"Grindr" får böta nästan 10 miljoner euro på grund av GDPR-klagomål. Datingappen för homosexuella delade olagligt känsliga uppgifter om miljontals användare.
I januari 2020 lämnade norska konsumentrådet och den europeiska integritetsorganisationen noyb.eu in tre strategiska klagomål mot Grindr och flera adtech-företag för olaglig delning av användarnas data. Liksom många andra appar delade Grindr personuppgifter (som platsdata eller det faktum att någon använder Grindr) till potentiellt hundratals tredje parter för annonsering.
Idag bekräftade den norska dataskyddsmyndigheten klagomålen och bekräftade att Grindr inte hade fått giltigt samtycke från användarna i ett förhandsmeddelande. Myndigheten utdömer ett bötesbelopp på 100 miljoner NOK (9,63 Mio € eller 11,69 Mio $) till Grindr. Ett enormt bötesbelopp, eftersom Grindr endast rapporterade en vinst på 31 miljoner dollar 2019 - varav en tredjedel nu är borta.
Bakgrund till ärendet. Den 14 januari 2020 anmälde Norska konsumentrådet (Forbrukerrådet; NCC) in tre strategiska GDPR-klagomål i samarbete med noyb. Klagomålen lämnades in till den norska dataskyddsmyndigheten (DPA) mot gaydejtingappen Grindr och fem adtech-företag som tog emot personuppgifter via appen: Twitters MoPub, AT&T:s AppNexus (nu Xandr), OpenX, AdColony och Smaato.
Grindr skickade direkt och indirekt mycket personliga uppgifter till potentiellt hundratals reklampartners. Rapporten rapporten "Utan kontroll av NCC beskrev i detalj hur ett stort antal tredje parter ständigt får personuppgifter om Grindrs användare användare. Varje gång en användare öppnar Grindr sänds information som den aktuella platsen eller det faktum att en person använder Grindr till annonsörer. Denna information används också för att skapa omfattande profiler om användarna, som kan användas för riktad reklam och andra ändamål.
Samtycket måste vara otvetydigt, informerat, specifikt och fritt givet. Den norska datainspektionen ansåg att det påstådda "samtycke" som Grindr försökte åberopa var ogiltigt. Användarna hade inte informerats på rätt sätt och samtycket var inte heller tillräckligt specifikt, eftersom användarna var tvungna att godkänna hela integritetspolicyn och inte en specifik behandling, t.ex. att dela uppgifter med andra företag.
Samtycket måste också ges fritt. Datainspektionen betonade att användarna bör ha ett verkligt val att inte samtycka utan några negativa konsekvenser. Grindr villkorade användningen av appen med att man måste samtycka till datadelning eller betala en prenumerationsavgift.
"Budskapet är enkelt: 'ta det eller lämna det' är inte samtycke. Om du förlitar dig på olagligt 'samtycke' kan du få dryga böter. Detta gäller inte bara Grindr, utan många andra webbplatser och appar." - Ala Krinickytė, dataskyddsjurist på noyb
"Detta sätter inte bara gränser för Grindr, utan innebär strikta rättsliga krav på en hel industri som tjänar på att samla in och dela information om våra preferenser, plats, inköp, fysiska och psykiska hälsa, sexuell läggning och politiska åsikter"- Finn Myrstad, direktör för digital policy i norska konsumentrådet (NCC).
Grindr måste övervaka externa "partners". Dessutom drog den norska datainspektionen slutsatsen att "Grindr misslyckades med att kontrollera och ta ansvar" för sin datadelning med tredje part. Grindr delade data med potentiellt hundratals tredje parter genom att inkludera spårningskoder i sin app. Därefter litade man blint på att dessa adtech-företag skulle följa en "opt-out"-signal som skickades till mottagarna av uppgifterna. Datainspektionen konstaterade att företagen lätt kunde ignorera signalen och fortsätta att behandla användarnas personuppgifter. Avsaknaden av faktisk kontroll och ansvar över Grindrs delning av användarnas uppgifter är inte förenlig med ansvarsprincipen i artikel 5.2 i GDPR. Många företag i branschen använder sig av sådana signaler, främst TCF-ramverket från Interactive Advertising Bureau (IAB).
"Företag kan inte bara inkludera extern programvara i sina produkter och sedan hoppas att de följer lagen. Grindr inkluderade spårningskoder från externa partners och vidarebefordrade användardata till potentiellt hundratals tredje parter - nu måste företaget också se till att dessa "partners" följer lagen." - Ala Krinickytė, dataskyddsjurist på noyb
Grindr: Användare kan vara "bi-nyfikna", men inte gay? GDPR skyddar särskilt information om sexuell läggning. Grindr anser dock att detta skydd inte gäller för dess användare, eftersom användningen av Grindr inte avslöjar kundernas sexuella läggning. Företaget hävdade att användare kan vara heterosexuella eller "bi-nyfikna" och ändå använda appen. Den norska datainspektionen köpte inte detta argument från en app som identifierar sig som "exklusivt för gay/bi" . Grindrs ytterligare tvivelaktiga argument att användarna "uppenbart offentliggjort" sin sexuella läggning och att den därför inte är skyddad avvisades också av Datainspektionen.
"En app för homosexuella som hävdar att det särskilda skyddet för just den gruppen faktiskt inte gäller för dem är ganska anmärkningsvärt. Jag är inte säker på om Grindrs advokater verkligen har tänkt igenom detta." - Max Schrems, hedersordförande på noyb
Framgångsrik invändning osannolik. Den norska datainspektionen utfärdade ett "förhandsbesked" efter att ha hört Grindr i ett förfarande. Grindr kan fortfarande invända mot beslutet inom 21 dagar, vilket kommer att granskas av DPA. Det är dock osannolikt att resultatet kan ändras på något väsentligt sätt. Ytterligare böter kan dock komma att utdömas eftersom Grindr nu förlitar sig på ett nytt samtyckessystem och ett påstått "legitimt intresse" för att använda data utan användarens samtycke. Detta står i strid med den norska datainspektionens beslut, eftersom den uttryckligen ansåg att "varje omfattande utlämnande ... för marknadsföringsändamål bör baseras på den registrerades samtycke".
"Fallet är tydligt både faktamässigt och juridiskt. Vi förväntar oss inte någon framgångsrik invändning från Grindr. Fler böter kan dock vara att vänta för Grindr, som nyligen hävdade ett olagligt "berättigat intresse" att dela användardata med tredje part - även utan samtycke. Grindr kan vara tvunget att gå en andra runda." - Ala Krinickytė, dataskyddsjurist på noyb
Erkännande
- Projektet leddes av det norska konsumentrådet
- De tekniska testerna utfördes av säkerhetsföretaget mnemonic.
- Forskningen om adtech-industrin och specifika dataförmedlare utfördes med hjälp av forskaren Wolfie Christl från Cracked Labs.
- Ytterligare granskning av Grindr-appen utfördes av forskaren Zach Edwards från MetaX.
- Den juridiska analysen och de formella klagomålen skrevs med hjälp av noyb.
