"Grindr" wordt beboet met een boete van bijna € 10 miljoen boven de GDPR-klacht. De Gay Dating App was het illegaal delen van gevoelige gegevens van miljoenen gebruikers.
In januari 2020 diende de Noorse Consumentenraad en de Europese privacy NGO noyb.eu drie strategische klachten tegen Grindr en verschillende adtech bedrijven over het illegaal delen van gebruikersgegevens. Net als veel andere apps deelde Grindr persoonlijke gegevens (zoals locatiegegevens of het feit dat iemand Grindr gebruikt) met mogelijk honderden derden voor reclame
Vandaag heeft de Noorse Data Protection Authority de klachten bevestigd en bevestigd dat Grindr geen geldige toestemming van gebruikers heeft ontvangen in een voorafgaande kennisgeving. De Autoriteit legt een boete op van 100 miljoen NOK (€ 9,63 miljoen) Mio of $ 11,69 Mio) aan Grindr. Een enorme boete, aangezien Grindr in 2019 slechts een winst van $ 31 miljoen meldde - een derde daarvan is nu verdwenen.
Achtergrond van de zaak Op 14 januari 2020 heeft de Noorse Consumentenraad (ForbrukerrådetNCC) drie strategische GDPR-klachten ingediend in samenwerking met noyb. De klachten werden ingediend bij de Noorse gegevensbeschermingsautoriteit (DPA) tegen de gay dating app Grindr en vijf adtech bedrijven die persoonlijke gegevens ontvingen via de app: Twitter`s MoPub, AT&T`s AppNexus (nu Xandr), OpenX, AdColony en Smaato
Grindr stuurde direct en indirect zeer persoonlijke gegevens naar potentieel honderden reclamepartners De Rapport "Out of Control" (uit de hand gelopen) door het NCC in detail beschreven hoe een groot aantal derden voortdurend persoonlijke gegevens over Grindr's gebruikers. Elke keer een gebruiker opent Grindr, informatie zoals de huidige locatie, of het feit dat een persoon Grindr gebruikt wordt uitgezonden naar adverteerders. Deze informatie wordt ook gebruikt om uitgebreide profielen van gebruikers aan te maken, die kunnen worden gebruikt voor gerichte reclame en andere doeleinden
Toestemming moet worden gegeven ondubbelzinnig, geïnformeerd, specifiek en vrijelijk gegeven Het Noorse DPA oordeelde dat de vermeende "toestemming" waarop Grindr zich probeerde te beroepen, ongeldig was. De gebruikers waren niet goed geïnformeerd en de toestemming was ook niet specifiek genoeg, aangezien de gebruikers moesten instemmen met het volledige privacybeleid en niet met een specifieke verwerking, zoals het delen van gegevens met andere bedrijven.
De toestemming moet ook vrijelijk worden gegeven. De DPA benadrukte dat gebruikers een reële keuze moeten hebben om niet zonder negatieve gevolgen toe te stemmen. Grindr maakte het gebruik van de app afhankelijk van de toestemming voor het delen van gegevens of het betalen van een abonnementsgeld
"De boodschap is eenvoudig: "neem het of laat het" is geen toestemming. Als u zich beroept op onrechtmatige 'toestemming' krijgt u een flinke boete. Dit heeft niet alleen betrekking op Grindr, maar op veel websites en apps - Ala Krinickytė, advocaat voor gegevensbescherming bij noyb
"Dit stelt niet alleen grenzen aan Grindr, maar stelt ook strenge wettelijke eisen aan een hele industrie die profiteert van het verzamelen en delen van informatie over onze voorkeuren, locatie, aankopen, fysieke en mentale gezondheid, seksuele geaardheid en politieke opvattingen"Finn Myrstad, directeur digitaal beleid in de Noorse Consumentenraad (NCC).
Grindr moet de externe "Partners" controleren Bovendien concludeerde het Noorse DPA dat "Grindr er niet in slaagde controle uit te oefenen en verantwoordelijkheid te nemen" voor het delen van hun gegevens met derden. Grindr deelde gegevens met potentieel honderden derde partijen, door trackingcodes in zijn app op te nemen. Vervolgens vertrouwde het blindelings op deze adtech-bedrijven om zich te houden aan een "opt-out"-signaal dat naar de ontvangers van de gegevens wordt gestuurd. Het DPA merkte op dat bedrijven het signaal gemakkelijk konden negeren en persoonlijke gegevens van gebruikers konden blijven verwerken. Het ontbreken van enige feitelijke controle en verantwoordelijkheid voor het delen van de gegevens van de gebruikers van Grindr is niet in overeenstemming met het verantwoordingsbeginsel van artikel 5, lid 2, van de BBPR. Veel bedrijven in de industrie maken gebruik van een dergelijk signaal, met name het TCF-kader van de Interactive Advertising Bureau (IAB).
"Bedrijven kunnen niet zomaar externe software in hun producten opnemen en dan hopen dat ze zich aan de wet houden. Grindr heeft de traceercode van externe partners opgenomen en gebruikersgegevens doorgestuurd naar mogelijk honderden derden - het moet er nu ook voor zorgen dat deze 'partners' zich aan de wet houden" - Ala Krinickytė, advocaat voor gegevensbescherming op noyb
Grindr: Gebruikers kunnen 'bi-nieuwsgierig' zijn, maar geen homo? De GDPR beschermt speciaal informatie over seksuele geaardheid. Grindr was echter van mening, dat dergelijke bescherming niet van toepassing is op zijn gebruikers, omdat het gebruik van Grindr de seksuele geaardheid van zijn klanten niet zou onthullen. Het bedrijf betoogde dat gebruikers misschien hetero of "bi-nieuwsgierig" zijn en toch de app gebruiken. De Noorse DPA kocht dit argument niet van een app die zich identificeert als "uitsluitend voor de homo-/bi-gemeenschap". Het bijkomende twijfelachtige argument van Grindr dat gebruikers hun seksuele geaardheid "duidelijk openbaar" maken en dus niet beschermd zijn, werd door de DPA eveneens verworpen.
"Een app voor de homogemeenschap, die stelt dat de speciale bescherming voor juist die gemeenschap eigenlijk niet op hen van toepassing is, is nogal opmerkelijk. Ik weet niet zeker of de advocaten van Grindr hier wel goed over hebben nagedacht." - Max Schrems, Erevoorzitter bij noyb
Succesvol bezwaar onwaarschijnlijk. Het Noorse DPA heeft een "voorafgaande kennisgeving" gedaan nadat het Grindr in een procedure had gehoord. Grindr kan nog steeds binnen 21 dagen bezwaar maken tegen het besluit, dat door de gegevensbeschermingsautoriteit zal worden herzien. Het is echter onwaarschijnlijk dat het resultaat op enige wezenlijke wijze kan worden gewijzigd. Er kunnen echter nog meer boetes volgen, aangezien Grindr nu vertrouwt op een nieuw toestemmingssysteem en een vermeend "rechtmatig belang" om gegevens te gebruiken zonder toestemming van de gebruiker. Dit is in strijd met het besluit van de Noorse gegevensbeschermingsautoriteit, aangezien deze expliciet heeft gesteld dat "elke uitgebreide openbaarmaking ... voor marketingdoeleinden gebaseerd moet zijn op de toestemming van de betrokkene".
"De zaak is duidelijk aan de feitelijke en juridische kant. Wij verwachten geen succesvol bezwaar van Grindr. Er kunnen echter nog meer boetes op stapel staan voor Grindr, omdat het bedrijf de laatste tijd beweert dat het een onrechtmatig 'legitiem belang' heeft om gebruikersgegevens met derden te delen - zelfs zonder toestemming. Grindr kan gebonden zijn aan een tweede ronde." - Ala Krinickytė, advocaat voor gegevensbescherming bij noyb
Erkenningen
- Het project werd geleid door de Noorse Consumentenraad
- De technische tests werden uitgevoerd door het beveiligingsbedrijf mnemonic.
- Het onderzoek naar de adtech industrie en specifieke datamakelaars werd uitgevoerd met de hulp van de onderzoeker Wolfie Christl van Cracked Labs
- Aanvullende audits van de Grindr app werden uitgevoerd door de onderzoeker Zach Edwards van MetaX.
- De juridische analyse en de formele klachten werden geschreven met hulp van noyb
