Grindr este o aplicaţie de reţea socială bazată pe locaţie, destinată persoanelor gay, bi, trans şi queer. În 2020,  Consiliul Norvegian al Consumatorilor a depus o plângere împotriva Grindr, susţinând partajarea ilegală a datelor cu caracter personal cu terţi în scopuri de marketing. Datele partajate erau locaţia GPS, adresa IP, ID-ul de publicitate, vârsta, sexul şi faptul că utilizatorul în cauză se afla pe Grindr. Utilizatorii ar putea fi identificaţi prin datele partajate, iar destinatarii ar putea partaja în continuare datele. Grindr a dezvăluit date cu caracter personal fără un temei legal valabil, care constituie o încălcare a articolului 6 alineatul (1) GDPR şi - a dezvăluit date cu caracter personal sensibile partenerilor avand in vedere interdicţia prevăzută la articolul 9 alineatul (1) GDPR.

Consimţământ invalid

Autoritatea Norvegiană pentru Protecţia Datelor a concluzionat că consimţământul a fost temeiul legal aplicabil în acest caz, dar că pretinsele consimţăminte colectate de Grindr pentru partajarea datelor personale cu partenerii sai în scopuri de marketing, nu erau valabile.

Utilizatorii au fost forţaţi să accepte politica de confidenţialitate în întregime pentru a utiliza aplicaţia şi nu au fost întrebaţi în mod specific dacă doreau să-şi dea consimţământul pentru partajarea datelor lor cu terţe părţi pentru publicitate comportamentală. Mai mult, informaţiile despre partajarea datelor cu caracter personal nu au fost comunicate în mod corespunzător utilizatorilor.

"Considerăm că acest lucru a fost contrar cerinţelor GDPR pentru consimţământ valid. Investigaţia noastră s-a concentrat pe mecanismul de consimţământ în vigoare din GDPR, devenit aplicabil în Norvegia în 2018 şi până în aprilie 2020, când Grindr a schimbat modul în care aplicaţia solicită consimţământul. Nu am evaluat dacă mecanismul actual de consimţământ al Grindr respectă GDPR." au declarat reprezentanţii Autoritatii Norvegiene pentru Protecţia Datelor

Categorii speciale de date dezvăluite

"Considerăm că datele care dezvăluie faptul că cineva este utilizator Grindr indică puternic că aparţine unei minorităţi sexuale. Datele referitoare la orientarea sexuală a unei persoane constituie date de categorie specială care necesita o protecţie specială în temeiul GDPR. Întrucât consimţământurile colectate de Grindr nu erau valabile, Grindr nu putea partaja în mod legal astfel de date.

Aplicaţia Grind este folosită pentru a intra în legătură cu alţi utilizatori din comunitatea LGBTQ+ şi suntem conştienţi de faptul că mulţi utilizatori aleg să nu-şi folosească numele complet sau să încarce o fotografie a feţei lor pentru a fi discreti. Cu toate acestea, datele lor personale şi faptul că se aflau pe Grindr au fost dezvăluite unui număr necunoscut de terţi în scopuri de marketing, fără a oferi utilizatorilor informaţii accesibile sau o alegere reală.

Deşi nu sunt definite ca categorii speciale de date cu caracter personal în sine, datele de locaţie sunt sensibile şi personale. Faptul că Grindr a împărtăşit şi aceste date în mod ilegal creşte gravitatea cazului.

Cea mai mare amendă DPA norvegiană de până acum

O amendă administrativă ar trebui să fie eficientă, proporţională şi disuasivă.

"Am aplicat o amendă de o sumă mare împotriva lui Grindr, deoarece considerăm că încălcările GDPR în acest caz sunt grave. Mii de utilizatori din Norvegia şi-au partajat datele personale în mod ilegal pentru interesele comerciale ale Grindr, inclusiv locaţia GPS şi faptul că utilizatorii în cauză se aflau pe Grindr. Modelele de afaceri bazate pe publicitate comportamentală sunt comune în economia digitală şi este imperativ ca amenzile administrative pentru încălcările GDPR să fie disuasive pentru a favoriza respectarea legii" au subliniat reprezentanţii Autoritatii Norvegiene pentru Protecţia Datelor.

Cu toate acestea, am constatat că o reducere a amenzii de 100.000.000 NOK notificată anterior este justificată. De la notificarea noastră prealabilă, am primit informaţii suplimentare de la Grindr despre dimensiunea şi situaţia financiară a companiei şi am considerat, de asemenea, modificările pe care le-a făcut Grindr cu scopul de a remedia deficienţele din platforma anterioară de gestionare a consimţământului ca fiind un factor atenuant. .

"De la notificarea prealabilă, Consiliul Norvegian pentru Consumatori a susţinut că Grindr a încălcat prevederile suplimentare ale GDPR. Consiliul Consumatorilor a cerut, de asemenea, Autorităţii Norvegiene pentru Protecţia Datelor să ordone lui Grindr să şteargă datele personale procesate ilegal, în măsura în care Grindr încă prelucrează datele respective. Prin urmare, nu excludem ca alte masuri să fie emise de Autoritatea Norvegiană pentru Protecţia Datelorîntr-o etapă ulterioară" au completat reprezentanţii Autoritatii Norvegiene pentru Protecţia Datelor.

Grindr poate depune recurs împotriva acestei decizii în termen de trei săptămâni de la primirea acesteia. În funcţie de circumstanţe, acest termen poate fi prelungit.

Citiţi documentul detaliat publicat de Autoritatea Norvegiană pentru Protecţia Datelor - Amendă administrativă - Grindr LLC (pdf)