Καταγγελία NCC & noyb GDPR: Ο «Grindr» επιβλήθηκε πρόστιμο 6,3 εκατ. ευρώ για παράνομη κοινή χρήση δεδομένων
Σήμερα, η Νορβηγική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 65 εκατ. NOK (6,34 εκατ. ευρώ ή 7,17 εκατ. $) στην Grindr. Η εφαρμογή γνωριμιών LGBTQI δεν είχε λάβει έγκυρη συγκατάθεση από τους χρήστες, αλλά παρόλα αυτά μοιραζόταν ευαίσθητα προσωπικά δεδομένα.
Το ιστορικό της υπόθεσης. Στις 14 Ιανουαρίου 2020, το Νορβηγικό Συμβούλιο Καταναλωτών ( Forbrukerrådet ; NCC) υπέβαλε τρεις καταγγελίες στρατηγικού GDPR σε συνεργασία με τη noyb . Οι καταγγελίες υποβλήθηκαν στη Νορβηγική Αρχή Προστασίας Δεδομένων (DPA) κατά της queer εφαρμογής γνωριμιών Grindr και πέντε εταιρειών adtech που λάμβαναν προσωπικά δεδομένα μέσω της εφαρμογής: Twitter`s MoPub, AT&T's AppNexus (τώρα Xandr ) , OpenX, AdColony και Smaato .
Ο Grindr έστελνε ευαίσθητα προσωπικά δεδομένα σε εκατοντάδες πιθανούς διαφημιστικούς συνεργάτες. Η έκθεση «Εκτός ελέγχου» του NCC περιέγραφε λεπτομερώς πώς ένας μεγάλος αριθμός τρίτων λάμβαναν συνεχώς προσωπικά δεδομένα για τους χρήστες του Grindr, όπως το γεγονός ότι χρησιμοποιούν το Grindr και τα δεδομένα τοποθεσίας τους.
Στις 26 Ιανουαρίου 2021, η νορβηγική αρχή ανακοίνωσε την πρόθεσή της να επιβάλει πρόστιμο 100 εκατ. NOK (περίπου 10 εκατ. ευρώ) στην Grindr για παραβίαση των άρθρων 4 παράγραφος 11, 6, 7 και 9 παράγραφος 2 στοιχείο α) του ΓΚΠΔ στο ένα «σχέδιο απόφασης». Το σημερινό πρόστιμο των 65 εκατ. NOK στην τελική απόφαση προσαρμόστηκε τελικά με βάση τα πραγματικά έσοδα της Grindr και το γεγονός ότι ανέλαβε μέτρα για να αναθεωρήσει την προηγούμενη Πλατφόρμα Διαχείρισης Συναίνεσης.
«Αυτό στέλνει ένα ισχυρό μήνυμα σε όλες τις εταιρείες που εμπλέκονται στην εμπορική επιτήρηση. Υπάρχουν σοβαρές επιπτώσεις στην κοινή χρήση προσωπικών δεδομένων χωρίς νομική βάση. Καλούμε τον κλάδο της ψηφιακής διαφήμισης να κάνει θεμελιώδεις αλλαγές για να σεβαστεί τα δικαιώματα των καταναλωτών.» – Finn Myrstad, Διευθυντής Ψηφιακής Πολιτικής στο Νορβηγικό Συμβούλιο Καταναλωτών (NCC).
Η συγκατάθεση πρέπει να είναι ξεκάθαρη, ενημερωμένη, συγκεκριμένη και ελεύθερα. Η νορβηγική DPA αποφάσισε ότι η υποτιθέμενη «συγκατάθεση» στην οποία προσπάθησε να βασιστεί ο Grindr ήταν άκυρη. Οι χρήστες ούτε ενημερώθηκαν σωστά, ούτε η συναίνεση ήταν αρκετά συγκεκριμένη: οι χρήστες έπρεπε να συμφωνήσουν με ολόκληρη την πολιτική απορρήτου και όχι σε μια συγκεκριμένη λειτουργία επεξεργασίας, όπως η κοινή χρήση δεδομένων με άλλες εταιρείες.
Επιπλέον, η DPA τόνισε ότι οι χρήστες πρέπει να έχουν την επιλογή να μην συναινέσουν, χωρίς αρνητικές συνέπειες. Ωστόσο, ο Grindr έκανε τη χρήση της εφαρμογής να εξαρτάται από τη συγκατάθεση. Οι χρήστες πρέπει είτε να συναινέσουν στην κοινή χρήση δεδομένων είτε να πληρώσουν ένα τέλος συνδρομής.
Εν κατακλείδι, η DPA δήλωσε ότι «ο Grindr απέτυχε να ελέγξει και να αναλάβει την ευθύνη για τη δική του κοινή χρήση δεδομένων και ο μηχανισμός «opt-out» δεν ήταν απαραίτητα αποτελεσματικός».
" - και αυτό είναι το βασικό στοιχείο, εκτός από την έλλειψη συναίνεσης. Δεν μπορείτε να μοιραστείτε προσωπικά δεδομένα με έναν δυνητικά απεριόριστο αριθμό συνεργατών χωρίς να μπορείτε να ελέγξετε τι συμβαίνει με αυτά τα δεδομένα.» – Ala Krinickytė, δικηγόρος προστασίας δεδομένων στο noyb
Τα προσωπικά δεδομένα δεν είναι νόμισμα. Η νορβηγική DPA έλαβε σαφή θέση, λέγοντας ότι τα προσωπικά δεδομένα ενδέχεται να μην χρησιμοποιούνται για την πληρωμή ψηφιακών υπηρεσιών, παρόλο που ο Grindr βασίστηκε στη «διαφήμιση συμπεριφοράς» ως «βασική δραστηριότητα» για τη χρηματοδότηση του εαυτού του. Αυτή η απόφαση διαδραματίζει ζωτικό ρόλο στην ευρωπαϊκή αγορά, καθώς πολλές διαδικτυακές υπηρεσίες προσπαθούν να αποκομίσουν κέρδη παρουσιάζοντας δεδομένα χρήστη ως μέσο πληρωμής.
Τελικά, η νορβηγική DPA διαπίστωσε ότι τα οικονομικά οφέλη που απολάμβανε η Grindr ως αποτέλεσμα της παράνομης κοινής χρήσης της ήταν επιβαρυντικός παράγοντας για την εκτίμηση του προστίμου, καθώς και το γεγονός ότι η Grindr κοινοποίησε δεδομένα ειδικής κατηγορίας, που προστατεύονται βάσει του άρθρου 9, με τους εταίρους της. Η DPA εξέφρασε την άποψή της ότι η διάδοση των εν λόγω δεδομένων θα μπορούσε να θέσει σε κίνδυνο τα θεμελιώδη δικαιώματα και ελευθερίες του υποκειμένου των δεδομένων, όπως το δικαίωμα στην ιδιωτική ζωή και τη μη διάκριση.
«Είναι εκπληκτικό το γεγονός ότι το DPA πρέπει να πείσει τον Grindr ότι οι χρήστες του είναι LGBT+ και ότι αυτό το γεγονός δεν είναι ένα εμπόρευμα προς ανταλλαγή». – Ala Krinickytė, δικηγόρος προστασίας δεδομένων στο noyb
Έκκληση στο Συμβούλιο Προστασίας Προσωπικών Δεδομένων. Η υπόθεση μπορεί τώρα να προσβληθεί στο Νορβηγικό Συμβούλιο Προσφυγών για Προστασία Προσωπικών Δεδομένων ( Personvernnemda ) εντός τριών εβδομάδων. Οι καταγγελίες κατά των εταιρειών adtech που έλαβαν τα δεδομένα από την Grindr συνεχίζονται.
Ευχαριστίες
Το έργο διευθύνεται από το Νορβηγικό Συμβούλιο Καταναλωτών .
Οι τεχνικές δοκιμές έγιναν από την εταιρεία ασφαλείας mnemonic.
Η έρευνα για τη βιομηχανία adtech και τους συγκεκριμένους μεσίτες δεδομένων πραγματοποιήθηκε με τη βοήθεια του ερευνητή Wolfie Christl των Cracked Labs.
Πρόσθετος έλεγχος της εφαρμογής Grindr πραγματοποιήθηκε από τον ερευνητή Zach Edwards της MetaX.
Η νομική ανάλυση και οι επίσημες καταγγελίες συντάχθηκαν με τη βοήθεια του noyb .