Homo Treffit-sovellus "Grindr" sakotetaan lähes 10 miljoonalla eurolla

Jan 26, 2021

"Grindr" sakotetaan lähes 10 miljoonalla eurolla GDPR-valituksesta. Gay Treffit-sovellus jakoi laittomasti miljoonien käyttäjien arkaluontoisia tietoja.

Tammikuussa 2020 Norjan kuluttajaneuvosto ja eurooppalainen yksityisyyden suojaa käsittelevä kansalaisjärjestö noyb.eu tekivät kolme strategista valitusta Grindria ja useita adtech-yrityksiä vastaan ​​käyttäjien tietojen laittomasta jakamisesta. Kuten monet muut sovellukset, Grindr jakoi henkilötietoja (kuten sijaintitiedot tai se, että joku käyttää Grindria) mahdollisesti sadoille kolmansille osapuolille mainostamista varten.

Tänään Norjan tietosuojaviranomainen hyväksyi valitukset vahvistaen, että Grindr ei saanut ennakkoilmoituksessa käyttäjien voimassa olevaa suostumusta. Valvontaviranomainen määrää 100 miljoonan Norjan kruunun (9,63 miljoonaa euroa tai 11,69 miljoonaa dollaria) sakon Grindrille. Valtava sakko, koska Grindr ilmoitti vain 31 miljoonan dollarin voiton vuonna 2019 - josta kolmasosa on nyt poissa.

Tapauksen tausta. Norjan kuluttajaneuvosto ( Forbrukerrådet ; NCC) teki 14. tammikuuta 2020 kolme strategista GDPR-valitusta yhteistyössä noybin kanssa . Valitukset tehtiin Norjan tietosuojaviranomaiselle (DPA) homo-treffisovelluksesta Grindristä ja viidestä adtech-yrityksestä, jotka saivat henkilötietoja sovelluksen kautta: Twitterin MoPub, AT & T: n AppNexus (nyt Xandr ) , OpenX, AdColony ja Smaato .

Grindr lähetti suoraan ja epäsuorasti erittäin henkilökohtaisia ​​tietoja mahdollisesti sadoille mainoskumppaneille. Kansallisen valvontakeskuksen '' Hallinnan ulkopuolella '' -raportissa kuvattiin yksityiskohtaisesti, kuinka suuri osa kolmansista osapuolista saa jatkuvasti henkilötietoja Grindrin käyttäjistä. Joka kerta, kun käyttäjä avaa Grindrin, mainostajille lähetetään tietoja, kuten nykyinen sijainti tai se, että henkilö käyttää Grindria. Näitä tietoja käytetään myös kattavien profiilien luomiseen käyttäjistä, joita voidaan käyttää kohdistettuun mainontaan ja muihin tarkoituksiin.

Suostumuksen on oltava yksiselitteinen , tietoinen, täsmällinen ja vapaasti annettu. Norjan tietosuojaviranomainen katsoi, että väitetty "suostumus", johon Grindr yritti vedota, oli virheellinen. Käyttäjille ei ilmoitettu asianmukaisesti, eikä suostumus ollut riittävän täsmällinen, koska käyttäjien oli suostuttava koko tietosuojakäytäntöön eikä tiettyyn käsittelytoimintaan, kuten tietojen jakamiseen muiden yritysten kanssa.

Suostumus on myös annettava vapaasti. Tietosuojaviranomainen korosti, että käyttäjillä olisi oltava todellinen valinta olla suostumasta ilman kielteisiä seurauksia. Grindr käytti sovelluksen ehtona suostumusta tietojen jakamiseen tai tilausmaksun maksamiseen.

”Viesti on yksinkertainen:” ota tai jätä ”ei ole suostumus. Jos luotat laittomaan "suostumukseen", sinulle määrätään mittava sakko. Tämä ei koske vain Grindria, vaan monia verkkosivustoja ja sovelluksia. " - Ala Krinickytė, tietosuojaasianajaja noyb

" Tämä ei vain aseta rajoja Grindrille, vaan asettaa tiukat lakivaatimukset koko toimialalle, joka hyötyy keräämällä ja jakamalla tietoja mieltymyksistämme, sijainnistamme, ostoksistamme, fyysisestä ja henkisestä terveydestämme, seksuaalisesta suuntautumisestamme ja poliittisista näkemyksistämme. "- Finn Myrstad johtaja digitaalisen politiikan Norja Consumer Council (NCC).

Grindrin on valvottava ulkopuolisia "kumppaneita". Lisäksi Norjan tietosuojaviranomainen totesi, että "Grindr ei onnistunut valvomaan ja ottamaan vastuuta" heidän tietojensa jakamisesta kolmansien osapuolten kanssa. Grindr jakoi tietoja mahdollisesti satojen jännittävien tahojen kanssa sisällyttämällä seurantakoodit sovellukseensa. Sitten se luotti sokeasti näihin adtech-yrityksiin noudattamaan opt-out-signaalia, joka lähetetään tietojen vastaanottajille. Tietosuojaviranomainen totesi, että yritykset voivat helposti sivuuttaa signaalin ja jatkaa käyttäjien henkilötietojen käsittelyä. Tosiasiallisen valvonnan ja vastuun puuttuminen käyttäjien tietojen jakamisesta Grindriltä ei ole GDPR: n 5 artiklan 2 kohdan vastuullisuusperiaatteen mukaista. Monet alan yritykset käyttävät tällaista signaalia, lähinnä I nteractive Advertising Bureau (IAB) TCF-kehystä.

"Yritykset eivät voi vain sisällyttää ulkoisia ohjelmistoja tuotteisiinsa ja sitten toivoa, että ne noudattavat lakia. Grindr sisällytti ulkopuolisten kumppaneiden seurantakoodin ja välitti käyttäjätiedot mahdollisesti sadoille kolmansille osapuolille - sen on myös varmistettava, että nämä" kumppanit " noudattaa lakia. " - Ala Krinickytė, tietosuojaasianajaja noyb

Grindr: Käyttäjät voivat olla "uteliaita", mutta eivät homoja? GDPR suojaa erityisesti seksuaalista suuntautumista koskevia tietoja. Grindr katsoi kuitenkin, että tällainen suoja ei koske sen käyttäjiä, koska Grindrin käyttö ei paljasta sen asiakkaiden seksuaalista suuntautumista. Yritys väitti, että käyttäjät voivat olla suoria tai "uteliaita" ja silti käyttää sovellusta. Norjan tietosuojaviranomainen ei ostanut tätä argumenttia sovelluksesta, joka tunnistaa itsensä 'yksinomaan homo- / biyhteisölle'. Tietosuojaviranomainen hylkäsi myös Grindrin toisen kyseenalaisen väitteen, jonka mukaan käyttäjät tekivät seksuaalisen suuntautumisensa "selvästi julkiseksi" ja että sitä ei siten suojata.

"Homoyhteisölle tarkoitettu sovellus, joka väittää, että juuri kyseisen yhteisön erityissuojaukset eivät todellakaan koske heitä, on melko merkittävä. En ole varma, ovatko Grindrin lakimiehet todella miettineet tämän läpi." - Max Schrems, noybin kunniapuheenjohtaja

Onnistunut vastustaminen on epätodennäköistä. Norjan tietosuojaviranomainen antoi "ennakkoilmoituksen" kuultuaan Grindriä menettelyssä. Grindr voi edelleen vastustaa päätöstä 21 päivän kuluessa, jonka tietosuojaviranomainen tarkistaa. On kuitenkin epätodennäköistä, että lopputulosta voidaan muuttaa millään olennaisella tavalla. Lisäsakot voivat kuitenkin olla tulossa, koska Grindr luottaa nyt uuteen suostumusjärjestelmään ja väitettyyn "oikeutettuun etuun" tietojen käyttämiseen ilman käyttäjän suostumusta. Tämä on ristiriidassa Norjan tietosuojaviranomaisen päätöksen kanssa, koska siinä nimenomaisesti todettiin, että " kaiken laajan paljastamisen markkinointitarkoituksiin olisi perustuttava rekisteröidyn suostumukseen ".

"Tapaus on selvä tosiasiallisesta ja oikeudellisesta näkökulmasta. Emme odota Grindrin onnistunutta vastustusta. Grindrille saattaa kuitenkin olla suunnitteilla lisää sakkoja, koska se väittää äskettäin olevan laitonta" oikeutettua etua "jakaa käyttäjätietoja kolmansien osapuolten kanssa - jopa ilman suostumusta. Grindr voidaan sitoa toiselle kierrokselle. " - Ala Krinickytė, tietosuojaasianajaja noyb

Kiitokset

  • Hanketta johti Norjan kuluttajaneuvosto
  • Tekniset testit suoritti turvallisuusyhtiö mnemonic.
  • Adtech-teollisuutta ja erityisiä tiedonvälittäjiä koskeva tutkimus tehtiin tutkijan Wolfie Christlin (Cracked Labs) avustuksella.
  • Grindr-sovelluksen lisätarkastuksen suoritti tutkija Zach Edwards MetaX: stä.
  • Oikeudellinen analyysi ja muodolliset valitukset kirjoitettiin noybin avustamana.