Gebyr til Grindr
Datatilsynet har vedtatt et overtredelsesgebyr på 65 millioner kroner til datingappen Grindr for brudd på samtykkekravene i personvernforordningen (GDPR).
Datatilsynet har vedtatt et overtredelsesgebyr på 65 millioner kroner til datingappen Grindr for brudd på samtykkekravene i personvernforordningen (GDPR).
- Vår konklusjon er at Grindr har utlevert personopplysninger om brukerne til tredjeparter for adferdsbasert markedsføring uten rettslig grunnlag, sier Bjørn Erik Thon, direktør i Datatilsynet.
Grindr er en lokasjonsbasert datingapp som retter seg mot homofile og bifile menn, transpersoner og skeive. I 2020 klagde Forbrukerrådet Grindr inn til Datatilsynet. Bakgrunnen var at Grindr utleverte opplysninger om GPS-lokasjon, IP-adresse, mobiltelefonens annonserings-ID, alder og kjønn, i tillegg til at vedkommende er Grindr-bruker, til flere tredjeparter for markedsføringsformål. Med disse opplysningene kunne brukerne identifiseres, og tredjepartene kunne potensielt dele disse dataene videre. Forbrukerrådet mente utleveringen av personopplysningene var i strid med personvernforordningen.
- Datatilsynets konklusjon er at samtykke var påkrevd for å dele disse personopplysningene, men at de såkalte samtykkene Grindr samlet inn, ikke var gyldige, sier Thon.
Brukerne måtte godta personvernerklæringen i sin helhet for å bruke appen, og de ble ikke spurt særskilt om de ville samtykke til utlevering til tredjeparter for markedsføringsformål. Dessuten var informasjon om utleveringen av personopplysninger ikke tydelig eller tilgjengelig nok for brukerne. Dette vurderer vi er strid med samtykkekravene i GDPR.
Vi har konsentrert oss om perioden fra personvernforordningen begynte å gjelde i juli 2018, og frem til april 2020, da Grindr endret samtykkeløsningen. Vi har ikke vurdert lovligheten av den nåværende samtykkeløsningen til Grindr.
Vi vurderer at opplysninger om at noen er en Grindr-bruker er en særlig kategori av personopplysninger, fordi det sterkt indikerer at de tilhører en seksuell minoritet. Opplysninger om noens seksuelle legning har en særlig beskyttelse i personvernforordningen. Siden samtykkene Grindr samlet inn var ugyldige, hadde ikke Grindr lovlig adgang til å dele slike opplysninger.
- Grindr brukes for å komme i kontakt med andre i LHBTQ+-miljøet, og vi vet at mange brukere velger å ikke skrive inn sitt fulle navn eller laste opp bilder av ansiktet slik at de kan være diskrete. Likevel ble identifiserbare opplysninger om dem og deres bruk av Grindr delt videre til et ukjent antall selskaper for markedsføringsformål, uten at brukerne fikk tilgengelig informasjon eller et reelt valg, sier Thon.
Lokasjonsdata er også sensitive og personlige, selv om de ikke er definert som særlige kategorier personopplysninger. Det er alvorlig at Grindr også har delt disse dataene ulovlig.
Overtredelsesgebyr skal være virkningsfull, stå i et rimelig forhold til overtredelsen og virke avskrekkende.
- I denne saken ilegger vi et høyt overtredelsesgebyr, fordi vi mener bruddene er veldig grove. Tusenvis av brukere i Norge har fått sine personopplysninger ulovlig utlevert for Grindr sine kommersielle interesser, inkludert lokasjonsdata og at de er Grindr-brukere. Forretningsmodeller som bygger på atferdsbasert markedsføring er vanlig i den digitale økonomien, og det er viktig at overtredelsesgebyr for lovbrudd virker avskrekkende og bidrar til etterlevelse av personvernregelverket, understreker Bjørn Erik Thon.
Datatilsynet har likevel funnet det riktig å redusere det opprinnelige varslede gebyret på 100 millioner kroner. Vi har siden den gang mottatt merknader fra Grindr med informasjon om selskapets størrelse og økonomi, og vi har også vurdert endringene Grindr har gjort siden overtredelsen som en formildende omstendighet.
Etter varselet vårt har Forbrukerrådet anført at Grindr har brutt ytterligere bestemmelser i personvernforordningen. De har også bedt Datatilsynet pålegge Grindr å slette de ulovlig behandlede personopplysningene i den utstrekning Grindr fortsatt behandler dem. Vi utelukker derfor ikke at det senere kan komme pålegg fra Datatilsynet i denne saken.
Grindr kan klage på vedtaket innen tre uker fra det ble mottatt 13. desember 2021. Grindr har, etter at vi publiserte denne nettsaken, fått utsatt klagefrist til 14. februar 2022.