Datatilsynet har bötfällt dejtingappen Grindr LLC med 65 miljoner norska kronor för brott mot artiklarna 6.1 och 9.1 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Grindr är en platsbaserad dejtingapp riktad till homosexuella och bisexuella män, transpersoner och homosexuella. 2020 lämnade norska konsumentrådet in en anmälan till Datatilsynet avseende Grindr (läs mer om detta här). Bakgrunden till anmälan var att Grindr lämnat ut information om bland annat GPS-positionering, IP-adress, mobiltelefonens annons-id, ålder och kön samt att användaren hade ett konto på Grindr till flera tredje parter i marknadsföringssyfte. Informationen kunde därefter användas till att identifiera användare eller delas med tredje part. Konsumentrådet ansåg att utlämnandet av personuppgifter stred mot GDPR.
Datatilsynets slutsats i ärendet är att samtycke krävdes för att dela dessa personuppgifter, men att det så kallade samtycket Grindr samlade in inte var giltigt. Enligt Datatilsynet var användare tvungna att acceptera integritetspolicyn i sin helhet för att använda appen, och de tillfrågades inte specifikt om de skulle samtycka till utlämnande till tredje part i marknadsföringssyfte. Dessutom var information om utlämnande av personuppgifter inte tillräckligt tydlig eller tillgänglig för användarna. Enligt Datatilsynet strider detta mot samtyckeskraven i GDPR.
Datatilsynet har enligt beslutet koncentrerat sig på perioden från att GDPR trädde i kraft i juli 2018, och fram till april 2020, då Grindr ändrade samtyckeslösningen. Datatilsynet har inte bedömt lagligheten av Grindrs nuvarande samtyckeslösning.
Datatilsynet anser vidare att information om att någon är Grindr-användare utgör en känslig personuppgift, eftersom det starkt indikerar att de tillhör en sexuell minoritet. Uppgifter om någons sexuella läggning har ett särskilt skydd i GDPR. Eftersom samtycket Grindr samlade in var ogiltigt, hade Grindr inte laglig rätt att dela sådan information.
Enligt Datatilsynet används Grindr för att komma i kontakt med andra i en HBTQ+ community, och det är vanligt att många användare väljer att inte skriva in sitt fullständiga namn eller ladda upp bilder på sitt ansikte så att de kan vara diskreta. Ändå har identifierbar information om dem och deras användning av Grindr förts vidare till ett okänt antal företag i marknadsföringssyfte, utan att användarna fått tillgänglig information eller möjligheten att göra ett riktigt val enligt Datatilsynet. Platsdata är också känsliga och personliga, även om de inte definieras som känsliga personuppgifter enligt GDPR. Enligt Datatilsynet är det allvarligt att Grindr också har delat dessa uppgifter olagligt.
Sanktionsavgifter ska enligt Datatilsynet vara effektiva, stå i rimlig proportion till överträdelsen och ha en avskräckande effekt. I det här fallet har Datatilsynet beslutat om en hög sanktionsavgift, eftersom myndigheten anser att överträdelserna är mycket allvarliga. Tusentals användare i Norge har fått sina personuppgifter olagligt avslöjade för Grindrs kommersiella intressen, inklusive platsdata och att de är Grindr-användare. Affärsmodeller som bygger på beteendebaserad marknadsföring är vanliga i den digitala ekonomin varför det enligt Datatilsynet är viktigt att sanktionsavgiften för brott fungerar avskräckande och bidrar till att integritetsbestämmelserna efterlevs.
Datatilsynet har ändå funnit det lämpligt att sänka den ursprungligen aviserade sanktionsavgiften på 100 miljoner norska kronor (läs mer om detta här). Datatilsynet har sedan dess fått synpunkter från Grindr med information om bolagets storlek och ekonomi och myndigheten har även ansett de förändringar som Grindr gjort sedan intrånget som en förmildrande omständighet.
Konsumentrådet har efter Datatilsynets anmälan konstaterat att Grindr brutit mot ytterligare bestämmelser i GDPR. De har även bett Datatilsynet att förelägga Grindr att radera de olagligt behandlade personuppgifterna i den mån Grindr fortfarande behandlar dem. Datatilsynet utesluter därför inte att ett föreläggande senare kan komma att utfärdas av myndigheten i detta fall.
Grindr kan överklaga beslutet inom tre veckor från det att det mottogs den 13 december 2021. Denna tidsfrist kan skjutas upp beroende på omständigheterna.