"Grind", który ma zostać ukarany grzywną w wysokości prawie 10 mln euro w stosunku do skargi dotyczącej PKBR. Gay Dating App nielegalnie udostępniał dane wrażliwe milionów użytkowników.
W styczniu 2020 r. Norweska Rada Konsumentów oraz europejska organizacja pozarządowa noyb.eu zajmująca się ochroną prywatności złożyły następujące skargi trzy skargi strategiczne przeciwko firmie Grindr i kilku firmom z branży adtech w związku z nielegalnym udostępnianiem danych użytkowników. Podobnie jak wiele innych aplikacji, Grindr udostępniał dane osobowe (np. dane dotyczące lokalizacji lub fakt, że ktoś korzysta z Grindr) potencjalnie setkom osób trzecich do celów reklamowych
W dniu dzisiejszym Norweski Urząd Ochrony Danych Osobowych podtrzymał skargi, potwierdzając, że firma Grindr nie uzyskała ważnej zgody użytkowników w ramach wcześniejszego zgłoszenia. Urząd nakłada grzywnę w wysokości 100 mln NOK (9,63 EUR) Mio lub 11,69 Mio USD) na przedsiębiorstwo Grindr. Jest to ogromna grzywna, ponieważ w 2019 r. przedsiębiorstwo Grindr zgłosiło jedynie zysk w wysokości 31 mln USD, z czego jednej trzeciej już nie ma.
Tło sprawy W dniu 14 stycznia 2020 r Norweska Rada Konsumentów (Forbrukerrådet; NCC) złożył trzy strategiczne skargi PKBR we współpracy z Noyb. Skargi te zostały złożone w Norweskim Urzędzie Ochrony Danych Osobowych (DPA) przeciwko aplikacji randkowej dla gejów Grindr oraz pięć firm reklamowych, które otrzymywały dane osobowe za pośrednictwem aplikacji: Twitter's MoPub, AT&T's AppNexus (obecnie Xandr), OpenX, AdColony, i Smaato
Grindr bezpośrednio i pośrednio wysyłał wysoce osobiste dane do potencjalnie setek partnerów reklamowych Sprawozdanie "poza kontrolą przez NCC opisał szczegółowo, w jaki sposób duża liczba osób trzecich stale otrzymuje dane osobowe dotyczące Grindr's użytkowników. Za każdym razem użytkownik otwiera Szlifierkę, informacje takie jak aktualna lokalizacja lub fakt, że dana osoba korzysta z Szlifierki jest nadawany reklamodawcom. Informacje te są również wykorzystywane do tworzenia obszernych profili użytkowników, które mogą być wykorzystane do reklamy ukierunkowanej i innych celów
Zgoda musi być jednoznaczny...w sposób świadomy, konkretny i dobrowolny The Norwegian DPA held that the alleged "consent" Grindr tried to rely on was invalid. Użytkownicy nie zostali odpowiednio poinformowani, ani też zgoda nie była wystarczająco konkretna, ponieważ użytkownicy musieli wyrazić zgodę na całą politykę prywatności, a nie na konkretną operację przetwarzania, taką jak udostępnienie danych innym firmom.
Zgoda musi być również udzielona dobrowolnie. Organ ochrony danych podkreślił, że użytkownicy powinni mieć rzeczywisty wybór, aby nie wyrażać zgody bez żadnych negatywnych konsekwencji. Utrudnienia w korzystaniu z aplikacji były uzależnione od wyrażenia zgody na udostępnianie danych lub uiszczenia opłaty abonamentowej
Komunikat jest prosty: "weź to lub zostaw" nie jest zgodą. Jeśli polegasz na bezprawnej "zgodzie", podlegasz surowej karze. Dotyczy to nie tylko Grindr, ale wielu stron internetowych i aplikacji" - Ala Krinickytė, prawnik ds. ochrony danych osobowych pod adresem noyb
"To nie tylko wyznacza granice dla Grindr, ale także ustanawia surowe wymogi prawne dla całej branży, która czerpie zyski ze zbierania i udostępniania informacji o naszych preferencjach, lokalizacji, zakupach, zdrowiu fizycznym i psychicznym, orientacji seksualnej i poglądach politycznych"Finn Myrstad, dyrektor ds. polityki cyfrowej w Norweskiej Radzie Konsumentów (NCC).
Grindr musi pilnować zewnętrznych "Partnerów" Ponadto, norweski organ ochrony danych stwierdził, że "Grindr nie kontrolował i nie wziął odpowiedzialności" za udostępnianie danych stronom trzecim. Firma Grindr udostępniła dane potencjalnie setkom stron trzecich, włączając kody śledzenia do swojej aplikacji. Organ ten następnie ślepo zaufał tym spółkom z sektora adtech, że zastosują się do sygnału "opt-out", który jest wysyłany do odbiorców danych. Organ ochrony danych zauważył, że przedsiębiorstwa mogą z łatwością ignorować ten sygnał i kontynuować przetwarzanie danych osobowych użytkowników. Brak faktycznej kontroli i odpowiedzialności w zakresie udostępniania danych użytkowników z przedsiębiorstwa Grindr nie jest zgodny z zasadą odpowiedzialności określoną w art. 5 ust. 2 PKBR. Wiele przedsiębiorstw w branży wykorzystuje taki sygnał, głównie ramy TCF przez Interactive Advertising Bureau (IAB).
"Firmy nie mogą po prostu włączać do swoich produktów zewnętrznego oprogramowania, a potem mieć nadzieję, że będą przestrzegać prawa. Grindr zawierał kod śledzenia partnerów zewnętrznych i przekazywał dane użytkowników potencjalnie setkom osób trzecich - teraz musi również zapewnić zgodność tych "partnerów" z prawem" - Ala Krinickytė, prawnik ds. ochrony danych osobowych pod adresem noyb
Szlifierka: Użytkownicy mogą być "bi-winni", ale nie gejem? PKBR specjalnie chroni informacje o orientacji seksualnej. Grindr uważa jednak, że taka ochrona nie dotyczy jego użytkowników, ponieważ korzystanie z Grindr nie ujawni orientacji seksualnej jego klientów. Firma argumentowała, że użytkownicy mogą być heteroseksualni lub "bi-winni" i nadal korzystać z aplikacji. Norweski organ ochrony danych nie kupił tego argumentu od aplikacji, która określa się jako "przeznaczona wyłącznie dla społeczności gejowskiej/biologicznej". Dodatkowy wątpliwy argument Grindr, że użytkownicy "wyraźnie upublicznili" swoją orientację seksualną, a zatem nie jest ona chroniona, został równie dobrze odrzucony przez organ ochrony danych.
"Aplikacja dla społeczności gejowskiej, która twierdzi, że specjalna ochrona właśnie dla tej społeczności w rzeczywistości nie ma do nich zastosowania, jest raczej niezwykła. Nie jestem pewien, czy prawnicy Grindr'a naprawdę to przemyśleli." - Max Schrems, Honorowy Przewodniczący w noyb
Pomyślny sprzeciw mało prawdopodobny. Norweski organ ochrony danych wydał "wyprzedzające zawiadomienie" po przesłuchaniu Grindr w ramach procedury. Grindr może nadal zgłosić sprzeciw wobec decyzji w terminie 21 dni, który zostanie rozpatrzony przez organ ochrony danych. Jest jednak mało prawdopodobne, aby wynik mógł zostać zmieniony w jakikolwiek istotny sposób. Mogą jednak pojawić się kolejne grzywny, ponieważ firma Grindr opiera się obecnie na nowym systemie udzielania zgody i rzekomym "uzasadnionym interesie" wykorzystania danych bez zgody użytkownika. Jest to sprzeczne z decyzją norweskiego organu ochrony danych, ponieważ wyraźnie stwierdzono, że "każde szerokie ujawnienie (...) dla celów marketingowych powinno być oparte na zgodzie osoby, której danedotyczą".
"Sprawa jest jasna od strony faktycznej i prawnej. Nie oczekujemy żadnych udało się: sprzeciw Grilla. Jednak w przypadku spółki Grindr może być więcej grzywien, ponieważ twierdzi ona ostatnio, że ma bezprawny "uzasadniony interes" w udostępnianiu danych użytkowników osobom trzecim - nawet bez zgody. Przedsiębiorstwo Grindr może zostać zobowiązane do przeprowadzenia drugiej rundy." - Ala Krinickytė, prawnik ds. ochrony danych osobowych pod adresem noyb
Podziękowania
- Projekt był prowadzony przez Norweską Radę Konsumentów
- Badania techniczne zostały przeprowadzone przez firmę ochroniarską mnemonic.
- Badania dotyczące branży adtech i poszczególnych brokerów danych zostały przeprowadzone z pomocą badacza Wolfie Christla z Cracked Labs
- Dodatkowy audyt aplikacji Grindr został przeprowadzony przez badacza Zacha Edwardsa z MetaX.
- Analiza prawna i skargi formalne zostały napisane z pomocą firmy Noyb
