NCC & noyb GDPR panasz: "Grindr" 6,3 millió euróra bírságolták illegális adatmegosztás miatt

This page has been translated automatically. Read the original or leave us a message if something is not right.
Identification & Authentication
 /  2021. 12. 15., Wed – 04:59
Three GDPR Complaints filed against Grindr, Twitter and the AdTech companies Smaato, OpenX, AdColony and AT&T’s AppNexus

NCC &amp noyb GDPR panasz: "Grindr" 6,3 millió euróra bírságolták illegális adatmegosztás miatt

A norvég adatvédelmi hatóság ma 65 millió NOK (6,34 millió euró vagy 7,17 millió dollár) bírságot szabott ki a Grindr-re. Az LMBTQI társkereső alkalmazás nem kapott érvényes hozzájárulást a felhasználóktól, de ennek ellenére érzékeny személyes adatokat osztott meg.

Az ügy háttere. 2020. január 14-én a Norvég Fogyasztói Tanács (Forbrukerrådet; NCC) három stratégiai GDPR-panaszt nyújtott be a következő szervezetekkel együttműködve noyb. A panaszokat a norvég adatvédelmi hatósághoz (DPA) nyújtották be a queer társkereső alkalmazás, a Grindr és öt adtech vállalat ellen, amelyek személyes adatokat kaptak az alkalmazáson keresztül: Twitter`s MoPub, az AT&T AppNexus (ma Xandr), az OpenX, az AdColony és a Smaato ellen.

A Grindr érzékeny személyes adatokat küldött több száz potenciális reklámpartnernek. A 'Out of Control' jelentés az NCC által készített jelentés részletesen leírta, hogy számos harmadik fél folyamatosan személyes adatokat kapott a Grindr felhasználóiról, például azt, hogy használják-e a Grindr-t és a helymeghatározási adataikat.

2021. január 26-án a norvég hatóság "határozattervezetben" bejelentette, hogy 100 millió NOK (kb. 10 millió EUR ) bírságot kíván kiszabni a Grindr-re a GDPR 4. cikkének (11), 6. és 7. cikkének, valamint 9. cikke (2) bekezdésének a) pontjának megsértése miatt. A mai végleges határozatban szereplő 65 millió NOK összegű bírságot végül aa Grindr tényleges bevételei és az a tény, hogy a Grindr intézkedéseket hozott a korábbi hozzájáruláskezelési platformjának felülvizsgálatára.

"Ez erős jelzést küld a kereskedelmi felügyeletben részt vevő valamennyi vállalatnak. A személyes adatok jogalap nélküli megosztásának komoly következményei vannak. Felszólítjuk a digitális reklámipart, hogy alapvető változtatásokat hajtson végre a fogyasztók tiszteletben tartása érdekében jogainak tiszteletben tartása érdekében." - Finn Myrstad, a Norvég Fogyasztói Tanács (NCC) digitális politikáért felelős igazgatója.

A hozzájárulásnak egyértelműnek, tájékozottnak, konkrétnak és szabadon megadottnak kell lennie. A norvég adatvédelmi hatóság úgy döntött, hogy az állítólagos "hozzájárulás", amelyre a Grindr megpróbált hivatkozni, érvénytelen. A felhasználókat nem tájékoztatták megfelelően, és a hozzájárulás sem volt eléggé konkrét: a felhasználóknak a teljes adatvédelmi szabályzathoz kellett hozzájárulniuk, nem pedig egy adott feldolgozási művelethez, mint például az adatok más vállalatokkal való megosztása.
Ezen túlmenően az adatvédelmi hatóság kiemelte, hogy a felhasználóknak választási lehetőséget kell biztosítani nem a beleegyezést, mindenféle negatív következmény nélkül. A Grindr azonban az alkalmazás használatát a hozzájárulástól tette függővé; a felhasználóknak vagy bele kell egyezniük az adatok megosztásába, vagy előfizetési díjat kell fizetniük.

Végezetül az adatvédelmi hatóság kijelentette, hogy "a Grindr elmulasztotta ellenőrizni és felelősséget vállalni saját adatmegosztásáért, és az "opt-out" mechanizmus nem feltétlenül volt hatékony".

" - és ez a lényeg, a hozzájárulás hiánya mellett. Nem oszthat meg személyes adatokat potenciálisan korlátlan számú partnerrel anélkül, hogy ellenőrizni tudná, mi történik ezekkel az adatokkal." - Ala Krinickytė, adatvédelmi jogász, a noyb

A személyes adatok nem valuta. A norvég adatvédelmi hatóság egyértelműen állást foglalt, mondván, hogy a személyes adatok nem használhatók fel digitális szolgáltatásokért való fizetésre, még akkor sem, ha a Grindr a "viselkedésalapú hirdetésre" mint "alaptevékenységre" támaszkodott a finanszírozás érdekében. Ez a döntés fontos szerepet játszik az európai piacon, mivel számos online szolgáltatás a felhasználói adatok fizetőeszközként való feltüntetésével próbál profitot termelni.

Végül a norvég adatvédelmi hatóság a bírság kiszabásakor súlyosbító tényezőnek találta a Grindr számára az illegális megosztásból származó pénzügyi előnyöket, valamint azt a tényt, hogy a Grindr a 9. cikk értelmében védett, különleges kategóriába tartozó adatokat osztott meg veles partnerekkel. Az adatvédelmi hatóság úgy vélte, hogy a szóban forgó adatok terjesztése veszélyeztetheti az érintettek alapvető jogait és szabadságait, például a magánélethez való jogot és a megkülönböztetésmentességet.

"Megdöbbentő, hogy az adatvédelmi hatóságnak meg kell győznie a Grindr-t arról, hogy felhasználói LMBT+, és hogy ez a tény nem egy eladható áru" - Ala Krinickytė, adatvédelmi jogász a noyb

Fellebbezés az adatvédelmi tanácshoz. Az ügyben most a norvég adatvédelmi fellebbviteli tanácshoz lehet fellebbezni (Personvernnemda) három héten belül. A panaszok a Grindr adatait átvevő adtech cégek ellen folyamatban vannak.

Köszönetnyilvánítás

  • A projektet a Norvég Fogyasztói Tanács.

  • A technikai teszteket a mnemonic biztonsági cég végezte.

  • A reklámtechnológiai iparágra és egyes adatbrókerekre vonatkozó kutatásokat Wolfie Christl, a Cracked Labs kutatója segítségével végeztük.

  • A Grindr alkalmazás további ellenőrzését Zach Edwards, a MetaX kutatója végezte.

  • A jogi elemzés és a hivatalos panaszok megírása a következő munkatársak segítségével történt noyb.

Share