Den norska dataskyddsmyndigheten, Datatilsynet, har utfärdat sin högsta sanktionsavgift hittills
En sanktionsavgift på 65 miljoner norska kronor har utfärdats till Grindr, en dejtingplattform som riktar sig till hbtq-personer och använder en positionsbaserad teknik. Sanktionsavgiften skulle först vara 100 miljoner norska kronor, men beloppet har justerats efter att Datatilsynet har fått mer information om företagets ekonomi. Sanktionsavgiften är den största som Datatilsynet hittills har dömt ut.
Personuppgifter delades med tredje parter i marknadsföringssyfte
En tillsyn av Grindr påbörjades i samband med en anmälan från det norska konsumentverket, Forbrukerrådet. Av anmälan framgick att Grindr delade användarnas personuppgifter med tredje parter och att uppgifterna skulle användas i marknadsföringssyfte.
Personuppgifterna kunde kopplas till användare och bestod bland annat av användarnas platsinfo, ålder, IP-adress och kön samt faktumet att de använde Grindr – som avslöjade deras sexuella läggning. Dessutom kunde tredje parter som fick tillgång till personuppgifterna dela dem vidare.
En sådan personuppgiftshantering kräver ett uttryckligt samtycke från de registrerade vilket Grindr samlade in, men på grund av omständigheter som kommer att beröras nedan var samtycket ogiltigt.
Samtycket var ogiltigt
Enligt ett uttalande från Tobias Judin, sektionschef på Datatilsynet, kom myndigheten fram till att den rättsliga grunden för personuppgiftshanteringen var samtycke, men att samtycke om att personuppgifter skulle delas med tredje parter saknade verkan.
Samtyckets ogiltighet berodde på att användare var tvungna att godkänna samtliga villkor i integritetspolicyn för att kunna använda appen. De fick alltså ingen chans att ta ställning till att deras personuppgifter kunde användas i marknadsföringssyfte. Datatilsynet ansåg därför att ett giltigt samtycke saknades.
Vissa personuppgifter i frågan var särskilt känsliga
Uppgifter om användarnas sexuella läggning tillhör en speciell kategori av personuppgifter och anses vara extra känsliga. Att dessa uppgifter delades med tredje parter stred mot GDPR eftersom användarnas samtycke var ogiltigt på grunder som har berörts ovan.
Även platsdata kräver extra skydd. Personuppgifternas karaktär bidrog till att överträdelsen klassades som grov och till att sanktionsavgiften blev så hög.
Vad händer nu?
Beslutet om sanktionsavgiften kan överklagas av Grindr inom tre veckor från dagen då de tog emot beslutet. Tidsfristen kan komma att förlängas på grund av vissa omständigheter. Forbrukerrådet har efter beslutet inkommit med uppgifter om att Grindr har brutit mot några till bestämmelser i GDPR. Forbrukerrådet har även bett Datatilsynet att beordra Grindr att radera de personuppgifter som sanktionsavgiften hänför sig till. Med hänsyn taget till detta är det inte uteslutet att Datatilsynet vidtar fler åtgärder som riktar sig till Grindr.
