Datatilsynet har meddelat dejtingappen Grindr om sanktionsavgifter på 100 miljoner kronor för brott mot samtyckeskraven i dataskyddsförordningen (“GDPR”) genom att Grindr lämnat ut personuppgifter om sina användare till ett antal tredje parter utan rättslig grund.
Grindr är en platsbaserad dejtingapp för homosexuella och bisexuella män, transpersoner och queerfolk. År 2020 klagade konsumentrådet till norska dataskyddsmyndigheten eftersom Grindr delade information om GPS-positionering, information från användarprofilerna och om en person är en Grindr-användare eller inte till flera tredje parter i marknadsföringssyfte. De tredje parterna har därefter haft möjlighet att dela dessa uppgifter vidare.
Datatilsynets preliminära slutsats är att Grindr behöver ett samtycke för att dela dessa personuppgifter och att de samtycken som Grindr hämtat in inte var giltiga. Dessutom anser Datatilsynet att informationen om någon är en Grindr-användare eller inte är en känslig personuppgift eftersom det säger något om personens sexuella läggning.
Enligt Datatilsynet fick användarna inte utöva verklig kontroll över utlämnandet av sina egna personuppgifter. Affärsmodeller som tvingar användaren att samtycka till något, och utan att noggrant förklara vad de går med på, anser Datatilsynet inte ligga i linje med lagen.
Vidare utgår Datatilsynet från att spårning på webbplatser, tjänster eller enheter för marknadsföringsändamål normalt kräver ett samtycke. Detsamma gäller om kommersiella appar ska dela information om användarnas sexuella läggning.
Avseende Grindr var användarna tvungna att acceptera sekretesspolicyn fullt ut för att använda appen, och de tillfrågades inte specifikt om de samtyckte till utlämnande av personuppgifter till tredje part. Dessutom var informationen om utlämnande av personuppgifter inte tillräckligt tydlig eller tillgänglig för användarna, något som strider mot kraven på samtycke i GDPR.
Enligt Datatilsynet upplever många människor Grindr som en säker miljö för dating, och myndigheten vet att användarna väljer att inte ange sitt riktiga namn eller ladda upp foton så att de kan vara diskreta. Trots det har Grindr vidarebefordrat identifierbar information till ett okänt antal företag enligt Datatilsynet.
Sanktionsavgifter ska enligt Datatilsynet vara effektiva, stå i ett rimligt förhållande till överträdelsen och verka avskräckande. I det här fallet meddelas höga böter eftersom Datatilsynets preliminära slutsats är att kränkningarna är mycket allvarliga. Grindr har 13,7 miljoner aktiva användare, varav tusentals i Norge. Dessa personer har fått sina personuppgifter delade med många tredje parter utan stöd i lag. En del av syftet med GDPR är också att konsumenter inte ska mötas av följande alternativ: Samtyck till våra villkor i sin helhet, eller använd inte vår tjänst. Datatilsynet anser att det är viktigt att sådan praxis upphör.
Datatilsynet har antagit att Grindr har en årlig omsättning på minst US $ 100 miljoner. Detta innebär att myndigheten meddelar sanktionsavgifter på cirka 10 % av företagets omsättning.
Datatilsynet har koncentrerat sig på perioden från att GDPR började gälla fram till april 2020, då Grindr ändrade hur företaget hämtade in ett samtycke. Datatilsynet har inte tagit hänsyn till Grindrs nya samtyckeslösning.
Datatilsynet har gett Grindr till den 15 februari 2021 att inkomma med eventuella synpunkter. Ett slutgiltigt beslut fattas efter att Datatilsynet har övervägt eventuella synpunkter från Grindr.
Datatilsynets meddelande gäller endast den kostnadsfria versionen av appen.