NCC & noyb Skarga GDPR: "Grindr" ukarany grzywną w wysokości 6,3 mln euro za nielegalne udostępnianie danych
Norweski Urząd Ochrony Danych Osobowych nałożył dziś na Grindr grzywnę w wysokości 65 milionów koron norweskich (6,34 miliona euro lub 7,17 miliona dolarów). Aplikacja randkowa LGBTQI nie otrzymała ważnej zgody od użytkowników, ale mimo to udostępniała wrażliwe dane osobowe.
Tło sprawy W dniu 14 stycznia 2020 r. Norweska Rada Konsumentów (Forbrukerrådet; NCC) złożyła trzy strategiczne skargi GDPR we współpracy z noyb. Skargi zostały złożone do Norweskiego Urzędu Ochrony Danych (DPA) przeciwko aplikacji randkowej dla odmieńców Grindr i pięciu firmom adtech, które otrzymywały dane osobowe za pośrednictwem aplikacji: Twitter`s MoPub, AT&T's AppNexus (obecnie Xandr), OpenX, AdColony i Smaato
Grindr wysyłał wrażliwe dane osobowe do setek potencjalnych partnerów reklamowych. The Raport "Poza kontrolą przez NCC szczegółowo opisał, w jaki sposób duża liczba stron trzecich stale otrzymywała dane osobowe użytkowników Grindr, takie jak fakt, że korzystają z Grindr i ich dane dotyczące lokalizacji
W dniu 26 stycznia 2021 r. norweski organ ogłosił w "projekcie decyzji" swój zamiar nałożenia na Grindr grzywny w wysokości 100 mln NOK (około 10 mln EUR) za naruszenie art. 4 ust. 11, art. 6, art. 7 i art. 9 ust. 2 lit. a) GDPR. Dzisiejsza grzywna w wysokości 65 mln NOK w ostatecznej decyzji została ostatecznieostatecznie dostosowana w oparciu o rzeczywiste przychody Grindr i fakt, że podjął środki w celu zmiany swojej poprzedniej Platformy Zarządzania Zgodą
"To silny sygnał dla wszystkich firm zaangażowanych w komercyjną inwigilację. Istnieją poważne reperkusje za udostępnianie danych osobowych bez podstawy prawnej. Wzywamy branżę reklamy cyfrowej do wprowadzenia fundamentalnych zmian w celu poszanowania praw konsumentów praw." - Finn Myrstad, dyrektor ds. polityki cyfrowej w Norweskiej Radzie Konsumentów (NCC).
Zgoda musi być jednoznaczna, świadoma, konkretna i udzielona dobrowolnie Norweski DPA zdecydował, że rzekoma "zgoda", na którą próbował powołać się Grindr, była nieważna. Użytkownicy nie zostali ani odpowiednio poinformowani, ani zgoda nie była wystarczająco szczegółowa: użytkownicy musieli wyrazić zgodę na całą politykę prywatności, a nie na konkretną operację przetwarzania, jak np. udostępnianie danych innym przedsiębiorstwom
Ponadto organ ochrony danych podkreślił, że użytkownicy muszą mieć możliwość wyboru nie zgody, bez żadnych negatywnych konsekwencji. Grindr jednak uzależnił korzystanie z aplikacji od zgody; użytkownicy muszą albo wyrazić zgodę na udostępnianie danych, albo uiścić opłatę abonamentową
Podsumowując, DPA stwierdziła, że "Grindr nie zdołał kontrolować i wziąć odpowiedzialności za własne udostępnianie danych, a mechanizm "opt-out" niekoniecznie był skuteczny".
" - i to jest sedno, oprócz braku zgody. Nie można udostępniać danych osobowych potencjalnie nieograniczonej liczbie partnerów, nie będąc w stanie kontrolować, co się z tymi danymi dzieje." - Ala Krinickytė, prawnik ds. ochrony danych wnoyb
Dane osobowe nie są walutą. Norweski DPA zajął jasne stanowisko, mówiąc, że dane osobowe nie mogą być wykorzystywane do płacenia za usługi cyfrowe, nawet jeśli Grindr polegał na "reklamie behawioralnej" jako "core-activity", aby się finansować. Decyzja ta odgrywa istotną rolę na rynku europejskim, ponieważ wiele usług online stara się czerpać zyski, przedstawiając dane użytkowników jako środek płatniczy
Ostatecznie norweski organ ochrony danych uznał korzyści finansowe, jakie Grindr odniósł w wyniku nielegalnego udostępniania danych, za okoliczność obciążającą przy ustalaniu wysokości grzywny, podobnie jak fakt, że Grindr udostępniał dane kategorii specjalnej, chronione na mocy art. 9, swoim partnerompartnerami. DPA wyraził pogląd, że rozpowszechnianie danych, o których mowa, mogło zagrozić podstawowym prawom i wolnościom osoby, której dane dotyczą, takim jak prawo do prywatności i niedyskryminacji
"To zadziwiające, że DPA musi przekonywać Grindr, że jego użytkownicy są LGBT+ i że ten fakt nie jest towarem, który można przehandlować" - Ala Krinickytė, prawnik ds. ochrony danych wnoyb
Odwołanie do Rady ds. Prywatności. Od sprawy można się teraz odwołać do Norweskiej Komisji Odwoławczej ds. Prywatności (Prywatności (Personvernnemda) w ciągu trzech tygodni. Skargi przeciwko firmom adtech, które otrzymały dane od Grindr są w toku.
Podziękowania
-
Projekt był prowadzony przez Norweską Radę Konsumentów.
-
Testy techniczne zostały przeprowadzone przez firmę ochroniarską mnemonic.
-
Badanie branży adtech i konkretnych brokerów danych zostało przeprowadzone z pomocą badacza Wolfie Christl z Cracked Labs
-
Dodatkowy audyt aplikacji Grindr został przeprowadzony przez badacza Zacha Edwardsa z MetaX.
-
Analiza prawna i formalne skargi zostały napisane z pomocą noyb
