Súlyos adatvédelmi bírságot kaphat a Grindr


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az online alkalmazás érvényes hozzájárulás nélkül továbbította a felhasználók személyes adatait harmadik feleknek.

Az alapügy

A norvég adatvédelmi hatóság értesítette a Grindr LLC-t (Grindr) arról, hogy 100.000.000 norvég korona (10.000.000 euró) összegű közigazgatási bírságot fognak kiszabni a céggel szemben a GDPR érintettek adatkezeléshez való hozzájárulására vonatkozó rendelkezéseinek megsértése miatt. Előzetes következtetésünk az, hogy a Grindr számos harmadik félnek jogalap nélkül továbbította a felhasználók személyes adatait – jelentette be Bjørn Erik Thon, a norvég adatvédelmi hatóság főigazgatója.

A Grindr egy helyalapú közösségi társkereső alkalmazás, amely homo-, bi és transzszexuális emberek számára nyújt. 2020-ban a Norvég Fogyasztói Tanács panaszt nyújtott be a Grindr ellen, amelyben azt állította, hogy a személyes adatokat a cég jogellenes osztja meg harmadik felekkel marketing célból.

A Grindr többek között továbbította az érintettek GPS helyzetét, a felhasználói profil adatait és azt a tényt, hogy a szóban forgó felhasználó használja a Grindr-t. A norvég adatvédelmi hatóság előzetes következtetése szerint a Grindr kizárólag az érintettek előzetes, megfelelő tájékoztatáson alapuló és önkéntes hozzájárulásra alapján továbbíthatná ezen személyes adatokat, a felhasználók által adott hozzájárulás azonban nem volt érvényes. A norvég adatvédelmi hatóság szerint az a tény, hogy valaki Grindr-felhasználó, szexuális irányultságáról is információt hordoz, ezért ez különleges személyes adatnak minősül, amelyekre a GDPR fokozott védelmet ír elő. A norvég adatvédelmi hatóság súlyos jogsértésnek minősítette az ügyet. A felhasználók nem tudtak valós és hatékony ellenőrzést gyakorolni a személyes adataik továbbítása felett.

Azok az üzleti modellek, amelyekben a felhasználókat arra kényszerítik, hogy adják hozzájárulásukat az adattovábbításhoz, és ahol az érintetteket nem tájékoztatják megfelelően arról, hogy mihez járulnak hozzá, nem felel meg a GDPR követelményeinek – mondta Bjørn Erik Thon.

Érvénytelen hozzájárulás

A norvég adatvédelmi hatóság úgy véli, hogy általános szabályként az érintett hozzájárulása szükséges a marketing vagy hirdetési célú profilalkotáshoz és nyomon követéshez, például olyanokhoz, amelyek lehetővé teszik az érintettek által látogatott webhelyek, fizikai helyszínek, az általuk használt eszközök, igénybe vett szolgáltatások és adatforgalom nyomon követését. Ugyanez vonatkozik arra az esetre is, ha egy üzleti célú alkalmazás továbbítani kívánja a felhasználók szexuális irányultságára vonatkozó személyes adatokat. A felhasználókat arra kényszerítették, hogy teljes egészében fogadják el az adatvédelmi irányelveket, és külön nem kértek hozzájárulást tőlük, a személyes adataik harmadik feleknek történő továbbításához. Ezenkívül a személyes adatok továbbítására vonatkozó információkat nem közölték megfelelően az érintettekkel. A norvég adatvédelmi hatóság szerint ez ellentétes a GDPR érvényes hozzájárulásra meghatározott követelményeivel.

A Grindr biztonságos helynek tűnik és sok felhasználó a diszkréciót keresi. Ennek ellenére személyes adataikat ismeretlen számú harmadik fél részére továbbították és ezzel kapcsolatosan semmilyen információt nem közöltek az érintettekkel – tette hozzá Thon.

Az eddigi legmagasabb norvég adatvédelmi bírság

Az adatvédelmi bírságnak hatékonynak, arányosnak és visszatartó erejűnek kell lennie. A norvég adatvédelmi hatóság arról értesítette a Grindr-t, hogy nagy összegű bírságot kíván kiszabni a céggel szemben, mivel a GDPR súlyos megsértése megállapítható. A Grindr-nek 13,7 millió aktív felhasználója van, közülük több ezer Norvégiában él. A norvég adatvédelmi hatóság szerint a cég jogellenesen továbbította a felhasználók személyes adatait. A GDPR célja éppen az, hogy megakadályozza a „kikényszerített” hozzájárulást. Fontos, hogy az ilyen gyakorlatok megszűnjenek – hangsúlyozta Thon. A bírságszámításnál a hatóság a Grindr éves forgalmának konzervatív becslését vette alapul, amely szerint a cég éves forgalma megközelíti a 100.000.000 millió eurót. A hatóság által javasolt bírság összege a vállalat éves forgalmának mintegy 10% -ára rúg.

A GDPR alkalmazhatósága

A Grindr-nek nincs telephelye az EGT-n belül, de a GDPR 3.2 cikke alapján az adatkezelés a GDPR hatálya alá tartozik, mert a GDPR azon adatkezelőkre vonatkozik, akik árukat vagy szolgáltatásokat kínálnak vagy megfigyelik az EGT területén élő emberek viselkedését.

A norvég adatvédelmi hatóság vizsgálata a 2020 áprilisáig folytatott adatkezelési tevékenységre vonatkozott, mert ekkor a Grindr megváltoztatta, hogy a hozzájáruláskérést az alkalmazásban. Az egyelőre nem világos, hogy a változásokkal a cég megfelel-e a GDPR rendelkezéseinek.

A Grindr-rel szembeni döntés egyelőre nem végleges az adatvédelmi hatóság még csak a határozattervezetet tette közzé. A Grindr február 15-éig jelezheti észrevételeit. A végleges döntés csak a vállalat esetleges észrevételeinek fényében hozható meg. A határozattervezet a Grindr alkalmazás ingyenes verziójára vonatkozik. A Norvég Fogyasztói Tanács emellett panaszt nyújtott be öt adatkezelő ellen, akik adatokat kaptak a Grindr-től: a MoPub (a Twitter Inc. tulajdonában van), a Xandr Inc. (korábban AppNexus Inc. néven), az OpenX Software Ltd., az AdColony Inc. és a Smaato ellen. Inc. Ezen ügyek vizsgálata is folyamatban vannak.

(edpb.europa.eu)




Kapcsolódó cikkek