a "Grindr" közel 10 millió eurós bírságot kap a GDPR-panasz miatt. A meleg társkereső alkalmazás több millió felhasználó érzékeny adatait osztotta meg illegálisan.
2020 januárjában a Norvég Fogyasztói Tanács és a noyb.eu európai adatvédelmi civil szervezet beadványt nyújtott be három stratégiai panaszt a Grindr és több adtech cég ellen a felhasználók adatainak illegális megosztása miatt. Sok más alkalmazáshoz hasonlóan a Grindr is megosztotta személyes adatait (például a helymeghatározási adatokat vagy azt, hogy valaki használja a Grindr-t) potenciálisan több száz harmadik féllel reklámozás céljából.
A norvég adatvédelmi hatóság ma helyt adott a panaszoknak, megerősítve, hogy a Grindr nem kapott érvényes hozzájárulást a felhasználóktól egy előzetes értesítésben. A hatóság 100 millió NOK (9,63 EUR) bírságot szab ki Mio vagy 11,69 millió dollár) a Grindr-re. Hatalmas bírság, hiszen a Grindr 2019-ben csak 31 millió dollár nyereséget jelentett - ennek egyharmada mostanra eltűnt.
Az ügy háttere. 2020. január 14-én a Norvég Fogyasztói Tanács (Forbrukerrådet; NCC) a noyb-vel együttműködve három stratégiai GDPR-panaszt nyújtott be. A panaszokat a norvég adatvédelmi hatósághoz (DPA) nyújtották be a Grindr nevű meleg társkereső alkalmazás ellen és öt reklámtechnológiai vállalat ellen, amelyek személyes adatokat kaptak az alkalmazáson keresztül: Twitter`s MoPub, az AT&T AppNexus (jelenleg Xandr), az OpenX, az AdColony és a Smaato ellen.
A Grindr közvetlenül és közvetve rendkívül személyes adatokat küldött potenciálisan több száz hirdetési partner számára. A 'Out of Control' jelentés az NCC által készített jelentés részletesen leírta, hogy számos harmadik fél folyamatosan személyes adatokat kap a Grindr felhasználókról. Minden alkalommal, amikor a felhasználó megnyitja a Grindr-t, olyan információk kerülnek továbbításra a hirdetőknek, mint az aktuális tartózkodási hely, vagy az a tény, hogy az illető a Grindr-t használja. Ezeket az információkat arra is felhasználják, hogy átfogó profilokat hozzanak létre a felhasználókról, amelyeket célzott reklámozásra és egyéb célokra használhatnak fel.
A beleegyezésnek meg kell lennie egyértelműnek kell lennie, tájékozott, konkrét és szabadon megadott. A norvég adatvédelmi hatóság megállapította, hogy a Grindr által hivatkozott állítólagos "hozzájárulás" érvénytelen. A felhasználókat nem tájékoztatták megfelelően, és a hozzájárulás sem volt eléggé konkrét, mivel a felhasználóknak a teljes adatvédelmi szabályzathoz kellett hozzájárulniuk, nem pedig egy konkrét adatfeldolgozási művelethez, például az adatok más vállalatokkal való megosztásához.
A hozzájárulást is szabadon kell megadni. Az adatvédelmi hatóság kiemelte, hogy a felhasználóknak valódi választási lehetőséget kell biztosítani a hozzájárulás megtagadására, anélkül, hogy ennek bármilyen negatív következménye lenne. A Grindr az alkalmazás használatát az adatmegosztáshoz való hozzájáruláshoz vagy előfizetési díj fizetéséhez kötötte.
"Az üzenet egyszerű: a 'fogadd el vagy hagyd el' nem hozzájárulás. Ha jogellenes 'beleegyezésre' hagyatkozol, akkor súlyos bírságra számíthatsz. Ez nem csak a Grindrre, hanem számos weboldalra és applikációra vonatkozik" - Ala Krinickytė, adatvédelmi jogász, noyb
"Ez nemcsak a Grindr számára szab határt, hanem szigorú jogi követelményeket állít fel egy egész iparágra, amely abból profitál, hogy információkat gyűjt és oszt meg a preferenciáinkról, tartózkodási helyünkről, vásárlásainkról, fizikai és mentális egészségünkről, szexuális irányultságunkról és politikai nézeteinkről.."- Finn Myrstad, a Norvég Fogyasztói Tanács (NCC) digitális politikáért felelős igazgatója.
A Grindrnek a külső "partnereket" kell felügyelnie. A norvég adatvédelmi hatóság továbbá arra a következtetésre jutott, hogy "a Grindr nem ellenőrizte és nem vállalta a felelősséget" a harmadik felekkel való adatmegosztásért. A Grindr potenciálisan több száz harmadik féllel osztott meg adatokat, mivel nyomkövető kódokat épített be az alkalmazásába. Ezután vakon bízott ezekben a reklámtechnológiai cégekben, hogy megfelelnek az adatok címzettjeinek küldött "opt-out" jelzésnek. Az adatvédelmi hatóság megjegyezte, hogy a vállalatok könnyen figyelmen kívül hagyhatják a jelzést, és továbbra is feldolgozhatják a felhasználók személyes adatait. A Grindr felhasználói adatainak megosztása feletti tényleges ellenőrzés és felelősség hiánya nem áll összhangban a GDPR 5. cikkének (2) bekezdésében foglalt elszámoltathatóság elvével. Az iparág számos vállalata használ ilyen jelzést, elsősorban a TCF keretrendszer által az Interaktív Reklám Iroda (IAB).
"A vállalatok nem építhetnek be csak úgy külső szoftvert a termékeikbe, és aztán reménykedhetnek abban, hogy azok megfelelnek a törvénynek. A Grindr külső partnerek nyomkövető kódját építette be, és a felhasználói adatokat potenciálisan több száz harmadik félnek továbbította - most már azt is biztosítania kell, hogy ezek a "partnerek" megfeleljenek a törvénynek" - Ala Krinickytė, adatvédelmi jogász, noyb
Grindr: A felhasználók lehetnek "biszexuálisak", de nem melegek? A GDPR kifejezetten védi a szexuális irányultságra vonatkozó információkat. A Grindr azonban arra az álláspontra helyezkedett, hogy ez a védelem nem vonatkozik a felhasználóira, mivel a Grindr használata nem fedné fel az ügyfelek szexuális irányultságát. A vállalat azzal érvelt, hogy a felhasználók lehetnek heterók vagy "biszexuálisak", és mégis használhatják az alkalmazást. A norvég adatvédelmi hatóság nem vette be ezt az érvelést egy olyan alkalmazástól, amely magát "kizárólag a meleg/bi közösségnek" szánt alkalmazásként azonosítja . A Grindr további megkérdőjelezhető érvelését, miszerint a felhasználók "nyilvánvalóan nyilvánosan" jelezték szexuális irányultságukat, és ezért az nem élvez védelmet, az adatvédelmi hatóság ugyancsak elutasította.
"Egy olyan, a meleg közösségnek szóló alkalmazás, amely azzal érvel, hogy a pontosan erre a közösségre vonatkozó különleges védelem valójában nem vonatkozik rájuk, meglehetősen figyelemre méltó. Nem vagyok benne biztos, hogy a Grindr ügyvédei ezt tényleg átgondolták" - Max Schrems, a noyb
Sikeres tiltakozás nem valószínű. A norvég adatvédelmi hatóság a Grindr eljárás keretében történő meghallgatása után "előzetes értesítést" adott ki. A Grindr 21 napon belül még kifogást emelhet a döntés ellen, amelyet a DPA felülvizsgál. Nem valószínű azonban, hogy az eredményt érdemben meg lehetne változtatni. További bírságok azonban közeledhetnek, mivel a Grindr most egy új hozzájárulási rendszerre és állítólagos "jogos érdekre" támaszkodik az adatok felhasználói hozzájárulás nélküli felhasználásához. Ez ellentétes a norvég adatvédelmi hatóság határozatával, mivel az kifejezetten úgy ítélte meg, hogy "minden széles körű ... marketingcélú közzétételnek ... az érintett hozzájárulásán kell alapulnia".
"Az ügy ténybeli és jogi szempontból is egyértelmű. Nem várjuk el, hogy bármilyen sikeres kifogást a Grindr részéről. Ugyanakkor további bírságok várhatnak a Grindr-re, mivel az utóbbi időben jogellenes "jogos érdekre" hivatkozik a felhasználói adatok harmadik felekkel való megosztása - akár hozzájárulás nélkül is. A Grindr-t egy második körre is kötelezhetik." - Ala Krinickytė, adatvédelmi jogász, noyb
Köszönetnyilvánítás
- A projektet a Norvég Fogyasztói Tanács vezette
- A technikai teszteket a mnemonic biztonsági cég végezte.
- A reklámtechnológiai iparágra és egyes adatbrókerekre vonatkozó kutatásokat Wolfie Christl, a Cracked Labs kutatójának segítségével végeztük.
- A Grindr alkalmazás további ellenőrzését Zach Edwards, a MetaX kutatója végezte.
- A jogi elemzés és a hivatalos panaszok megírása a noyb segítségével készült.
