NCC & noyb GDPR-klacht: "Grindr" beboet met 6,3 miljoen euro wegens illegaal delen van gegevens

Dec 15, 2021

NCC &amp noyb GDPR-klacht: "Grindr" beboet met 6,3 Mio € over illegaal delen van gegevens

De Noorse gegevensbeschermingsautoriteit heeft vandaag een boete van 65 Mio NOK (€ 6,34 Mio of $ 7,17 Mio) opgelegd aan Grindr. De LGBTQI dating app had geen geldige toestemming van gebruikers gekregen, maar had desondanks gevoelige persoonsgegevens gedeeld.

Achtergrond van de zaak Op 14 januari 2020 heeft de Noorse Consumentenraad (ForbrukerrådetNCC) drie strategische GDPR-klachten ingediend in samenwerking met noyb. De klachten werden ingediend bij de Noorse gegevensbeschermingsautoriteit (DPA) tegen de queer dating app Grindr en vijf adtech bedrijven die persoonsgegevens ontvingen via de app: Twitter`s MoPub, AT&T`s AppNexus (nu Xandr), OpenX, AdColony, en Smaato

Grindr had gevoelige persoonsgegevens naar honderden potentiële reclamepartners gestuurd. Het "Out of Control" rapport van de NCC beschreef in detail hoe een groot aantal derde partijen voortdurend persoonlijke gegevens over de gebruikers van Grindr ontving, zoals het feit dat zij Grindr gebruiken en hun locatiegegevens

Op 26 januari 2021 kondigde de Noorse autoriteit in een "ontwerpbesluit" aan Grindr een boete van 100 Mio NOK (ongeveer 10 Mio EUR) te willen opleggen voor de schending van artikel 4, lid 11, de artikelen 6 en 7 en artikel 9, lid 2, onder a), GDPR. De boete van 65 miljoen NOK in het definitieve besluit van vandaag werd uiteindelijkuiteindelijk aangepast op basis van de werkelijke inkomsten van Grindr en het feit dat het maatregelen heeft genomen om zijn vorige Consent Management Platform te herzien

"Dit is een sterk signaal voor alle bedrijven die betrokken zijn bij commercieel toezicht. Er zijn ernstige gevolgen verbonden aan het delen van persoonsgegevens zonder wettelijke basis. We roepen de digitale reclame-industrie op om fundamentele veranderingen door te voeren om de rechten van consumenten te respecteren rechten te respecteren." - Finn Myrstad Finn Myrstad, directeur digitaal beleid bij de Noorse Consumentenraad (NCC).

Toestemming moet ondubbelzinnig, geïnformeerd, specifiek en vrij gegeven zijn De Noorse gegevensbeschermingsautoriteit besloot dat de vermeende "toestemming" waarop Grindr zich trachtte te beroepen, ongeldig was. De gebruikers waren niet naar behoren geïnformeerd en de toestemming was ook niet specifiek genoeg: de gebruikers moesten instemmen met het volledige privacybeleid en niet met een specifieke verwerking, zoals het delen van gegevens met andere bedrijven
Bovendien benadrukte de gegevensbeschermingsautoriteit dat gebruikers de keuze moeten hebben
niet toestemming te geven, zonder dat dit negatieve gevolgen heeft. Grindr heeft het gebruik van de app echter afhankelijk gemaakt van toestemming; gebruikers moeten ofwel toestemming geven voor het delen van gegevens of een abonnementsgeld betalen

Tot slot verklaarde de gegevensbeschermingsautoriteit het volgende "Grindr verzuimde controle uit te oefenen op en verantwoordelijkheid te nemen voor hun eigen gegevensdeling en het "opt-out"-mechanisme was niet noodzakelijkerwijs effectief."

" - en dat is de crux, naast het gebrek aan toestemming. Je kunt geen persoonsgegevens delen met een potentieel onbeperkt aantal partners zonder dat je in staat bent te controleren wat er met die gegevens gebeurt." - Ala Krinickytė, advocaat gegevensbescherming bijnoyb

Persoonsgegevens zijn geen ruilmiddel. De Noorse gegevensbeschermingsautoriteit nam een duidelijk standpunt in door te zeggen dat persoonsgegevens niet mogen worden gebruikt om te betalen voor digitale diensten, ook al vertrouwde Grindr op "behavioural advertisement" als een "core-activiteit" om zichzelf te financieren. Deze beslissing speelt een cruciale rol in de Europese markt, aangezien veel onlinediensten winst proberen te maken door gebruikersgegevens als betaalmiddel te presenteren

Uiteindelijk vond de Noorse gegevensbeschermingsautoriteit de financiële voordelen die Grindr genoot als gevolg van het illegaal delen van gegevens een verzwarende omstandigheid bij het bepalen van de boete, evenals het feit dat Grindr gegevens van speciale categorieën, beschermd krachtens artikel 9, deelde met zijns partners. De gegevensbeschermingsautoriteit was van mening dat het verspreiden van de gegevens in kwestie de fundamentele rechten en vrijheden van de betrokkene in gevaar kon brengen, zoals het recht op privacy en non-discriminatie

"Het is verbazingwekkend dat de DPA Grindr ervan moet overtuigen dat zijn gebruikers LGBT+ zijn en dat dit feit geen handelswaar is die kan worden verhandeld." - Ala Krinickytė, advocaat gegevensbescherming bijnoyb

Beroep bij de Privacy Board. Tegen de zaak kan nu beroep worden aangetekend bij het Noorse College van Beroep voor de Privacy (Personvernnemda) binnen drie weken. De klachten tegen de adtech-bedrijven die de gegevens van Grindr hebben ontvangen, lopen nog.

Erkenningen

  • Het project werd geleid door de Noorse Consumentenraad.

  • De technische tests werden uitgevoerd door het beveiligingsbedrijf mnemonic.

  • Het onderzoek naar de adtech-industrie en specifieke gegevensmakelaars werd uitgevoerd met de hulp van de onderzoeker Wolfie Christl van Cracked Labs

  • Aanvullend onderzoek van de Grindr-app werd uitgevoerd door de onderzoeker Zach Edwards van MetaX.

  • De juridische analyse en formele klachten werden geschreven met de hulp van noyb