Vill du ha dina Grindr-data? Visa ditt ID och ta en selfie!
Idag lämnade noyb in ett GDPR-klagomål mot Grindr - en dejtingapp för homo-, bi-, trans- och queerpersoner, där många användare delar med sig av mycket personliga och till och med explicita sexuella detaljer. Istället för att autentisera sig mot de uppgifter som användarna har lämnat, som e-post och lösenord, kräver Grindr att användarna identifierar sig på det kanske mest groteska sätt man kan tänka sig: Användarna måste hålla upp ett papper med sin e-postadress samt sitt pass - samtidigt som de balanserar sin telefon för att ta en selfie. Detta är inte bara absurt, utan också ett brott mot GDPR.
Utövandet av grundläggande rättigheter måste underlättas av företag. I det här fallet är den klagande, som företräds av noyb , en Grindr-användare som försökte förstå mer om hur Grindr använder hans uppgifter. Grindr nekade överraskande nog tillgång till hans personuppgifter eftersom användaren inte hade skickat en selfie med sitt pass och ett papper med sin e-postadress på.
När "Hunk_69" måste bli Richard Smith för att hävda sina rättigheter: Företag som Grindr gör registreringsprocessen enkel och snabb - inte bara för att uppfylla kraven på dataminimering, utan också för att det är en del av löftet till användarna att använda Grindr på ett förment anonymt sätt. Särskilt när tjänsten ofta används med anonymiserade bilder och pseudonymer är det en del av tjänsten att inte behöva visa ID för att öppna ett konto - till och med Grindrs logotyp är ju en mask.
Men när en användare försöker utöva sina rättigheter att ta reda på vilka personuppgifter företaget har om dem, kräver Grindr att de plötsligt tar av sig masken och till och med visar ett statligt utfärdat ID, vilket inte bara är oförenligt med principen om dataminimering, utan med hela produkten.
"Du kan se och dela även de mest intima bilderna på Grindr med bara din e-post och ditt lösenord - först när du vill utöva dina GDPR-rättigheter måste du klä av dig och visa ett statligt ID." - Max Schrems, ordförande för noyb
Företagen brukar argumentera med "säkerhetsskäl". Enligt lag är företag skyldiga att göra en bedömning från fall till fall om det finns rimliga tvivel på användarens identitet. Att ha en generell policy att be om ytterligare information bryter mot GDPR, särskilt när Grindr faktiskt inte kan matcha ID:t med en användare, eftersom de inte har användarnas riktiga namn.
"Det är löjligt att autentisera 'Hunk 69' med ett statligt ID, när Grindr är utformat för att inte känna till användarnas riktiga namn. I själva verket kräver de en "coming out" av användarna för att de ska kunna utöva sina rättigheter." - Max Schrems, ordförande för noyb
Bredare fråga med GDPR-rättigheter. Grindr är långt ifrån det enda företag som inför komplicerade eller till och med förbjudande regler när användare vill utöva sina GDPR-rättigheter. Dessa onödiga "rutinmässiga identitetskontroller" av personuppgiftsansvariga bör stoppas, särskilt när andra mindre påträngande åtgärder som att skicka ett verifieringsmeddelande eller en kod i appen finns tillgängliga, som i detta fall.
Om du vill utöva dina rättigheter: Ta bort kontot. Som ett alternativ föreslog Grindr för Klaganden att han kunde välja att radera sitt konto om han "inte vill dela några uppgifter med Grindr". Klaganden valde ett tredje alternativ - att lämna in ett GDPR-klagomål till den österrikiska dataskyddsmyndigheten, DSB, som nu kommer att behöva besluta i ärendet.
