Norweski organ ochrony danych prowadzi postępowanie na podstawie skargi wniesionej przez Norweską Radę Konsumentów. Zdaniem organizacji aplikacja udostępnia dane osobowe użytkowników w celach marketingowych podmiotom trzecim bez podstawy prawnej. Udostępniane dane dotyczą: lokalizacji, profilu użytkownika oraz informacji, że dana osoba korzysta z aplikacji. Grindr wyróżnia się spośród innych aplikacji randkowych, jest skierowana do osób homoseksualnych, biseksualnych i transpołciowych, bądź identyfikujących się jako queer.
Grindr należy do firmy mającej siedzibę w Stanach Zjednoczonych, która nie ma żadnych oddziałów w Unii Europejskiej. Jednak dzięki artykułowi 3 RODO, organy ochrony danych osobowych mogą prowadzić postępowania również wobec podmiotów nie posiadających jednostek organizacyjnych w Unii. Wystarczające do prowadzenia postępowania przez krajowy organ ochrony danych z Unii Europejskiej jest oferowanie usług osobom, które zamieszkują na terenie Unii.
Organ wstępnie ustalił, że wniesiona skarg jest zasadna i aplikacja udostępnia dane bez podstawy prawnej. Jak poinformował organ, udostępnienie danych powinno być poprzedzone uzyskaniem zgody użytkowników. Dotychczas zbierane przez portal zgody nie były ważne. Co więcej, organ wskazał, że w związku ze skierowaniem aplikacji do osób o konkretnej orientacji seksualnej, aplikacja przetwarza dane szczególne, które są objęte dodatkową ochroną. Działanie aplikacji spowodowało, że użytkownicy tracili kontrolę nad swoimi danymi osobowymi. Dochodzenie organu norweskiego skupiło się na mechanizmie zgody obowiązującym od wejścia w życie RODO do kwietnia 2020 r. Organ nie analizował działań firmy w późniejszym okresie.
Wymuszone zgody
Co do zasady, aby monitorowanie i profilowanie w celach marketingowych lub reklamowych było zgodne z prawnym wymagana jest zgoda. To samo dotyczy sytuacji, gdy komercyjna aplikacja chce udostępniać dane dotyczące orientacji seksualnej użytkowników.
W przypadku aplikacji Grindr użytkownicy, zdaniem organu norweskiego, musieli w całości zaakceptować politykę prywatności, aby korzystać z aplikacji. Nie było możliwe udzielenie oddzielnej zgody na udostępnianie danych podmiotom trzecim. Co więcej, zdaniem organu, również obowiązek informacyjny wobec użytkowników nie został wykonany prawidłowo. Na tej podstawie organ uznał, że działanie Grindr było sprzeczne z wymogami RODO.
Postępowanie może skutkować nałożeniem najwyższej kary pieniężnej w Norwegii
Zdaniem organu, ustalone naruszenia są poważne, aplikacja posiada użytkowników w całej Unii Europejskiej dlatego zamierza nałożyć na portal karę o wysokiej sile. Należy również pamiętać o odstraszającej roli nakładanej kary. Jak wskazał organ, jej wysokość ma pomóc w zaprzestaniu korzystania ze zgód, które wymuszają wyrażenie zgody na całą politykę prywatności lub zrezygnowania z korzystania z usługi. Zaproponowana wysokość kary stanowi około 10% rocznego obrotu firmy.
Organ norweski poinformował, że nie jest to ostateczna decyzja, a jedynie jej projekt. Przed wydaniem wiążącej decyzji Grindr ma prawo do przedstawienia swojego stanowiska wobec ustaleń organu. W dniu 18 marca br. norweski organ poinformował, że wpłynęły do niego uwagi od administratora aplikacji. Otrzymał także uwagi od Rady Konsumentów. Co ciekawe ta ostatnia wnosi o rozważenie silniejszych środków przeciwko aplikacji randkowej. Wnioskuje, by administrator był zobowiązany także do wyśledzenia i usunięcia nielegalnie zebranych danych osobowych (niezależnie od nałożonej kary).
Źródło: https://www.datatilsynet.no/en/news/2021/intention-to-issue–10-million-fine-to-grindr-llc2/
