"Grindr" dostane pokutu takmer 10 miliónov eur za sťažnosť na GDPR. Aplikácia na zoznamovanie homosexuálov nezákonne zdieľala citlivé údaje miliónov používateľov.
V januári 2020 podala nórska spotrebiteľská rada a európska mimovládna organizácia na ochranu osobných údajov noyb.eu tri strategické sťažnosti proti spoločnosti Grindr a niekoľkým adtech spoločnostiam kvôli nezákonnému zdieľaniu údajov používateľov. Podobne ako mnohé iné aplikácie, aj Grindr zdieľal osobné údaje (napríklad údaje o polohe alebo skutočnosť, že niekto používa Grindr) potenciálne stovkám tretích strán na účely reklamy.
Nórsky úrad na ochranu údajov dnes sťažnostiam vyhovel a potvrdil, že spoločnosť Grindr nedostala od používateľov platný súhlas v predbežnom oznámení. Úrad uložil pokutu vo výške 100 mil. nórskych korún (9,63 €) Mil. alebo 11,69 mil. USD) spoločnosti Grindr. Obrovská pokuta, keďže spoločnosť Grindr vykázala v roku 2019 zisk len 31 miliónov USD - z ktorého tretina je teraz preč.
Pozadie prípadu: V roku 2014 bola spoločnosti Grindr uložená pokuta vo výške 1,5 milióna eur. Dňa 14. januára 2020 Nórska rada pre spotrebiteľov (Forbrukerrådet; NCC) podala v spolupráci so spoločnosťou noyb tri strategické sťažnosti týkajúce sa GDPR. Sťažnosti boli podané nórskemu úradu na ochranu údajov (DPA) proti aplikácii na zoznamovanie homosexuálov Grindr a piatim adtech spoločnostiam, ktoré prostredníctvom aplikácie získavali osobné údaje: Twitter`s MoPub, AT&T`s AppNexus (teraz Xandr), OpenX, AdColony a Smaato.
Grindr priamo a nepriamo posielal vysoko osobné údaje potenciálne stovkám reklamných partnerov. Stránka správa "Mimo kontroly nCC podrobne opísala, ako veľký počet tretích strán neustále dostáva osobné údaje o používateľoch spoločnosti Grindr používateľov. Zakaždým, keď používateľ otvorí Grindr, informácie, ako je aktuálna poloha alebo skutočnosť, že osoba používa Grindr, sú vysielané inzerentom. Tieto informácie sa používajú aj na vytvorenie komplexných profilov používateľov, ktoré sa môžu použiť na cielenú reklamu a iné účely.
Súhlas musí byť jednoznačný, informovaný, konkrétny a slobodne daný. Nórsky orgán na ochranu údajov rozhodol, že údajný "súhlas", o ktorý sa spoločnosť Grindr pokúšala oprieť, je neplatný. Používatelia neboli riadne informovaní a súhlas nebol ani dostatočne konkrétny, keďže používatelia museli súhlasiť s celými zásadami ochrany osobných údajov, a nie s konkrétnou operáciou spracovania, ako je napríklad zdieľanie údajov s inými spoločnosťami.
Súhlas musí byť tiež udelený slobodne. Orgán pre ochranu údajov zdôraznil, že používatelia by mali mať skutočnú možnosť nesúhlasiť bez akýchkoľvek negatívnych dôsledkov. Spoločnosť Grindr podmienila používanie aplikácie súhlasom so zdieľaním údajov alebo zaplatením predplatného.
"Odkaz je jednoduchý: 'ber alebo nechaj tak' nie je súhlas. Ak sa spoliehate na nezákonný 'súhlas', hrozí vám vysoká pokuta. Netýka sa to len Grindru, ale mnohých webových stránok a aplikácií." - Ala Krinickytė, právnička v oblasti ochrany údajov na noyb
"Týmto sa nielen stanovujú limity pre Grindr, ale zavádzajú sa prísne právne požiadavky pre celé odvetvie, ktoré profituje zo zhromažďovania a zdieľania informácií o našich preferenciách, polohe, nákupoch, fyzickom a duševnom zdraví, sexuálnej orientácii a politických názoroch"- Finn Myrstad, riaditeľ digitálnej politiky Nórskej rady pre spotrebiteľov (NCC).
Grindr musí kontrolovať externých "partnerov". Nórsky úrad pre ochranu údajov okrem toho dospel k záveru, že "spoločnosť Grindr nekontrolovala a neprevzala zodpovednosť" za zdieľanie svojich údajov s tretími stranami. Spoločnosť Grindr zdieľala údaje s potenciálne stovkami tretích strán tým, že do svojej aplikácie zahrnula sledovacie kódy. Potom slepo dôverovala týmto reklamným spoločnostiam, že budú dodržiavať signál "opt-out", ktorý sa posiela príjemcom údajov. Orgán DPA poznamenal, že spoločnosti mohli tento signál ľahko ignorovať a pokračovať v spracúvaní osobných údajov používateľov. Absencia akejkoľvek faktickej kontroly a zodpovednosti za zdieľanie údajov používateľov zo strany spoločnosti Grindr nie je v súlade so zásadou zodpovednosti podľa článku 5 ods. 2 GDPR. Mnohé spoločnosti v odvetví využívajú takýto signál, najmä rámec TCF od Interactive Advertising Bureau (IAB).
"Spoločnosti nemôžu do svojich produktov jednoducho zahrnúť externý softvér a potom dúfať, že sú v súlade so zákonom. Spoločnosť Grindr zahrnula sledovací kód externých partnerov a údaje o používateľoch odovzdala potenciálne stovkám tretích strán - teraz musí zabezpečiť, aby aj títo "partneri" dodržiavali zákon." - Ala Krinickytė, právnička v oblasti ochrany údajov na noyb
Grindr: Používatelia môžu byť "bisexuálni", ale nie homosexuáli? GDPR osobitne chráni informácie o sexuálnej orientácii. Spoločnosť Grindr však zastávala názor, že táto ochrana sa na jej používateľov nevzťahuje, pretože používanie služby Grindr by neodhalilo sexuálnu orientáciu jej zákazníkov. Spoločnosť argumentovala tým, že používatelia môžu byť heterosexuáli alebo "bi-curious" a napriek tomu môžu aplikáciu používať. Nórsky úrad DPA tento argument aplikácie, ktorá sa identifikuje ako aplikácia "výlučne pre homosexuálnu/bi komunitu ", neprijal. Ďalší pochybný argument spoločnosti Grindr, že používatelia svoju sexuálnu orientáciu "zjavne zverejnili", a preto nie je chránená, orgán DPA rovnako odmietol.
"Aplikácia pre komunitu homosexuálov, ktorá tvrdí, že osobitná ochrana určená práve tejto komunite sa na ňu v skutočnosti nevzťahuje, je dosť pozoruhodná. Nie som si istý, či si to právnici spoločnosti Grindr skutočne premysleli." - Max Schrems, čestný predseda spoločnosti noyb
Úspešná námietka je nepravdepodobná. Nórsky úrad pre ochranu údajov vydal "predbežné oznámenie" po vypočutí spoločnosti Grindr v konaní. Spoločnosť Grindr môže ešte do 21 dní vzniesť námietku proti rozhodnutiu, ktorú preskúma orgán DPA. Je však nepravdepodobné, že by sa výsledok mohol nejakým podstatným spôsobom zmeniť. Ďalšie pokuty však môžu prísť, keďže spoločnosť Grindr sa teraz spolieha na nový systém súhlasu a údajný "oprávnený záujem" používať údaje bez súhlasu používateľov. To je v rozpore s rozhodnutím nórskeho orgánu na ochranu údajov, keďže ten výslovne rozhodol, že "akékoľvek rozsiahle zverejnenie ... na marketingové účely by malo byť založené na súhlase dotknutej osoby".
"Prípad je po skutkovej a právnej stránke jasný. Neočakávame žiadne úspešné námietku zo strany spoločnosti Grindr. Spoločnosť Grindr však možno čakajú ďalšie pokuty, keďže v poslednom čase tvrdí, že zdieľanie údajov používateľov s tretími stranami - aj bez súhlasu - je nezákonným "oprávneným záujmom". Spoločnosť Grindr možno čaká druhé kolo." - Ala Krinickytė, právnička v oblasti ochrany údajov na noyb
Poďakovanie
- Projekt viedla Nórska rada spotrebiteľov
- Technické testy vykonala bezpečnostná spoločnosť mnemonic.
- Výskum reklamného priemyslu a konkrétnych sprostredkovateľov údajov sa uskutočnil s pomocou výskumníka Wolfieho Christla zo spoločnosti Cracked Labs.
- Dodatočný audit aplikácie Grindr vykonal výskumník Zach Edwards zo spoločnosti MetaX.
- Právna analýza a formálne sťažnosti boli napísané s pomocou spoločnosti noyb.
