЗД. Днешната глоба от 65 млн. норвежки крони в окончателното решение беше ултимативноокончателно коригирана въз основа на действителните приходи на Grindr и на факта, че компанията е предприела мерки за преразглеждане на предишната си платформа за управление на съгласията
"Това е силен сигнал за всички компании, участващи в търговско наблюдение. Споделянето на лични данни без правно основание има сериозни последици. Призоваваме индустрията на цифровата реклама да направи фундаментални промени, за да зачита правата на потребителите правата на потребителите." - Фин Мирстад, директор по цифровата политика в Норвежкия съвет на потребителите (NCC).
Съгласието трябва да бъде недвусмислено, информирано, конкретно и свободно дадено Норвежкият орган за защита на данните реши, че предполагаемото "съгласие", на което Grindr се опитва да разчита, е невалидно. Потребителите не са били нито надлежно информирани, нито съгласието е било достатъчно конкретно: потребителите е трябвало да се съгласят с цялата политика за защита на личните данни, а не с конкретна операция по обработка, като например споделяне на данни с други дружества.
Освен това ДЗД подчерта, че потребителите трябва да имат избор не да дадат съгласието си, без това да има отрицателни последици. Grindr обаче постави използването на приложението в зависимост от съгласието; потребителите трябва или да се съгласят със споделянето на данни, или да платят абонаментна такса
В заключение DPA заяви, че "Grindr не е успял да контролира и да поеме отговорност за собственото си споделяне на данни, а механизмът за "отказ" не е бил непременно ефективен".
" - и това е същината, в допълнение към липсата на съгласие. Не можете да споделяте лични данни с потенциално неограничен брой партньори, без да можете да контролирате какво се случва с тези данни." - Ала Криникети, адвокат по защита на данните вnoyb
Личните данни не са валута. Норвежкият орган за защита на данните зае ясна позиция, като заяви, че личните данни не могат да се използват за заплащане на цифрови услуги, въпреки че Grindr разчита на "поведенческа реклама" като "основна дейност", за да се финансира. Това решение играе жизненоважна роля в европейската пазара, тъй като много онлайн услуги се опитват да реализират печалби, като представят данните на потребителите като средство за плащане
В крайна сметка норвежкият орган за защита на данните счита, че финансовите ползи, които Grindr е получил в резултат на незаконното споделяне, са утежняващ фактор при определянето на глобата, както и фактът, че Grindr е споделил с него данни от специална категория, защитени съгласно член 9партньори. Органът за защита на данните изрази становището си, че разпространението на въпросните данни може да изложи на риск основните права и свободи на субекта на данните, като например правото на неприкосновеност на личния живот и недискриминация
"Учудващо е, че ОЗД трябва да убеждава Grindr, че неговите потребители са ЛГБТ+ и че този факт не е стока, която може да бъде изтъргувана." - Ала Криникети, адвокат по защита на данните вnoyb
Жалба до Съвета за защита на личните данни. Делото вече може да бъде обжалвано пред Норвежкия апелативен съвет за защита на личните данни (Personvernnemda) в рамките на три седмици. Жалбите срещу компаниите за рекламни технологии, които са получили данните от Grindr, са в ход.
Благодарности
-
Проектът беше ръководен от Норвежкия съвет за защита на потребителите.
-
Техническите тестове бяха извършени от компанията за сигурност mnemonic.
-
Проучването на рекламната индустрия и конкретни брокери на данни беше извършено със съдействието на изследователя Волфи Кристъл от Cracked Labs
-
Допълнителен одит на приложението Grindr беше извършен от изследователя Зак Едуардс от MetaX.
-
Правният анализ и официалните жалби бяха написани със съдействието на noyb