NCC & noyb GDPR-valitus: "Grindrille 6,3 miljoonan euron sakko laittomasta tietojen jakamisesta
Norjan tietosuojaviranomainen määräsi tänään Grindrille 65 miljoonan Norjan kruunun (6,34 miljoonan euron eli 7,17 miljoonan dollarin) sakon. LGBTQI-deittisovellus ei ollut saanut käyttäjiltä voimassa olevaa suostumusta, mutta oli siitä huolimatta jakanut arkaluonteisia henkilötietoja.
Tapauksen tausta Norjan kuluttajaneuvosto (Forbrukerrådet; NCC) teki kolme strategista GDPR-valitusta yhteistyössä seuraavien tahojen kanssa noyb. Kantelut tehtiin Norjan tietosuojaviranomaiselle queer-deittisovellus Grindristä ja viidestä mainosteknologiayrityksestä, jotka saivat henkilötietoja sovelluksen kautta: Twitterin MoPub, AT&T:n AppNexus (nykyisin Xandr), OpenX, AdColony ja Smaato
Grindr oli lähettänyt arkaluonteisia henkilötietoja sadoille mahdollisille mainoskumppaneille. "Hallitsemattomuus"-raportti nCC:n raportissa kuvattiin yksityiskohtaisesti, miten suuri määrä kolmansia osapuolia sai jatkuvasti Grindrin käyttäjiä koskevia henkilötietoja, kuten sen, että he käyttävät Grindriä, ja heidän sijaintitietojaan
Norjan viranomainen ilmoitti 26. tammikuuta 2021 "päätösluonnoksessa" aikomuksestaan määrätä Grindrille 100 miljoonan Norjan kruunun (noin 10 miljoonan euron) sakko tietosuoja-asetuksen 4 artiklan 11 kohdan, 6 ja 7 artiklan sekä 9 artiklan 2 kohdan a alakohdan rikkomisesta. Tämänpäiväisessä lopullisessa päätöksessä määrätty 65 miljoonan Norjan kruunun sakko oli lopullinensakkoa tarkistettiin lopulta Grindrin todellisten tulojen ja sen perusteella, että se ryhtyi toimenpiteisiin tarkistamaan aiempaa suostumustenhallintajärjestelmäänsä
"Tämä on vahva viesti kaikille kaupalliseen valvontaan osallistuville yrityksille. Henkilötietojen jakamisella ilman oikeusperustaa on vakavia seurauksia. Kehotamme digitaalisen mainonnan alaa tekemään perustavanlaatuisia muutoksia, jotta se kunnioittaa kuluttajien oikeuksia." - Finn Myrstad, Norjan kuluttajaneuvoston (NCC) digitaalipolitiikan johtaja.
Suostumuksen on oltava yksiselitteinen, tietoinen, täsmällinen ja vapaasti annettu Norjan tietosuojaviranomainen päätti, että Grindrin väitetty "suostumus", johon se yritti vedota, oli pätemätön. Käyttäjille ei tiedotettu asianmukaisesti, eikä suostumus ollut riittävän täsmällinen: käyttäjien oli suostuttava koko tietosuojakäytäntöön eikä tiettyyn käsittelytoimintoon, kuten tietojen jakaminen muiden yritysten kanssa.
Lisäksi tietosuojavaltuutettu korosti, että käyttäjillä on oltava mahdollisuus valita ei antaa suostumuksensa ilman kielteisiä seurauksia. Grindr kuitenkin teki sovelluksen käytön riippuvaiseksi suostumuksesta; käyttäjien on joko suostuttava tietojen jakamiseen tai maksettava tilausmaksu
Lopuksi tietosuojavaltuutettu totesi, että "Grindr ei pystynyt valvomaan ja ottamaan vastuuta omasta tietojensa jakamisesta, eikä "opt-out"-mekanismi ollut välttämättä tehokas".".
" - ja siinä on ydin, suostumuksen puuttumisen lisäksi. Henkilötietoja ei voi jakaa potentiaalisesti rajoittamattoman määrän kumppaneiden kanssa ilman, että voi valvoa, mitä näille tiedoille tapahtuu." - Ala Krinickytė, tietosuojalakimies osoitteessanoyb
Henkilötiedot eivät ole valuuttaa. Norjan tietosuojavaltuutettu otti selkeän kannan ja totesi, että henkilötietoja ei saa käyttää digitaalisten palvelujen maksamiseen, vaikka Grindr tukeutui "käyttäytymiseen perustuvaan mainontaan" "ydintoimintana" rahoittaakseen itsensä. Tällä päätöksellä on tärkeä rooli Euroopan markkinoilla, sillä monet verkkopalvelut yrittävät tehdä voittoa esittämällä käyttäjätietoja maksuvälineenä
Norjan tietosuojaviranomainen katsoi, että Grindrin laittomasta tietojen jakamisesta saamat taloudelliset hyödyt olivat raskauttava tekijä sakkoa arvioitaessa, samoin kuin se, että Grindr jakoi 9 artiklan nojalla suojattuja erityistietojan kumppaneiden kanssa. Tietosuojaviranomainen katsoi, että kyseisten tietojen levittäminen saattoi vaarantaa rekisteröidyn perusoikeudet ja -vapaudet, kuten oikeuden yksityisyyteen ja syrjimättömyyteen
"On hämmästyttävää, että tietosuojaviranomaisen on vakuutettava Grindrille, että sen käyttäjät ovat LGBT+ ja että tämä tosiasia ei ole kauppatavara." - Ala Krinickytė, tietosuojalakimies osoitteessanoyb
Valitus tietosuojaneuvostolle. Tapauksesta voi nyt valittaa Norjan tietosuoja-asioiden valituslautakuntaan (Personvernnemda) kolmen viikon kuluessa. Valitukset Grindriltä tietoja saaneita mainosteknologiayrityksiä vastaan jatkuvat.
Kiitokset
-
Hanketta johti Norjan kuluttajaneuvosto.
-
Tekniset testit suoritti tietoturvayhtiö mnemonic.
-
Mainosteknologiateollisuutta ja tiettyjä tiedonvälittäjiä koskeva tutkimus tehtiin Cracked Labsin tutkijan Wolfie Christlin avustuksella
-
Grindr-sovelluksen lisätarkastuksen suoritti MetaX:n tutkija Zach Edwards.
-
Oikeudellinen analyysi ja viralliset valitukset laadittiin seuraavien henkilöiden avustuksella noyb