3,5 milliárdos bírság várhat a Grindr app üzemeltetőjére
A Norvég Adatvédelmi Hatóság (Datatilsynet) 2021. január 25-én jelentette be, hogy 100 millió korona (3,435 milliárd Ft) bírságot tervez kiszabni a Grindr nevű appra, mivel az megfelelő jogalap nélkül kezelt és osztott meg személyes – és bizonyos esetekben különleges – adatokat partnereivel (nem, nem a társkeresők partnereivel, hanem a saját üzleti partnereivel).
A Grindr egy helymeghatározás alapú közösségi hálózat, melynek fő célja, hogy felhasználói LMBTQ beállítottságú partnert találjanak maguknak online, ennek megfelelően az app felhasználóinak jelentős része hasonló nemi orientációval rendelkezik. Az ügy 2020-ban kezdődött, amikor a Norvég Fogyasztóvédelem vizsgálatot indított a cég ellen számos bejelentést követően. Az eset kivizsgálását több civil adatvédelmi szervezet is támogatta, mint a norvég NCC, vagy az osztrák noyb is, melynek azóta eljárási jogosultsága is van Európa egyes részein fogyasztóvédelmi ügyekben.
A vádak szerint a Grindr a felhasználók hozzájárulása nélkül osztott meg személyes adataikat partnereivel, melyeket azok később marketing célra használtak fel. Az adatok körébe beletartozott a felhasználók GPS-helyzete, profillal kapcsolatos adatai és maga a tény, hogy az érintett használja a platformot.
Ezutóbbi különösen érzékeny pont lehet, mivel nem minden országban ugyanolyan az LMBTQ beállítottságú személyek megítélése, bizonyos esetekben ezért személyes adataik nyilvánosságra kerülése halmozott károkkal járhat számukra. A Hatóság vezetője kiemelte, hogy ez Európán kívül még veszélyesebb formát ölthet; olyan országokban, mint Pakisztán vagy Katar, ahol a homoszexualitást törvény tiltja, az érintettek testi épsége is veszélybe kerülhet. Ezért a kérdéses adatok különleges személyes adatnak minősülnek, melyek részletes szabályozását a GDPR 9. cikke tartalmazza.
A GDPR 9. cikke általánosságban tiltja a különleges adatok kezelését, melyek körébe tartozik a vallási orientáció, az egészségügyi adatok, szexuális beállítottság, de akár a szakszervezeti hovatartozás is. Ezen adatok kezelésére kizárólag akkor kerülhet sor, ha a 6. cikkben foglalt jogalapok mellett az adatkezelő a 9. cikk (2) bekezdésében írt kivételek valamelyikével is rendelkezik.
A Grindr azzal védekezett, hogy az appot számos olyan felhasználó is használja, akik heteroszexuálisak, vagy még nem hoztak végleges döntést szexualitásukról, ezért az app használata nem jelenti ipso facto, hogy valaki LMBTQ beállítottságú – ezt az érvelést a Hatóság azonban kategorikusan elutasította.
A Datatilsynet továbbá kiemelte, hogy minden olyan adatkezelés esetén, amelynek során profilalkotás vagy GPS-alapú nyomkövetés történik marketing célból, szükséges az érintettek kifejezett hozzájárulása. A Grindr felhasználóinak nem volt lehetőségük az adatkezelés egy részét elutasítani; az app használatával a cég automatikusnak vette, hogy hozzájárulnak személyes adataik harmadik partnerek felé történő közvetítéséhez is.
A cég többszáz partnernek továbbította az adatokat, majd onnantól kezdve rájuk hagyta a felhasználók visszavont hozzájárulásával kapcsolatos feladatokat is. A Hatóság szerint azonban a gyakorlatban sok cég figyelmen kívül hagyja az ilyen irányú kéréseket, a Grindr-nek pedig a GDPR 5. cikk (2) bekezdése alapján el kell tudnia számolni az általa begyűjtött hozzájárulásokkal a visszavonást követően is.
Az ügyre már csak azért is kiemelt figyelmet fordít a Hatóság és a civil szervezetek, mert a Grindr partnerei között számos adtech cég is megtalálható, melyeknek az utóbbi időben adatvédelmi szempontból kérdéses a megítélése.
A döntés még nem végleges, a cégnek 2021. február 15-ig van lehetősége válaszolni a Hatóság javasolt bírságára. Amennyiben a bírság véglegessé válik, ez lehet a norvég Hatóság eddigi legnagyobb kiszabott bírsága.
A Datatilsynet megjegyezte, hogy a javasolt összeg valóban magas, ugyanakkor a bírságnak hatásosnak, arányosnak és elrettentő erejűnek kell lennie. A Grindr-nek csaknem 14 millió felhasználója van világszerte, a bírság összege tavalyi bevételüknek mintegy 10 százaléka (lenne). A noyb szerint nem valószínű, hogy a Hatóság csökkenteni fogja a bírság mértékét, sőt, a jövőben a cég további eljárásoknak nézhet elébe, mivel azóta is a „jogos érdeket” használja adatkezelési jogalapként, így továbbra sem kéri az érintettek kifejezett hozzájárulását a különleges adatok kezeléséhez.