NCC & noyb Stížnost na GDPR: "EUR za nezákonné sdílení dat
Norský úřad pro ochranu osobních údajů dnes uložil společnosti Grindr pokutu ve výši 65 milionů norských korun (6,34 milionu eur, tj. 7,17 milionu dolarů). LGBTQI seznamovací aplikace nezískala od uživatelů platný souhlas, ale přesto sdílela citlivé osobní údaje.
Pozadí případu: Úřad pro ochranu osobních údajů (ÚOOÚ) vydal v roce 2012 rozhodnutí o ochraně osobních údajů ve věci Grindri. Dne 14. ledna 2020 vydala norská rada pro ochranu spotřebitele (Forbrukerrådet; NCC) podala tři strategické stížnosti na GDPR ve spolupráci se společností noyb. Stížnosti byly podány norskému úřadu pro ochranu osobních údajů (DPA) proti queer seznamovací aplikaci Grindr a pěti adtech společnostem, které prostřednictvím aplikace získávaly osobní údaje: AppNexus (nyní Xandr) a společnosti AT&T, které se zabývají poskytováním služeb v oblasti ochrany osobních údajů), OpenX, AdColony a Smaato.
Grindr zasílal citlivé osobní údaje stovkám potenciálních reklamních partnerů. Na adrese zpráva "Mimo kontrolu nCC podrobně popsala, jak velké množství třetích stran neustále získávalo osobní údaje o uživatelích Grindru, například o tom, že používají Grindr, a údaje o jejich poloze.
Dne 26. ledna 2021 norský úřad v "návrhu rozhodnutí" oznámil svůj záměr uložit společnosti Grindr pokutu ve výši 100 milionů norských korun (přibližně 10 milionů eur) za porušení čl. 4 odst. 11, článků 6 a 7 a čl. 9 odst. 2 písm. a) GDPR. Dnešní pokuta ve výši 65 milionů norských korun v konečném rozhodnutí byla ultimativně uloženanakonec upravena na základě skutečných příjmů společnosti Grindr a skutečnosti, že společnost přijala opatření k revizi své předchozí platformy pro správu souhlasů.
"Je to silný signál pro všechny společnosti zapojené do komerčního dohledu. Sdílení osobních údajů bez právního základu má vážné důsledky. Vyzýváme odvětví digitální reklamy, aby provedlo zásadní změny, které budou respektovat práva spotřebitelů práva spotřebitelů." - Finn Myrstad, ředitel digitální politiky Norské rady spotřebitelů (NCC).
Souhlas musí být jednoznačný, informovaný, konkrétní a svobodně udělený. Norský úřad pro ochranu osobních údajů rozhodl, že údajný "souhlas", na který se společnost Grindr snažila odvolat, je neplatný. Uživatelé nebyli ani řádně informováni, ani nebyl souhlas dostatečně konkrétní: uživatelé museli souhlasit s celými zásadami ochrany osobních údajů, a nikoli s konkrétní operací zpracování, jako je sdílení údajů s jinými společnostmi.
Orgán pro ochranu údajů navíc zdůraznil, že uživatelé musí mít možnost volby ne souhlasit, a to bez jakýchkoli negativních důsledků. Společnost Grindr však používání aplikace podmínila souhlasem; uživatelé musí buď souhlasit se sdílením údajů, nebo platit předplatné.
Na závěr orgán pro ochranu údajů uvedl, že "Grindr nedokázal kontrolovat a převzít odpovědnost za vlastní sdílení údajů a mechanismus "opt-out" nebyl nutně účinný".
" - a to je kromě absence souhlasu to hlavní. Nemůžete sdílet osobní údaje s potenciálně neomezeným počtem partnerů, aniž byste byli schopni kontrolovat, co se s těmito údaji děje." - Ala Krinickytė, právnička zabývající se ochranou údajů ve společnosti noyb
Osobní údaje nejsou měna. Norský úřad pro ochranu údajů zaujal jasné stanovisko a uvedl, že osobní údaje nelze používat k placení za digitální služby, přestože společnost Grindr se při financování spoléhala na "behaviorální reklamu" jako na "hlavní činnost". Toto rozhodnutí hraje zásadní roli v evropském trhu, protože mnoho online služeb se snaží dosáhnout zisku tím, že údaje uživatelů předkládají jako platební prostředek.
Norský orgán pro ochranu údajů nakonec shledal finanční výhody, které společnost Grindr získala v důsledku nezákonného sdílení, jako přitěžující okolnost při posuzování pokuty, stejně jako skutečnost, že společnost Grindr sdílela údaje zvláštní kategorie chráněné podle článku 9. V případě, že společnost Grindr sdílela údaje zvláštní kategorie chráněné podle článku 9, byla tato skutečnosts partnery. Orgán pro ochranu údajů vyjádřil názor, že šíření předmětných údajů mohlo ohrozit základní práva a svobody subjektu údajů, jako je právo na soukromí a nediskriminaci.
"Je s podivem, že orgán pro ochranu údajů musí přesvědčovat společnost Grindr, že její uživatelé jsou LGBT+ a že tato skutečnost není komoditou, kterou lze směnit." - Ala Krinickytė, právnička zabývající se ochranou osobních údajů ve společnosti noyb
Odvolání k Úřadu pro ochranu osobních údajů. Proti případu je nyní možné podat odvolání k norskému odvolacímu orgánu pro ochranu soukromí (Personvernnemda) do tří týdnů. Stížnosti na reklamní společnosti, které získaly údaje od společnosti Grindr, stále probíhají.
Poděkování
-
Projekt byl veden Norská rada pro ochranu spotřebitelů.
-
Technické testy provedla bezpečnostní společnost mnemonic.
-
Výzkum adtech průmyslu a konkrétních zprostředkovatelů dat byl proveden za pomoci výzkumníka Wolfieho Christla ze společnosti Cracked Labs.
-
Dodatečný audit aplikace Grindr provedl výzkumník Zach Edwards ze společnosti MetaX.
-
Právní analýza a formální stížnosti byly sepsány s pomocí spol noyb.
