Datatilsynet med varsel om overtredelsesgebyr til Grindr
I dag varslet Datatilsynet et gebyr på 100 millioner kroner til den amerikanske datingappen Grindr, etter å ha kommet til at Grindr i strid med GDPR har utlevert personopplysninger om brukerne til en rekke tredjeparter uten rettslig grunnlag. Datatilsynets reaksjon kommer i kjølvannet av en klage fra Forbrukerrådet.
Grindr utleverer GPS-lokasjon, opplysninger fra brukerprofilene, og det at vedkommende er Grindr-bruker til flere tredjeparter for markedsføringsformål. Disse tredjepartene kan igjen potensielt dele disse dataene videre ytterligere partnere. Ettersom Grindr profilerer seg som en datatjeneste for seksuelle minoriteter, konkluderer Datatilsynet med at det å dele data om brukerne samt at de faktisk er medlem på Grindr gjør at det er tale om behandling av særlige kategorier av personopplysninger etter art. 9.
Datatilsynet konkluderer med at Grindr trenger uttrykkelig samtykke og ikke berettiget interesse som behandlingsgrunnlag etter GDPR for å dele personopplysningene. Datatilsynet konkluderer med at det samtykke som blir innhentet ikke oppfyller kravene til samtykke etter GDPR. For å få bruke Grindr må brukerne godta personvernerklæringen i sin helhet. Datatilsynet mener, ikke overraskende – og i tråd med veiledninger fra det europeiske personvernrådet (EDPB) - at dette ikke er i samsvar med samtykkekravene etter GDPR. Både i forhold til kravet om eksplisitt samtykke (som skal være adskilt fra samtykke til eventuelle brukervilkår) men Datatilsynet viser i sin vurdering til at det ikke ble gitt tilstrekkelig informasjon om delingen – altså mangel på transparens samt at kravet til "frivillig" samtykke ikke var oppfylt som følge av at man gjennom å avslå samtykke/brukervilkårene ikke fikk tilgang til gratisversjonen av Grindr.
Datingapper som Grindr og andre sosiale plattformer som Facebook, Instagram og Snapchat baserer mye av inntektene sine på profilering av brukerne, som igjen kan benyttes til målrettet markedsføring. En forutsetning for at disse tjenestene vil tilby sine tjenester er dermed ofte profileringen. Grindr tilbyr også en betalingsversjon av appen, som ikke har vært gjenstand for vurdering av Datatilsynet. Videre har Grindr i april 2020 implementert en ny samtykkeløsning som heller ikke har blitt vurdert av Datatilsynet.
Gebyret på 100 millioner kroner er det høyeste overtredelsesgebyret varslet av Datatilsynet, og utgjør rundt 10% av omsetningen til selskapet. Datatilsynet begrunner omfanget av gebyret med at bruddene er «veldig grove», samt ønsket om å stoppe praksisen om at forbrukeren stilles overfor valget om å la være å bruke tjenesten eller samtykke til vilkårene i sin helhet.
Varslet viser med tydelighet viktigheten av å ha kontroll på og være transparent med deling av data samt nødvendigheten av gode løsninger for å håndtere samtykker i tråd med kravene i GDPR. Varselet kan leses i sin helhet her.
