Wil je je Grindr gegevens? Toon je ID en neem een selfie!
Vandaag heeft noyb een GDPR-klacht ingediend tegen Grindr - een dating app voor homo's, bi's, transgenders en queer mensen, waar veel gebruikers zeer persoonlijke en zelfs expliciete seksuele details delen. In plaats van zich te verifiëren aan de hand van de gegevens die gebruikers hebben verstrekt, zoals hun e-mailadres en wachtwoord, eist Grindr dat gebruikers zich identificeren op misschien wel de meest groteske manier die denkbaar is: Gebruikers moeten een stuk papier omhoog houden met hun e-mailadres, evenals hun paspoort - en dat alles terwijl ze hun telefoon balanceren om een selfie te nemen. Dit is niet alleen absurd, maar ook een schending van de GDPR.
Het uitoefenen van grondrechten moet door bedrijven worden gefaciliteerd. In deze zaak is de klager, vertegenwoordigd door noyb, een Grindr-gebruiker die meer wilde weten over hoe Grindr zijn gegevens gebruikt. Grindr weigerde verrassend genoeg de toegang tot zijn persoonlijke gegevens omdat de gebruiker geen selfie had gestuurd met zijn paspoort en een stuk papier met zijn e-mailadres erop
Als "Hunk_69" Richard Smith moet worden om zijn rechten op te eisen: Bedrijven als Grindr maken het registratieproces eenvoudig en snel - niet alleen om te voldoen aan de dataminimalisatie, maar ook omdat het gebruik van Grindr op een zogenaamd anonieme manier deel uitmaakt van de belofte aan gebruikers. Vooral wanneer de dienst vaak wordt gebruikt met geanonimiseerde foto's en met gebruikmaking van pseudoniemen, maakt het niet hoeven tonen van een ID om een account te openen deel uit van de service - per slot van rekening is zelfs het logo van Grindr een masker.
Wanneer een gebruiker echter zijn rechten probeert uit te oefenen om te weten te komen welke persoonlijke gegevens het bedrijf over hem heeft, eist Grindr dat hij plotseling het masker afzet en zelfs een door de overheid uitgegeven ID laat zien, wat niet alleen in strijd is met het principe van gegevensminimalisatie, maar met het hele product.
"Je kunt zelfs de meest intieme foto's op Grindr zien en delen met alleen je e-mail en wachtwoord - alleen als je je GDPR-rechten wilt uitoefenen, moet je je uitkleden en een door de overheid uitgegeven ID laten zien."- Max Schrems, voorzitter van noyb
Bedrijven argumenteren meestal met "veiligheidsredenen". Volgens de wet moeten bedrijven per geval beoordelen of er gerede twijfel is over de identiteit van de gebruiker. Het hebben van een algemeen beleid van het vragen om extra informatie is in strijd met de GDPR, vooral wanneer Grindr het ID eigenlijk niet kan matchen met een gebruiker, omdat het niet beschikt over de echte naam van gebruikers
"Het is belachelijk om 'Hunk 69' te authenticeren met een overheids-ID, terwijl Grindr is ontworpen om de echte naam van zijn gebruikers niet te kennen. In werkelijkheid vereisen ze een 'coming out' van gebruikers om hun rechten uit te oefenen." - Max Schrems, voorzitter van noyb
Bredere kwestie met GDPR-rechten. Grindr is lang niet het enige bedrijf dat ingewikkelde of zelfs verbodsregels invoert wanneer gebruikers hun GDPR-rechten willen uitoefenen. Er moet een einde komen aan deze onnodige "routine-identiteitscontroles" door voor de verwerking verantwoordelijken, vooral wanneer andere, minder indringende maatregelen beschikbaar zijn, zoals het sturen van een verificatiemail of een code binnen de app, zoals in dit geval
Als u uw rechten wilt uitoefenen: Verwijder het account. Als alternatief suggereerde Grindr aan de klager dat hij ervoor kon kiezen om zijn account te verwijderen, als hij "geen gegevens met Grindr wenst te delen". De klager koos voor een derde optie - een GDPR-klacht indienen bij de Oostenrijkse gegevensbeschermingsautoriteit, DSB, die nu over de zaak zal moeten beslissen.