Θέλετε τα δεδομένα Grindr σας; Δείξτε την ταυτότητά σας και βγάλτε μια selfie!

Νοεμ 11, 2021

Θέλετε τα δεδομένα Grindr σας; Δείξτε την ταυτότητά σας και βγάλτε μια selfie!

Σήμερα, η noyb υπέβαλε καταγγελία GDPR εναντίον του Grindr – μιας εφαρμογής γνωριμιών για γκέι, δι, τρανς και queer άτομα, όπου πολλοί χρήστες μοιράζονται πολύ προσωπικές, ακόμη και σαφείς σεξουαλικές λεπτομέρειες. Αντί να γίνεται έλεγχος ταυτότητας με βάση τα δεδομένα που έχουν δώσει οι χρήστες, όπως το email και τον κωδικό πρόσβασης – το Grindr απαιτεί από τους χρήστες να ταυτοποιηθούν με τον πιο παράξενο ίσως τρόπο που μπορεί κανείς να φανταστεί: Οι χρήστες πρέπει να κρατούν ψηλά ένα κομμάτι χαρτί με τη διεύθυνση email τους, καθώς και το διαβατήριό τους – όλα αυτά ενώ εξισορροπούν το τηλέφωνό τους για να βγάλουν μια selfie. Αυτό δεν είναι απλώς παράλογο, αλλά και παραβίαση του GDPR.

Η άσκηση των θεμελιωδών δικαιωμάτων πρέπει να διευκολύνεται από τις εταιρείες. Στην προκειμένη περίπτωση, ο καταγγέλλων που εκπροσωπείται από το noyb, είναι ένας χρήστης του Grindr που προσπαθούσε να καταλάβει περισσότερα για το πώς ο Grindr χρησιμοποιεί τα δεδομένα του. Ο Grindr παραδόξως αρνήθηκε την πρόσβαση στα προσωπικά του δεδομένα επειδή ο χρήστης δεν έστειλε μια selfie κρατώντας το διαβατήριό του και ένα κομμάτι χαρτί με τη διεύθυνση e-mail του.

Όταν ο "Hunk_69" πρέπει να γίνει Richard Smith για να διεκδικήσει τα δικαιώματά του: Εταιρείες όπως η Grindr κάνουν τη διαδικασία εγγραφής απλή και γρήγορη – όχι μόνο για να συμμορφωθούν με την ελαχιστοποίηση δεδομένων, αλλά και επειδή η χρήση του Grindr με δήθεν ανώνυμο τρόπο είναι μέρος της υπόσχεσης προς τους χρήστες . Ειδικά όταν η υπηρεσία χρησιμοποιείται συχνά με ανώνυμες φωτογραφίες και χρησιμοποιώντας ψευδώνυμα, το να μην χρειάζεται να δείξετε ένα αναγνωριστικό για να ανοίξετε έναν λογαριασμό είναι μέρος της υπηρεσίας – σε τελική ανάλυση, ακόμη και το λογότυπο του Grindr είναι μάσκα.

Ωστόσο, όταν ένας χρήστης προσπαθεί να ασκήσει τα δικαιώματά του για να μάθει ποια προσωπικά του δεδομένα έχει η εταιρεία, ο Grindr του ζητά να βγάλουν ξαφνικά τη μάσκα και ακόμη και να επιδείξουν μια ταυτότητα που έχει εκδοθεί από την κυβέρνηση, κάτι που όχι μόνο δεν συνάδει με την αρχή της ελαχιστοποίησης δεδομένων , αλλά με ολόκληρο το προϊόν.

"Μπορείτε να δείτε και να μοιραστείτε ακόμη και τις πιο οικεία φωτογραφίες στο Grindr μόνο με το email και τον κωδικό πρόσβασής σας - μόνο όταν θέλετε να ασκήσετε τα δικαιώματά σας GDPR, πρέπει να απογυμνώσετε και να δείξετε μια κρατική ταυτότητα." - Max Schrems, πρόεδρος του noyb

Οι εταιρείες συνήθως διαφωνούν με «λόγους ασφαλείας». Σύμφωνα με το νόμο, οι εταιρείες υποχρεούνται να κάνουν αξιολόγηση κατά περίπτωση για το εάν υπάρχει εύλογη αμφιβολία ως προς την ταυτότητα του χρήστη. Η ύπαρξη μιας γενικής πολιτικής για το αίτημα πρόσθετων πληροφοριών παραβιάζει τον GDPR, ειδικά όταν το Grindr δεν μπορεί πραγματικά να αντιστοιχίσει το αναγνωριστικό με έναν χρήστη, καθώς δεν έχει το πραγματικό όνομα των χρηστών.

«Είναι γελοίο να ελέγχεις την ταυτότητα του «Hunk 69» με κυβερνητική ταυτότητα, όταν το Grindr είναι σχεδιασμένο να μην γνωρίζει το πραγματικό όνομα των χρηστών του. Στην πραγματικότητα, απαιτούν ένα «coming out» των χρηστών για να ασκήσουν τα δικαιώματά τους». - Max Schrems, πρόεδρος του noyb

Ευρύτερο ζήτημα με τα δικαιώματα GDPR. Η Grindr απέχει πολύ από τις μόνες εταιρείες που εισάγουν περίπλοκους ή ακόμα και απαγορευτικούς κανόνες όταν οι χρήστες θέλουν να ασκήσουν τα δικαιώματά τους GDPR. Αυτοί οι περιττοί «συνήθεις έλεγχοι ταυτότητας» από τους υπευθύνους επεξεργασίας δεδομένων θα πρέπει να σταματήσουν, ειδικά όταν είναι διαθέσιμα άλλα λιγότερο παρεμβατικά μέτρα, όπως η αποστολή ενός email επαλήθευσης ή ενός κωδικού εντός της εφαρμογής, όπως σε αυτήν την περίπτωση.

Εάν θέλετε να ασκήσετε τα δικαιώματά σας: Διαγράψτε τον Λογαριασμό. Εναλλακτικά, ο Grindr πρότεινε στον Καταγγέλλοντα, μπορεί να επιλέξει να διαγράψει τον λογαριασμό του, εάν «δεν θέλει να μοιραστεί δεδομένα με τον Grindr» . Ο καταγγέλλων επέλεξε μια τρίτη επιλογή - να υποβάλει καταγγελία για τον GDPR στην Αυστριακή Αρχή Προστασίας Δεδομένων, DSB, η οποία θα πρέπει τώρα να αποφασίσει για την υπόθεση.