"Grindr" dostane pokutu téměř 10 milionů eur kvůli stížnosti na GDPR. Gay seznamka neoprávněně sdílela citlivé údaje milionů uživatelů.
V lednu 2020 podala Norská rada spotřebitelů a evropská nevládní organizace na ochranu soukromí noyb.eu tři strategické stížnosti na společnost Grindr a několik adtech společností kvůli nezákonnému sdílení údajů uživatelů. Stejně jako mnoho dalších aplikací sdílela společnost Grindr osobní údaje (například údaje o poloze nebo skutečnost, že někdo používá Grindr) potenciálně stovkám třetích stran za účelem reklamy.
Norský úřad pro ochranu osobních údajů dnes stížnostem vyhověl a potvrdil, že společnost Grindr nezískala od uživatelů platný souhlas v předběžném oznámení. Úřad uložil pokutu ve výši 100 milionů norských korun (9,63 EUR) Mio nebo 11,69 Mio USD) společnosti Grindr. Obrovská pokuta, protože Grindr v roce 2019 vykázal zisk pouze 31 milionů dolarů - z toho třetina je nyní pryč.
Pozadí případu: Grindr je v současné době ve fázi vyšetřování. Dne 14. ledna 2020 Norská rada pro ochranu spotřebitelů (Forbrukerrådet; NCC) podala ve spolupráci se společností noyb tři strategické stížnosti týkající se GDPR. Stížnosti byly podány norskému úřadu pro ochranu osobních údajů (DPA) proti aplikaci pro gay seznamování Grindr a pěti adtech společnostem, které prostřednictvím aplikace získávaly osobní údaje: AppNexus (nyní AppNexus), AT&T (nyní AppNexus) a další společnosti, které se zabývají poskytováním služeb v oblasti sociálních služeb Xandr), OpenX, AdColony a Smaato.
Grindr přímo i nepřímo odesílal vysoce osobní údaje potenciálně stovkám reklamních partnerů. Na adrese zpráva "Mimo kontrolu nCC podrobně popsala, jak velké množství třetích stran neustále získává osobní údaje o uživatelích Grindru uživatelů. Pokaždé, když uživatel otevře Grindr, jsou informace, jako je aktuální poloha nebo skutečnost, že osoba používá Grindr, vysílány inzerentům. Tyto informace jsou také využívány k vytváření komplexních profilů uživatelů, které mohou být použity pro cílenou reklamu a další účely.
Souhlas musí být jednoznačný, informovaný, konkrétní a svobodně udělený. Norský úřad pro ochranu údajů rozhodl, že údajný "souhlas", na který se společnost Grindr snažila odvolat, je neplatný. Uživatelé nebyli řádně informováni a souhlas nebyl ani dostatečně konkrétní, protože uživatelé museli souhlasit s celými zásadami ochrany osobních údajů, a nikoli s konkrétní operací zpracování, jako je například sdílení údajů s jinými společnostmi.
Souhlas musí být také udělen svobodně. Orgán pro ochranu údajů zdůraznil, že uživatelé by měli mít skutečnou možnost nesouhlasit bez jakýchkoli negativních důsledků. Společnost Grindr podmiňovala používání aplikace souhlasem se sdílením údajů nebo zaplacením předplatného.
"Poselství je jednoduché: 'ber, nebo nech být' není souhlas. Pokud se spoléháte na nezákonný 'souhlas', hrozí vám vysoká pokuta. To se netýká jen Grindru, ale mnoha webových stránek a aplikací." - Ala Krinickytė, právnička v oblasti ochrany osobních údajů na noyb
"Tímto se nejen stanoví limity pro Grindr, ale zavádí se přísné právní požadavky pro celé odvětví, které vydělává na shromažďování a sdílení informací o našich preferencích, poloze, nákupech, fyzickém a duševním zdraví, sexuální orientaci a politických názorech"- Finn Myrstad, ředitel digitální politiky v Norské spotřebitelské radě (NCC).
Grindr musí hlídat externí "partnery". Norský úřad pro ochranu údajů navíc dospěl k závěru, že "společnost Grindr nezajistila kontrolu a nepřevzala odpovědnost" za sdílení svých údajů s třetími stranami. Grindr sdílel údaje s potenciálně stovkami třetích stran tím, že do své aplikace začlenil sledovací kódy. Poté slepě důvěřovala těmto adtech společnostem, že dodržují signál "opt-out", který je zasílán příjemcům údajů. Úřad pro ochranu údajů poznamenal, že společnosti mohly tento signál snadno ignorovat a pokračovat ve zpracování osobních údajů uživatelů. Absence jakékoli faktické kontroly a odpovědnosti za sdílení údajů uživatelů ze strany společnosti Grindr není v souladu se zásadou odpovědnosti podle čl. 5 odst. 2 GDPR. Takový signál používá mnoho společností v oboru, především rámec TCF od Interactive Advertising Bureau (IAB).
"Společnosti nemohou do svých produktů pouze začlenit externí software a pak doufat, že dodržují zákon. Společnost Grindr zahrnula sledovací kód externích partnerů a předala údaje o uživatelích potenciálně stovkám třetích stran - nyní musí zajistit, aby i tito 'partneři' dodržovali zákon." - Ala Krinickytė, právnička v oblasti ochrany osobních údajů na noyb
Grindr: Uživatelé mohou být "bisexuální", ale ne homosexuální? GDPR speciálně chrání informace o sexuální orientaci. Společnost Grindr však zaujala stanovisko, že tato ochrana se na její uživatele nevztahuje, protože používání Grindru by neodhalilo sexuální orientaci jejích zákazníků. Společnost argumentovala tím, že uživatelé mohou být heterosexuální nebo "bisexuální", a přesto mohou aplikaci používat. Norský úřad pro ochranu údajů tomuto argumentu aplikace, která se sama označuje za aplikaci "výhradně pro gay/bi komunitu ", neuvěřil. Další pochybný argument společnosti Grindr, že uživatelé svou sexuální orientaci "zjevně zveřejnili", a proto není chráněna, orgán pro ochranu údajů rovněž odmítl.
"Aplikace pro gay komunitu, která tvrdí, že se na ni zvláštní ochrana právě pro tuto komunitu ve skutečnosti nevztahuje, je poněkud pozoruhodná. Nejsem si jistý, zda to právníci Grindru skutečně promysleli." - Max Schrems, čestný předseda společnosti Grindrin noyb
Úspěšná námitka je nepravděpodobná. Norský úřad pro ochranu údajů vydal "předběžné oznámení" poté, co v řízení vyslechl společnost Grindr. Společnost Grindr může proti rozhodnutí ještě do 21 dnů podat námitku, kterou přezkoumá úřad DPA. Je však nepravděpodobné, že by se výsledek mohl nějak zásadně změnit. Mohou však přijít další pokuty, protože společnost Grindr se nyní opírá o nový systém souhlasů a údajný "oprávněný zájem" používat údaje bez souhlasu uživatelů. To je v rozporu s rozhodnutím norského orgánu pro ochranu údajů, neboť ten výslovně uvedl, že "jakékoli rozsáhlé zpřístupnění údajů ... pro marketingové účely by mělo být založeno na souhlasu subjektu údajů".
"Případ je jasný po věcné i právní stránce. Neočekáváme žádné úspěšné námitku ze strany společnosti Grindr. Pro společnost Grindr se však mohou chystat další pokuty, protože v poslední době tvrdí, že sdílení údajů uživatelů s třetími stranami je nezákonným "oprávněným zájmem" - a to i bez souhlasu. Grindr tak může být odsouzen k druhému kolu." - Ala Krinickytė, právnička v oblasti ochrany osobních údajů na noyb
Poděkování
- Projekt vedla Norská rada spotřebitelů
- Technické testy provedla bezpečnostní společnost mnemonic.
- Výzkum adtech průmyslu a konkrétních zprostředkovatelů dat byl proveden za pomoci výzkumníka Wolfieho Christla ze společnosti Cracked Labs.
- Dodatečný audit aplikace Grindr provedl výzkumník Zach Edwards ze společnosti MetaX.
- Právní analýza a formální stížnosti byly sepsány za pomoci společnosti noyb.
