Το "Grindr" θα του επιβληθεί πρόστιμο σχεδόν 10 εκατ. Ευρώ λόγω καταγγελίας του GDPR. Η εφαρμογή Gay Dating μοιράστηκε παράνομα ευαίσθητα δεδομένα εκατομμυρίων χρηστών.
Τον Ιανουάριο του 2020, το Νορβηγικό Συμβούλιο Καταναλωτών και η ευρωπαϊκή ΜΚΟ ιδιωτικής ζωής noyb.eu υπέβαλαν τρεις στρατηγικές καταγγελίες εναντίον της Grindr και αρκετών εταιρειών adtech για παράνομη κοινή χρήση δεδομένων χρηστών. Όπως πολλές άλλες εφαρμογές, η Grindr μοιράστηκε προσωπικά δεδομένα (όπως δεδομένα τοποθεσίας ή το γεγονός ότι κάποιος χρησιμοποιεί το Grindr) σε δυνητικά εκατοντάδες τρίτα μέρη για διαφήμιση.
Σήμερα, η Νορβηγική Αρχή Προστασίας Δεδομένων επιβεβαίωσε τα παράπονα, επιβεβαιώνοντας ότι η Grindr δεν έλαβε έγκυρη συγκατάθεση από χρήστες σε προηγούμενη ειδοποίηση. Η Αρχή επιβάλλει πρόστιμο 100 εκατ. NOK (9,63 εκατ. Ευρώ ή 11,69 εκατ. $) Στη Grindr. Ένα τεράστιο πρόστιμο, καθώς η Grindr ανέφερε μόνο κέρδος 31 εκατομμυρίων δολαρίων το 2019 - το ένα τρίτο των οποίων έχει πλέον φύγει.
Ιστορικό της υπόθεσης. Στις 14 Ιανουαρίου 2020, το Νορβηγικό Συμβούλιο Καταναλωτών ( Forbrukerrådet , NCC) υπέβαλε τρεις στρατηγικές καταγγελίες του GDPR σε συνεργασία με το noyb . Οι καταγγελίες υποβλήθηκαν στη Νορβηγική Αρχή Προστασίας Δεδομένων (DPA) εναντίον της εφαρμογής gay dating Grindr και πέντε εταιρειών adtech που έλαβαν προσωπικά δεδομένα μέσω της εφαρμογής: MoPub Twitter, AppNexus της AT & T (τώρα Xandr ) , OpenX, AdColony και Smaato .
Η Grindr έστειλε άμεσα και έμμεσα πολύ προσωπικά δεδομένα σε δυνητικά εκατοντάδες διαφημιστικούς συνεργάτες. Η έκθεση «εκτός ελέγχου» του NCC περιέγραψε λεπτομερώς πώς ένας μεγάλος αριθμός τρίτων λαμβάνει συνεχώς προσωπικά δεδομένα σχετικά με τους χρήστες του Grindr . Κάθε φορά που ένας χρήστης ανοίγει το Grindr, πληροφορίες όπως η τρέχουσα τοποθεσία ή το γεγονός ότι ένα άτομο χρησιμοποιεί το Grindr μεταδίδεται στους διαφημιζόμενους. Αυτές οι πληροφορίες χρησιμοποιούνται επίσης για τη δημιουργία περιεκτικών προφίλ σχετικά με τους χρήστες, τα οποία μπορούν να χρησιμοποιηθούν για στοχευμένες διαφημίσεις και άλλους σκοπούς.
Η συγκατάθεση πρέπει να είναι σαφής , ενημερωμένη, συγκεκριμένη και ελεύθερη. Η Νορβηγική DPA έκρινε ότι η υποτιθέμενη "συγκατάθεση" που ο Grindr προσπάθησε να βασιστεί ήταν άκυρη. Οι χρήστες δεν ενημερώθηκαν σωστά, ούτε η συναίνεση ήταν αρκετά συγκεκριμένη, καθώς οι χρήστες έπρεπε να συμφωνήσουν σε ολόκληρη την πολιτική απορρήτου και όχι σε μια συγκεκριμένη διαδικασία επεξεργασίας, όπως η κοινή χρήση δεδομένων με άλλες εταιρείες.
Η συγκατάθεση πρέπει επίσης να δοθεί ελεύθερα. Το DPA τόνισε ότι οι χρήστες πρέπει να έχουν πραγματική επιλογή να μην συναινέσουν χωρίς αρνητικές συνέπειες. Η Grindr έκανε χρήση της εφαρμογής υπό την προϋπόθεση ότι συναινεί στην κοινή χρήση δεδομένων ή στην καταβολή τέλους συνδρομής.
«Το μήνυμα είναι απλό:« πάρτε το ή αφήστε το »δεν είναι συγκατάθεση. Εάν βασίζεστε σε παράνομη «συγκατάθεση», θα σας επιβληθεί μεγάλο πρόστιμο. Αυτό δεν αφορά μόνο το Grindr, αλλά και πολλούς ιστότοπους και εφαρμογές. " - Ala Krinickytė, δικηγόρος προστασίας δεδομένων στο Noyb
" Αυτό δεν θέτει μόνο όρια για το Grindr, αλλά θεσπίζει αυστηρές νομικές απαιτήσεις σε έναν ολόκληρο κλάδο που επωφελείται από τη συλλογή και την ανταλλαγή πληροφοριών σχετικά με τις προτιμήσεις μας, την τοποθεσία, τις αγορές, τη σωματική και ψυχική υγεία, τον σεξουαλικό προσανατολισμό και τις πολιτικές απόψεις «Finn Myrstad, διευθυντής της ψηφιακής πολιτικής στο νορβηγικό Συμβούλιο Καταναλωτών (NCC).
Ο Grindr πρέπει να αστυνομεί εξωτερικούς "Συνεργάτες". Επιπλέον, η Νορβηγική DPA κατέληξε στο συμπέρασμα ότι "η Grindr απέτυχε να ελέγξει και να αναλάβει την ευθύνη" για την κοινή χρήση δεδομένων τους με τρίτα μέρη. Η Grindr μοιράστηκε δεδομένα με δυνητικά εκατοντάδες τρίτα μέρη, συμπεριλαμβάνοντας κώδικες παρακολούθησης στην εφαρμογή του. Στη συνέχεια εμπιστεύθηκε τυφλά αυτές τις εταιρείες adtech να συμμορφωθούν με ένα σήμα «opt-out» που αποστέλλεται στους παραλήπτες των δεδομένων. Η DPA σημείωσε ότι οι εταιρείες θα μπορούσαν εύκολα να αγνοήσουν το σήμα και να συνεχίσουν να επεξεργάζονται τα προσωπικά δεδομένα των χρηστών. Η έλλειψη πραγματικού ελέγχου και ευθύνης για την κοινή χρήση δεδομένων των χρηστών από τη Grindr δεν είναι σύμφωνη με την αρχή της λογοδοσίας του άρθρου 5 παράγραφος 2 του GDPR. Πολλές εταιρείες του κλάδου χρησιμοποιούν τέτοιο σήμα, κυρίως το πλαίσιο TCF από το Iteractive Advertising Bureau (IAB).
"Οι εταιρείες δεν μπορούν απλώς να συμπεριλάβουν εξωτερικό λογισμικό στα προϊόντα τους και στη συνέχεια να ελπίζουν ότι συμμορφώνονται με το νόμο. Η Grindr συμπεριέλαβε τον κώδικα παρακολούθησης εξωτερικών συνεργατών και προώθησε δεδομένα χρηστών σε δυνητικά εκατοντάδες τρίτα μέρη - τώρα πρέπει επίσης να διασφαλίσει ότι αυτοί οι" συνεργάτες " συμμορφωθείτε με το νόμο. " - Ala Krinickytė, δικηγόρος προστασίας δεδομένων στο Noyb
Grindr: Οι χρήστες μπορεί να είναι "αμφίβολοι", αλλά όχι gay; Ο GDPR προστατεύει ειδικά πληροφορίες σχετικά με τον σεξουαλικό προσανατολισμό. Ωστόσο, η Grindr έκρινε ότι τέτοιες προστασίες δεν ισχύουν για τους χρήστες της, καθώς η χρήση του Grindr δεν θα αποκάλυπτε τον σεξουαλικό προσανατολισμό των πελατών της. Η εταιρεία ισχυρίστηκε ότι οι χρήστες μπορεί να είναι ευθείοι ή "αμφίβολοι" και εξακολουθούν να χρησιμοποιούν την εφαρμογή. Η Νορβηγική DPA δεν αγόρασε αυτό το επιχείρημα από μια εφαρμογή που αναγνωρίζεται ως «αποκλειστικά για την κοινότητα των ομοφυλόφιλων / bi». Το επιπλέον αμφισβητήσιμο επιχείρημα της Grindr ότι οι χρήστες έκαναν τον σεξουαλικό τους προσανατολισμό «προφανώς δημόσιο» και ως εκ τούτου δεν προστατεύεται απορρίφθηκε εξίσου από το DPA.
"Μια εφαρμογή για την κοινότητα των ομοφυλόφιλων, η οποία υποστηρίζει ότι οι ειδικές προστασίες για αυτήν ακριβώς την κοινότητα δεν ισχύουν για αυτούς, είναι μάλλον αξιοσημείωτη. Δεν είμαι σίγουρος αν οι δικηγόροι της Grindr το έχουν σκεφτεί πραγματικά αυτό." - Max Schrems, επίτιμος πρόεδρος στο noyb
Η επιτυχής ένσταση είναι απίθανη. Η Νορβηγική DPA εξέδωσε «προειδοποιητική ειδοποίηση» αφού άκουσε τον Grindr σε μια διαδικασία. Η Grindr μπορεί ακόμη να αντιταχθεί στην απόφαση εντός 21 ημερών, η οποία θα ελεγχθεί από το DPA. Ωστόσο, είναι απίθανο το αποτέλεσμα να μπορεί να αλλάξει με οποιοδήποτε υλικό τρόπο. Ωστόσο, ενδέχεται να προκύψουν περαιτέρω πρόστιμα, καθώς η Grindr βασίζεται τώρα σε ένα νέο σύστημα συναίνεσης και φέρεται ως «έννομο συμφέρον» να χρησιμοποιεί δεδομένα χωρίς τη συγκατάθεση του χρήστη. Αυτό έρχεται σε αντίθεση με την απόφαση της Νορβηγικής DPA, καθώς έκρινε ρητά ότι " κάθε εκτεταμένη αποκάλυψη ... για σκοπούς μάρκετινγκ θα πρέπει να βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ".
"Η υπόθεση είναι ξεκάθαρη από την πραγματική και νομική πλευρά. Δεν αναμένουμε επιτυχή αντίρρηση από τη Grindr. Ωστόσο, ενδέχεται να επιβληθούν περισσότερα πρόστιμα για τη Grindr καθώς ισχυρίζεται τελευταία ότι ένα παράνομο« νόμιμο συμφέρον »κοινοποιεί δεδομένα χρηστών σε τρίτους. - ακόμη και χωρίς συγκατάθεση. Ο Grindr μπορεί να δεσμευτεί για έναν δεύτερο γύρο. " - Ala Krinickytė, δικηγόρος προστασίας δεδομένων στο Noyb
Ευχαριστίες
- Το έργο διευθύνθηκε από το Νορβηγικό Συμβούλιο Καταναλωτών
- Οι τεχνικές δοκιμές πραγματοποιήθηκαν από την εταιρεία ασφαλείας mnemonic.
- Η έρευνα για τη βιομηχανία adtech και συγκεκριμένους μεσίτες δεδομένων πραγματοποιήθηκε με τη βοήθεια του ερευνητή Wolfie Christl of Cracked Labs.
- Πρόσθετος έλεγχος της εφαρμογής Grindr πραγματοποιήθηκε από τον ερευνητή Zach Edwards του MetaX
- Η νομική ανάλυση και οι επίσημες καταγγελίες γράφτηκαν με τη βοήθεια του Noyb.
