Rekordgebyr til Grindr blir stående

Personvernnemnda har nå fattet vedtak i klagesaken om Grindr. Nemnda opprettholder der Datatilsynets vedtak om et overtredelsesgebyr på 65 millioner kroner, og gebyret blir stående.

– Vi er veldig fornøyde med at Personvernnemnda er enig i våre konklusjoner og har opprettholdt vedtaket vårt. Dette har vært en viktig og prioritert sak hos Datatilsynet og ikke minst for forbrukernes personvern, sier Line Coll, direktør i Datatilsynet.

Bakgrunn

Grindr er en lokasjonsbasert datingapp som retter seg mot homofile og bifile menn, transpersoner og skeive. I 2020 klagde Forbrukerrådet Grindr inn til Datatilsynet. Bakgrunnen var at Grindr utleverte opplysninger om GPS-lokasjon, IP-adresse, mobiltelefonens annonserings-ID, alder og kjønn – i tillegg til at vedkommende var Grindr-bruker – til flere tredjeparter for markedsføringsformål.

Datatilsynets konkluderte med at Grindr utleverte personopplysninger om brukerne til tredjeparter for adferdsbasert markedsføring uten rettslig grunnlag, og vedtok i desember 2021 et overtredelsesgebyr på 65 millioner kroner.

Grindr klagde på vedtaket, og i 2022 ble saken sendt over til Personvernnemnda for endelig avgjørelse.

Saken gjelder Grindr sin praksis i perioden fra personvernforordningen begynte å gjelde i juli 2018, og frem til april 2020, da Grindr endret samtykkeløsningen sin. Datatilsynet har ikke vurdert lovligheten av de nåværende praksisene til Grindr.

Ugyldige samtykker

Datatilsynets konklusjon i vedtaket var at samtykke var påkrevd for å dele personopplysningene, men at de såkalte samtykkene Grindr samlet inn, ikke var gyldige.

Personvernnemnda er enig, og slår fast at samtykke verken var frivillig, spesifikt eller informert. Nemnda trekker blant annet frem at brukeren ikke fikk et fritt valg om å samtykke til utlevering av personopplysninger under registreringen til appen, og at informasjonen om at brukeren samtykket til utlevering av personopplysninger til annonsepartnere, bare var tatt inn i personvernerklæringen.

– Samtykke er et verktøy for å gi brukerne kontroll over sine egne personopplysninger. Dersom brukerne ikke settes i stand til å forstå valget de skal ta, eller gis reell valgfrihet, er samtykkene illusoriske, understreker Coll.

Særlige kategorier av personopplysninger

Opplysninger om seksuell orientering har en særlig beskyttelse i personvernforordningen. Datatilsynet har vurdert det slik at opplysninger om at noen er en Grindr-bruker er en slik særlig kategori av personopplysninger, fordi det sterkt indikerer at de tilhører en av de seksuelle minoritetene Grindr-appen retter seg mot. Siden samtykkene Grindr samlet inn var ugyldige, hadde ikke Grindr lovlig adgang til å dele slike opplysninger.

I avgjørelsen slår Personvernnemnda fast at selv om ikke den konkrete seksuelle orienteringen til brukerne ble utlevert, sier opplysningen om at noen er en bruker på Grindr, at de med stor sannsynlighet har en seksuell orientering som er annerledes enn flertallet. Etter nemndas syn er dette tilstrekkelig til at Grindr har utlevert særlige kategorier av personopplysninger ulovlig, og er enig med Datatilsynet i at denne utleveringen var ulovlig.

– Grindr brukes for å komme i kontakt med andre i LHBTQ+-miljøet, og identifiserbare opplysninger om dem og deres bruk av Grindr, ble delt videre til et ukjent antall selskaper for markedsføringsformål. EU-domstolen har nylige i flere avgjørelser bekreftet at særlige kategorier av personopplysninger må forstås vidt for å sikre høy beskyttelse av personvernet, sier Coll.

Høyt gebyr og viktig sak

Overtredelsesgebyret på 65 millioner kroner er det høyeste som Datatilsynet har ilagt. Begrunnelsen var at bruddene veldig grove. Tusenvis av brukere i Norge fikk personopplysningene ulovlig utlevert til et ukjent antall selskap for Grindr sine kommersielle interesser, inkludert lokasjonsdata og at de er Grindr-brukere. Forretningsmodeller som bygger på atferdsbasert markedsføring er vanlig i den digitale økonomien, og det er viktig at overtredelsesgebyr for lovbrudd virker avskrekkende og bidrar til etterlevelse av personvernregelverket

Personvernnemnda har ikke funnet grunn til å endre på størrelsen på gebyret, og trekker frem overtredelsens alvor, antallet registrerte som er berørt, kategorien av opplysninger som det gjelder og at overtredelsen har pågått over nesten to år. Nemnda viser også til at det dreier seg om en forsettlig handling hvor man bevisst har valgt en teknisk løsning som ikke gjør det mulig å registrere seg uten at man samtidig "godkjenner" utlevering av opplysninger for bruk i atferdsbasert markedsføring.

– Forbrukerne våre har krav på personvern i applikasjoner som leveres fra internasjonale aktører. Vedtaket skaper en forventning og viser at internasjonale aktører på det norske markedet må levere tjenester som ivaretar norske brukere og deres personvern, sier Coll

Vedtak fra Personvernmenda kan ikke påklages videre, men Grindr kan rette søksmål for domtolene om gyldigheten av Personvernnemndas vedtak.

Last ned