Aplikacja randkowa dla gejów Grindr zapłaci grzywnę 6,5 mln euro za naruszenia RODO

Według norweskiego urzędu ochrony danych osobowych, Grindr przekazywał dane użytkowników aplikacji zewnętrznym firmom, które wykorzystywały je do profilowania behawioralnego bez właściwej podstawy prawnej.

Grindr to aplikacja randkowa dla gejów, a także innych członków społeczności LGBTQ, której działanie opiera się o geolokalizację, podobnie jak ma to miejsce w przypadku popularnej usługi Tinder.

W 2020 r. Norweska Rada Konsumencka (odpowiednik polskiego UOKiK) złożyła na Grindra skargę w związku z bezprawnym, jak stwierdził urząd, przekazywaniem danych osobowych użytkowników stronom trzecim dla celów marketingu.

Dane te to koordynaty GPS, informacje o adresie IP, ID reklamowym użytkownika, a także jego wieku, płci i o tym, czy dana osoba jest aktywnym użytkownikiem Grindra. Przekazywany zbiór informacji pozwalał na zidentyfikowanie konkretnych użytkowników, a jak zwrócił uwagę norweski organ - dane mogły też być przez firmy przekazywane dalej bez wiedzy i zgody osób, których dotyczyły.

Nieprawidłowości przy zbieraniu zgód

Organ ochrony danych osobowych w Norwegii stwierdził, że w każdym z tych przypadków aplikacja powinna prosić użytkowników o zgodę na przetwarzanie danych - tylko ona może być uznana za właściwą podstawę prawną przetwarzania w takim wypadku. Zgody były jednak nieważne - twierdzi szef organu Tobias Judin.

Aplikacja została zbudowana tak, aby zmuszać użytkowników do akceptacji polityki prywatności celem skorzystania z platformy. Osoby rejestrujące się na Grindrze nie były wówczas pytane o to, czy wyrażają zgodę na przekazywanie ich danych stronom trzecim na potrzeby marketingu behawioralnego.

Informacje o tym, w jaki sposób przetwarzane są dane użytkowników Grindra nie były im również komunikowane w sposób jasny i zrozumiały, co - jak wskazuje norweski urząd - również narusza reguły RODO.

Dane specjalnej kategorii

Urzędnicy z Norwegii uznali, że dane, z których wynika czy ktoś jest, czy nie jest użytkownikiem Grindra, mogą być uważane za dane szczególnej kategorii - wskazują bowiem na przynależność danej osoby do mniejszości seksualnej.

Dane takie są w RODO szczególnie chronione.

„Aplikacja Grindr jest wykorzystywana do nawiązywania kontaktów pomiędzy osobami ze społeczności LGBTQ+ i mamy świadomość, że wielu użytkowników korzysta z niej, nie ujawniając swojego pełnego imienia i nazwiska lub nie zamieszczając tam zdjęć własnej twarzy po to, aby zachować dyskrecję. Mimo tego, dane osobowe i fakt, że korzystają z Grindra, zostały przekazane nieznanej liczbie zewnętrznych firm dla celów marketingowych bez umożliwienia im podjęcia wyboru w tej sprawie" - dodał szef urzędu ochrony danych Judin.

Według niego, do danych wrażliwych, mimo, że w RODO nie są tak klasyfikowane, należą również dane o lokalizacji użytkowników. Fakt, że aplikacja dzieliła się tymi danymi z zewnętrznymi firmami bez wiedzy i zgody osób korzystających z platformy, w opinii Judina jeszcze zwiększa powagę naruszeń, których dopuścił się Grindr.

Nałożona na Grindra przez norweski organ kara grzywny to do tej pory najwyższa kara administracyjna, z tytułu naruszeń prawa ochrony danych osobowych, o jakiej orzekł ten urząd.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.