NCC & noyb GDPR klagomål: "Grindr" bötfälls med 6,3 miljoner euro för olaglig datadelning

This page has been translated automatically. Read the original or leave us a message if something is not right.
Identification & Authentication
 /  Wed, 12/15/2021 - 04:59
Three GDPR Complaints filed against Grindr, Twitter and the AdTech companies Smaato, OpenX, AdColony and AT&T’s AppNexus

NCC OCH noyb GDPR klagomål: "Grindr" bötfälls med 6,3 miljoner euro för olaglig datadelning

Den norska dataskyddsmyndigheten har idag utdömt böter på 65 miljoner norska kronor (6,34 miljoner euro eller 7,17 miljoner dollar) till Grindr. HBTQI-dejtingappen hade inte fått giltigt samtycke från användarna, men hade ändå delat känsliga personuppgifter.

Bakgrund till ärendet. Den 14 januari 2020 meddelade det norska konsumentrådet (ForbrukerrådetnCC) in tre strategiska GDPR-klagomål i samarbete med noyb. Klagomålen lämnades in till den norska dataskyddsmyndigheten (DPA) mot den queera dejtingappen Grindr och fem adtech-företag som tog emot personuppgifter via appen: Twitters MoPub, AT&T:s AppNexus (nu Xandr)openX, AdColony och Smaato.

Grindr hade skickat känsliga personuppgifter till hundratals potentiella reklampartners. Rapporten rapporten "Utan kontroll från NCC beskrev i detalj hur ett stort antal tredje parter ständigt tog emot personuppgifter om Grindrs användare, till exempel det faktum att de använder Grindr och deras platsdata.

Den 26 januari 2021 meddelade den norska myndigheten i ett "utkast till beslut" sin avsikt att ålägga Grindr böter om 100 miljoner norska kronor (cirka 10 miljoner euro) för överträdelse av artiklarna 4.11, 6, 7 och 9.2 a i GDPR. Dagens böter på 65 miljoner NOK i det slutliga beslutet justerades slutligenslutligen justerat baserat på Grindrs faktiska intäkter och det faktum att företaget vidtagit åtgärder för att revidera sin tidigare Consent Management Platform.

"Detta sänder en stark signal till alla företag som är involverade i kommersiell övervakning. Det får allvarliga konsekvenser att dela med sig av personuppgifter utan rättslig grund. Vi uppmanar den digitala reklamindustrin att göra grundläggande förändringar för att respektera konsumenternas rättigheter." - Finn Myrstad, direktör för digital policy på norska konsumentrådet (NCC).

Samtycke måste vara otvetydigt, informerat, specifikt och fritt. Den norska datainspektionen beslutade att det påstådda "samtycke" som Grindr försökte åberopa var ogiltigt. Användarna var varken tillräckligt informerade eller samtycket tillräckligt specifikt: användarna var tvungna att godkänna hela integritetspolicyn och inte en specifik behandlingsåtgärd, såsom delning av uppgifter med andra företag.
Dessutom betonade DPA att användarna måste ha möjlighet att välja att inte att inte samtycka, utan några negativa konsekvenser. Grindr gjorde dock användningen av appen beroende av samtycke; användarna måste antingen samtycka till datadelning eller betala en prenumerationsavgift.

Avslutningsvis konstaterade Datainspektionen att "Grindr misslyckades med att kontrollera och ta ansvar för sin egen datadelning och "opt-out"-mekanismen var inte nödvändigtvis effektiv".

" - och det är kärnan, förutom bristen på samtycke. Du kan inte dela personuppgifter med ett potentiellt obegränsat antal partners utan att kunna kontrollera vad som händer med dessa uppgifter." - Ala Krinickytė, dataskyddsjurist på noyb

Personuppgifter är inte en valuta. Den norska dataskyddsmyndigheten intog en tydlig hållning och sa att personuppgifter inte får användas för att betala för digitala tjänster, trots att Grindr använde sig av "beteendebaserad annonsering" som en "kärnverksamhet" för att finansiera sig. Detta beslut spelar en viktig roll på den europeiska europeiska marknaden, eftersom många onlinetjänster försöker göra vinster genom att presentera användardata som betalningsmedel.

I slutändan ansåg den norska datainspektionen att de ekonomiska fördelar som Grindr åtnjöt till följd av sin olagliga delning var en försvårande omständighet vid bedömningen av böterna, liksom det faktum att Grindr delade uppgifter av särskild kategori, som skyddas enligt artikel 9, med sina partnerss partners. Datainspektionen uttryckte sin uppfattning att spridningen av uppgifterna i fråga skulle kunna äventyra den registrerades grundläggande rättigheter och friheter, såsom rätten till privatliv och icke-diskriminering.

"Det är häpnadsväckande att Datainspektionen måste övertyga Grindr om att dess användare är hbtq-personer och att detta faktum inte är en handelsvara som kan bytas ut." - Ala Krinickytė, dataskyddsjurist på noyb

Överklagande till Privacy Board. Fallet kan nu överklagas till den norska Personvernnemnda (Personvernnemda) inom tre veckor. Klagomålen mot de adtech-företag som tog emot uppgifterna från Grindr pågår.

Erkännande

  • Projektet leddes av Norska konsumentrådet.

  • De tekniska testerna utfördes av säkerhetsföretaget mnemonic.

  • Forskningen om adtech-industrin och specifika dataförmedlare utfördes med hjälp av forskaren Wolfie Christl från Cracked Labs.

  • Ytterligare granskning av Grindr-appen utfördes av forskaren Zach Edwards från MetaX.

  • Den juridiska analysen och de formella klagomålen skrevs med hjälp av noyb.

Share