Varsel om overtredelsesgebyr til Grindr

Datatilsynet varsler gebyr på 100 millioner kroner til datingappen Grindr for brudd på samtykkekravene i personvernforordningen (GDPR).

- Vår foreløpige konklusjon er at Grindr har utlevert personopplysninger om brukerne til en rekke tredjeparter uten rettslig grunnlag, sier Bjørn Erik Thon, direktør i Datatilsynet.

Grindr er en lokasjonsbasert datingapp for homofile og bifile menn, transpersoner og skeive. I 2020 klagde Forbrukerrådet Grindr inn til Datatilsynet fordi Grindr utleverer GPS-lokasjon, opplysninger fra brukerprofilene og at vedkommende er Grindr-bruker til flere tredjeparter for markedsføringsformål. Tredjepartene kan potensielt dele disse dataene videre.

Ugyldige samtykker

Datatilsynets foreløpige konklusjon er at Grindr trenger samtykke for å dele disse personopplysningene og at Grindrs samtykker ikke var gyldige.

I tillegg mener vi at det å være Grindr-bruker er en særlig kategori sensitive personopplysning som bør beskyttes fordi det sier noe om vedkommendes seksuelle legning.

- Datatilsynet ser svært alvorlig på saken. Brukerne fikk ikke utøve reell kontroll over utlevering av egne personopplysninger. Forretningsmodeller som går ut på å tvinge brukeren til å samtykke til noe, og uten å forklare godt hva de samtykker til, er ikke i tråd med loven, sier Bjørn Erik Thon.

Identifiserbare opplysninger er spredt 

Datatilsynet legger til grunn at sporing over ulike steder, nettsider, tjenester eller enheter for markedsføringsformål som hovedregel krever samtykke. Det samme gjelder hvis kommersielle apper skal dele opplysninger om brukernes seksuell orientering.

Brukerne måtte godta personvernerklæringen i sin helhet for å bruke appen, og de ble ikke spurt særskilt om de ville samtykke til utlevering til tredjeparter. Dessuten var informasjon om utleveringen av personopplysninger ikke tydelig eller tilgjengelig nok for brukerne. Dette mener vi er strid med samtykkekravene i GDPR.

- Mange opplever Grindr som et trygt miljø for dating, og vi vet at brukere velger å ikke skrive inn sitt ordentlige navn eller laste opp bilde slik at de kan være diskrete. Likevel har identifiserbare opplysninger om dem blitt spredt videre til et ukjent antall selskaper, og informasjonen om dette var bortgjemt, sier Thon.

Hittil det høyeste varslede gebyret fra Datatilsynet

Overtredelsesgebyr skal være virkningsfull, stå i et rimelig forhold til overtredelsen og virke avskrekkende.

- I dette tilfellet varsler vi et høyt overtredelsesgebyr fordi vår foreløpige konklusjon er at bruddene er veldig grove. Grindr har 13,7 millioner aktive brukere, hvorav flere tusen i Norge. Disse menneskene har fått sine personopplysninger delt videre med mange tredjeparter uten lov. Noe av hensikten med den nye personvernforordningen var dessuten å forhindre at forbrukerne skulle stilles overfor valget om å gi samtykke til en virksomhets vilkår i sin helhet, eller la være å bruke tjenesten. Det er viktig at en slik praksis opphører, understreker Bjørn Erik Thon

Vi har lagt til grunn at Grindr har en årlig omsetning på minst 100 millioner amerikanske dollar. Det vil si at vi varsler et overtredelsesgebyret på rundt 10 prosent av omsetningen til selskapet.

Vi har konsentrert oss om perioden fra personvernforordningen (GDPR) begynte å gjelde og frem til april 2020, da Grindr endret samtykkeløsningen. Vi har ikke vurdert den nye samtykkeløsningen.

Ikke et endelig vedtak

Grindr har frist til å gi sine merknader til varselet innen 15. februar. Hensikten med varsel er å bidra til a at de skal kunne komme med tilbakemelding om hvordan de vurderer saken. Vi fatter endelig vedtak etter at vi har vurdert eventuelle merknader fra Grindr.

Varselet gjelder gratisversjonen av appen.

Klagen fra Forbrukerrådet rettet seg også mot de fem tilknyttede selskapene MoPub (eid av Twitter Inc.), Xandr Inc. (tidligere AppNexus Inc.), OpenX Software Ltd., AdColony Inc. og Smaato Inc., for brudd på personvernlovgivningen. Sakene mot disse aktørene er fremdeles under behandling.

Last ned