Sťažnosť NCC & noyb GDPR: "EUR za nezákonné zdieľanie údajov

This page has been translated automatically. Read the original or leave us a message if something is not right.
Identification & Authentication
 /  Wed, 15. 12. 2021 - 04:59
Three GDPR Complaints filed against Grindr, Twitter and the AdTech companies Smaato, OpenX, AdColony and AT&T’s AppNexus

NCC &amp noyb Sťažnosť na GDPR: "EUR za nezákonné zdieľanie údajov

Nórsky úrad na ochranu údajov dnes uložil spoločnosti Grindr pokutu vo výške 65 miliónov nórskych korún (6,34 milióna eur alebo 7,17 milióna dolárov). Aplikácia na zoznamovanie LGBTQI nezískala od používateľov platný súhlas, ale napriek tomu zdieľala citlivé osobné údaje.

Pozadie prípadu: Úrad pre ochranu osobných údajov (DPA) oznámil, že v prípade Grindry sa jedná o porušenie zákona o ochrane osobných údajov. Dňa 14. januára 2020 nórska Rada pre ochranu spotrebiteľa (Forbrukerrådet; NCC) podala tri strategické sťažnosti na GDPR v spolupráci so noyb. Sťažnosti boli podané nórskemu úradu na ochranu údajov (DPA) proti queer zoznamovacej aplikácii Grindr a piatim adtech spoločnostiam, ktoré prostredníctvom aplikácie získavali osobné údaje: AppNexus (teraz Xandr), spoločnosti AppNexus spoločnosti AT&T (teraz Xandr), spoločnosti Twitter`s MoPub, spoločnosti AppNexus spoločnosti AT&T (teraz Xandr), OpenX, AdColony a Smaato.

Grindr posielal citlivé osobné údaje stovkám potenciálnych reklamných partnerov. Na stránke správa "Mimo kontroly nCC podrobne opísala, ako veľký počet tretích strán neustále dostával osobné údaje o používateľoch služby Grindr, napríklad to, že používajú Grindr, a údaje o ich polohe.

Dňa 26. januára 2021 nórsky orgán v "návrhu rozhodnutia" oznámil svoj zámer uložiť spoločnosti Grindr pokutu vo výške 100 mil. nórskych korún (približne 10 mil. EUR) za porušenie článku 4 ods. 11, článkov 6, 7 a článku 9 ods. 2 písm. a) GDPR. Dnešná pokuta vo výške 65 mil. nórskych korún v konečnom rozhodnutí bola ultimatívnenakoniec upravená na základe skutočných príjmov spoločnosti Grindr a skutočnosti, že prijala opatrenia na revíziu svojej predchádzajúcej platformy na správu súhlasov.

"Je to silný signál pre všetky spoločnosti zapojené do komerčného dohľadu. Zdieľanie osobných údajov bez právneho základu má vážne následky. Vyzývame digitálny reklamný priemysel, aby uskutočnil zásadné zmeny s cieľom rešpektovať práva spotrebiteľov práva spotrebiteľov." - Finn Myrstad, riaditeľ digitálnej politiky v Nórskej rade spotrebiteľov (NCC).

Súhlas musí byť jednoznačný, informovaný, konkrétny a slobodne udelený. Nórsky úrad na ochranu údajov rozhodol, že údajný "súhlas", o ktorý sa spoločnosť Grindr pokúšala oprieť, je neplatný. Používatelia neboli riadne informovaní a súhlas nebol ani dostatočne konkrétny: používatelia museli súhlasiť s celými zásadami ochrany osobných údajov, a nie s konkrétnou operáciou spracovania, ako napríklad zdieľanie údajov s inými spoločnosťami.
Okrem toho orgán pre ochranu údajov zdôraznil, že používatelia musia mať možnosť voľby nie súhlasiť bez akýchkoľvek negatívnych dôsledkov. Spoločnosť Grindr však používanie aplikácie podmienila súhlasom; používatelia musia buď súhlasiť so zdieľaním údajov, alebo zaplatiť predplatné.

Na záver orgán DPA uviedol, že "Grindr nekontroloval a neprevzal zodpovednosť za vlastné zdieľanie údajov a mechanizmus "opt-out" nebol nevyhnutne účinný".

" - a to je okrem chýbajúceho súhlasu to podstatné. Nemôžete zdieľať osobné údaje s potenciálne neobmedzeným počtom partnerov bez toho, aby ste mohli kontrolovať, čo sa s týmito údajmi deje." - Ala Krinickytė, právnička v oblasti ochrany údajov noyb

Osobné údaje nie sú menou. Nórsky orgán na ochranu údajov zaujal jasné stanovisko a uviedol, že osobné údaje sa nesmú používať na platenie za digitálne služby, hoci spoločnosť Grindr sa pri financovaní spoliehala na "behaviorálnu reklamu" ako na "hlavnú činnosť". Toto rozhodnutie zohráva dôležitú úlohu v európskom trhu, keďže mnohé online služby sa snažia dosahovať zisky tým, že údaje používateľov prezentujú ako platobný prostriedok.

Nórsky orgán na ochranu údajov nakoniec zistil, že finančné výhody, ktoré spoločnosť Grindr získala v dôsledku nezákonného zdieľania, boli pri posudzovaní pokuty priťažujúcou okolnosťou, ako aj skutočnosť, že spoločnosť Grindr zdieľala údaje osobitnej kategórie, chránené podľa článku 9s partnermi. Orgán DPA vyjadril názor, že šírenie predmetných údajov by mohlo ohroziť základné práva a slobody dotknutej osoby, ako napríklad právo na súkromie a nediskrimináciu.

"Je zarážajúce, že orgán DPA musí presviedčať spoločnosť Grindr, že jej používatelia sú LGBT+ a že táto skutočnosť nie je komoditou, ktorá sa dá vymeniť." - Ala Krinickytė, právnička v oblasti ochrany údajov v spoločnosti noyb

Odvolanie na Úrad na ochranu osobných údajov. Proti tomuto prípadu sa teraz možno odvolať na Nórsky odvolací výbor pre ochranu súkromia (Personvernnemda) do troch týždňov. Sťažnosti proti reklamným spoločnostiam, ktoré získali údaje od spoločnosti Grindr, prebiehajú.

Poďakovanie

  • Projekt viedla organizácia Nórska rada pre spotrebiteľov.

  • Technické testy vykonala bezpečnostná spoločnosť mnemonic.

  • Výskum reklamného priemyslu a konkrétnych sprostredkovateľov údajov sa uskutočnil s pomocou výskumníka Wolfieho Christla zo spoločnosti Cracked Labs.

  • Dodatočný audit aplikácie Grindr vykonal výskumník Zach Edwards zo spoločnosti MetaX.

  • Právna analýza a formálne sťažnosti boli napísané s pomocou noyb.

Share