Haluatko Grindr-tietosi? Näytä henkilöllisyystodistuksesi ja ota selfie!

Nov 11, 2021

Haluatko Grindr-tietosi? Näytä henkilöllisyystodistuksesi ja ota selfie!

Tänään noyb teki GDPR-valituksen Grindristä - homoille, bi-, trans- ja queer-ihmisille suunnatusta deittisovelluksesta, jossa monet käyttäjät jakavat hyvin henkilökohtaisia ja jopa selviä seksuaalisia tietoja. Sen sijaan, että käyttäjä tunnistautuisi käyttäjien antamien tietojen, kuten sähköpostin ja salasanan, perusteella, Grindr vaatii käyttäjiä tunnistautumaan ehkä irvokkaimmalla mahdollisella tavalla: Käyttäjien on nostettava pystyyn paperi, jossa on heidän sähköpostiosoitteensa sekä passinsa - ja kaikki tämä samalla, kun he tasapainoilevat puhelimensa kanssa ottaakseen selfien. Tämä ei ole vain absurdia, vaan myös GDPR:n vastaista.

Yritysten on helpotettava perusoikeuksien käyttämistä. Tässä tapauksessa kantelija, jota edustaa noyb, on Grindr-käyttäjä, joka yritti ymmärtää enemmän siitä, miten Grindr käyttää hänen tietojaan. Grindr eväsi yllättäen pääsyn hänen henkilötietoihinsa, koska käyttäjä ei lähettänyt selfietä, jossa hänellä oli kädessään passi ja paperilappu, jossa oli hänen sähköpostiosoitteensa

Kun "Hunk_69" joutuu muuttumaan Richard Smithiksi vaatiakseen oikeuksiaan: Grindrin kaltaiset yritykset tekevät rekisteröintiprosessista yksinkertaisen ja nopean - ei ainoastaan tietojen minimoinnin noudattamiseksi, vaan myös siksi, että Grindrin käyttäminen muka anonyymisti on osa käyttäjille annettua lupausta. Etenkin kun palvelua käytetään usein anonymisoitujen kuvien ja salanimien avulla, se, että tilin avaamiseksi ei tarvitse näyttää henkilöllisyystodistusta, on osa palvelua - onhan jopa Grindrin logo naamio.

Kun käyttäjä kuitenkin yrittää käyttää oikeuksiaan selvittääkseen, mitä henkilötietoja yrityksellä on hänestä, Grindr vaatii häntä yhtäkkiä riisumaan naamion ja jopa näyttämään valtion myöntämän henkilötodistuksen, mikä ei ole ristiriidassa ainoastaan tietojen minimoinnin periaatteen kanssa, vaan koko tuotteen kanssa.

"Voit nähdä ja jakaa jopa kaikkein intiimeimpiä kuvia Grindrissä pelkällä sähköpostiosoitteellasi ja salasanallasi - vasta kun haluat käyttää GDPR-oikeuksiasi, sinun on riisuttava naamasi ja näytettävä hallituksen myöntämä henkilöllisyystodistus."- max Schrems, noybinpuheenjohtaja

Yritykset argumentoivat yleensä "turvallisuussyillä". Lain mukaan yritysten on tehtävä tapauskohtainen arviointi siitä, onko käyttäjän henkilöllisyydestä perusteltua epäillä. Yleinen käytäntö pyytää lisätietoja rikkoo GDPR:ää, varsinkin kun Grindr ei voi tosiasiassa yhdistää tunnusta käyttäjään, koska sillä ei ole käyttäjien oikeita nimiä

"On naurettavaa todentaa 'Hunk 69' valtion tunnuksella, kun Grindr on suunniteltu niin, ettei se tiedä käyttäjiensä todellista nimeä. Todellisuudessa ne vaativat käyttäjiltä 'tulemista ulos', jotta he voisivat käyttää oikeuksiaan." - Max Schrems, noybinpuheenjohtaja

Laajempi kysymys GDPR-oikeuksista. Grindr ei ole läheskään ainoa yritys, joka ottaa käyttöön monimutkaisia tai jopa kieltäviä sääntöjä, kun käyttäjät haluavat käyttää GDPR-oikeuksiaan. Nämä rekisterinpitäjien tekemät tarpeettomat "rutiininomaiset henkilöllisyystarkastukset" olisi lopetettava, varsinkin kun käytettävissä on muita vähemmän tunkeilevia toimenpiteitä, kuten varmistussähköpostin tai sovelluksen sisällä olevan koodin lähettäminen, kuten tässä tapauksessa

Jos haluat käyttää oikeuksiasi: Poista tili. Vaihtoehtoisesti Grindr ehdotti kantelijalle, että hän voi halutessaan poistaa tilinsä, jos hän "ei halua jakaa mitään tietoja Grindrin kanssa". Valittaja valitsi kolmannen vaihtoehdon - tehdä GDPR-valituksen Itävallan tietosuojaviranomaiselle DSB:lle, jonka on nyt tehtävä päätös asiasta.