IT-Gruk 21/2023

Personvernnemndas vedtak PVN-2022-22 fra 27. september bekreftet Datatilsynets vedtak om å ilegge Grindr et overtredelsesgebyr på 65 millioner kroner for brudd på GDPR. Bruddet gjaldt mangel på rettslig grunnlag ved utlevering av personopplysninger av særlig kategori i perioden 20. juli 2018 til 7. april 2020 (GDPR art. 6 nr. 1 og art. 9 nr. 1). Dette er til nå det høyeste overtredelsesgebyret for brudd på GDPR som Datatilsynet har ilagt. Til sammenligning, og uten å ta hensyn til den midlertidige Meta-forføyningen, så er det nest største overtredelsesgebyret ilagt SATS på 10 millioner kroner og deretter følger både NAV, bomselskapet Ferde AS og Trumf AS, hver med bøter på 5 millioner kroner.

Saken har sin bakgrunn fra januar 2020 hvor Datatilsynet mottok klage på brudd på GDPR mot Grindr. Grindr er en lokasjonsbasert datingapp som retter seg mot homofile, bifile og transpersoner. Det var Forbrukerrådet, i samarbeid med European Center for Digital Rights (noyb), som sendte inn klage på vegne av en norsk registrert bruker av Grindr. Den registrerte ønsket selv å være anonym. Bakgrunnen for klagen var at Grindr utleverte opplysninger om GPS-lokasjon, IP-adresse, mobiltelefonens annonserings-ID, alder og kjønn – i tillegg til at vedkommende var Grindr-bruker – til flere tredjeparter for markedsføringsformål.

Datatilsynet ba deretter Grindr om en redegjørelse om saken i februar 2020, som Grindr besvarte i mai 2020. Konsekvensen var at Datatilsynet den 24. januar 2021 sendte varsel om at tilsynet vurderte å ilegge Grindr et overtredelsesgebyr på 100 millioner kroner for å ha delt personopplysninger om sine norske brukere med sine annonsepartnere uten rettslig grunnlag. GDPR kom altså til anvendelse i Norge fordi løsningen, som er amerikansk og i dag har ca. 12 millioner månedlige brukere, i alle fall i 2021 hadde rundt 10.000 norske brukere.

Etter at Grindr hadde kommet med sin forklaring, fattet Datatilsynet et endelig vedtak i desember 2021 hvor de kom til at Grindr ikke hadde gyldig behandlingsgrunnlag for sin utlevering av personopplysninger til tredjeparter for markedsføringsformål i personvernforordningen artikkel 6 nr. 1 bokstav f (samtykke). Dette fordi Grindr ikke oppfylte vilkårene om at samtykket må være en (i) frivillig, (ii) spesifikk, (iii) informert, (iv) utvetydig viljesytring, og at det må være «like enkelt å trekke tilbake som å gi», jf. artikkel 4 nr. 11 og artikkel 7. For det andre kom Datatilsynet til at Grindr, ved å dele opplysninger om sine brukere, hadde utlevert opplysninger av særlig kategori, jf. personvernforordningen artikkel 9 nr. 1: «opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering». Gebyret ble satt ned til 65 millioner kroner grunnet selskapets omsetning og fordi Grindr hadde iverksatt endringer for å utbedre de påpekte manglene i appen. Dette ble vektlagt i formildende retning.

Grindr valgte deretter å klage på vedtaket i februar 2022. Datatilsynet fant ikke grunn til å endre vedtaket og sendte det derfor over til Personvernnemda som behandlet saken i hele seks møter i perioden april til september 2023. Datatilsynet fikk fullt medhold, herunder understreket Personvernnemnda betydningen av både samtykke og kategorien av personopplysninger når appen er rettet mot et miljø som LBHTQ+. Nemnda trakk spesielt frem at brukeren ikke hadde fått et fritt valg om å samtykke til utlevering av personopplysninger under registreringen til appen, og at informasjonen om at brukeren samtykket til utlevering av personopplysninger til annonsepartnere, bare var tatt inn i personvernerklæringen.

Vedtak fra Personvernnemnda kan ikke påklages videre, men Grindr kan rette søksmål for domstolene om gyldigheten av Personvernnemndas vedtak. Det blir spennende å se om Grindr aksepterer gebyret eller vil utfordre vedtakets gyldighet.

Take-aways:

Samtykke og behandlingsgrunnlag:
Skal du behandle personopplysninger så må du ha behandlingsgrunnlag. Og skal du basere deg på samtykke, kan det ikke være gjemt i en personvernerklæring eller tilsvarende dokument på nett, men være en

• (i) frivillig
• (ii) spesifikk
• (iii) informert, og
• (iv) utvetydig viljesytring – og deretter kunne trekkes tilbake.

Har du ikke det, så risikerer du å bryte GDPR.

Har du brukere i EU/EØS? Følg GDPR!
Selv om du ikke er etablert i Europa eller Norge så kommer GDPR i spill nå du har registrerte brukere her. Grindr hadde et lite mindretall av norske brukere, men når det først kom en klage, så hadde Datatilsynet en oppgave som resulterte i Norges største overtredelsesgebyr til dags dato.

Betyr det noe å rette seg etter et vedtak og rette feilene?
Når Grindr først fikk klage mot seg så gjorde de endringer på løsningen sin. Selv om overtredelsesgebyret skal virke avskrekkende, så tar også myndighetene hensyn for handlingene til virksomheten som tar inn over seg sine brudd. Grindr sin utbedring av mangler ved deres tidligere samtykkemekanisme ble vektlagt i formildende retning – i praksis 1/3 av gebyret ble frafalt.

Tillit:
Grindr-saken kaster lys over en viktig problemstilling i den digitale tidsalderen. I søken etter innovasjon og bedre tjenester så er det viktig med tillitt og etterrettelighet. Mens teknologiske fremskritt gir forbrukere større tilgang til tjenester og produkter, er det også et økende behov for å sikre at disse tjenestene ikke misbruker den tilliten de blir gitt. Noe av det tilsvarende finner vi også nå det gjelder AI-baserte løsninger.

GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Ønsker du å få tilsendt våre korte nyhetsbrev innen IT og personvern, så kan du sende en e-post til pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grette nyhetssider.