Πρόστιμο ύψους 10 εκ. € στη γνωστή εφαρμογή γνωριμιών "Grindr"

Στην γνωστή εφαρμογή "Grindr" θα επιβληθεί πρόστιμο σχεδόν 10 εκατ. Ευρώ λόγω καταγγελίας του GDPR. Η γνωστή Gay Dating εφαρμογή μοιράστηκε παράνομα με διαφημιστικές εταιρείες, ευαίσθητα δεδομένα εκατομμυρίων χρηστών της.

Τον Ιανουάριο του 2020, το Νορβηγικό Συμβούλιο Καταναλωτών και η Ευρωπαϊκή ΜΚΟ για θέματα ιδιωτικότητας noyb.eu υπέβαλαν τρεις στρατηγικές καταγγελίες εναντίον της Grindr και αρκετών εταιρειών ψηφιακής διαφήμισης, για παράνομη κοινή χρήση δεδομένων των χρηστών. Όπως πολλές άλλες εφαρμογές, η Grindr μοιράστηκε προσωπικά δεδομένα (όπως δεδομένα τοποθεσίας ή το γεγονός ότι κάποιος χρησιμοποιεί το Grindr) σε δυνητικά εκατοντάδες τρίτα μέρη για διαφήμιση.

Η Νορβηγική Αρχή Προστασίας Δεδομένων αποδέχθηκε τις καταγγελίες, επιβεβαιώνοντας ότι η Grindr δεν έλαβε έγκυρη συγκατάθεση από χρήστες σε προηγουμένως. Η Αρχή επιβάλλει πρόστιμο 100 εκατ. NOK (9,63 εκατ. Ευρώ ή 11,69 εκατ. $) στη Grindr. Ένα τεράστιο πρόστιμο, καθώς η Grindr ανέφερε μόνο κέρδος 31 εκατομμυρίων δολαρίων το 2019 - το ένα τρίτο των οποίων έχει πλέον φύγει.

Εδώ μπορείτε να διαβάσετε την απόφαση του Νορβηγικού DPA (PDF)

Ιστορικό της Υπόθεσης. Στις 14 Ιανουαρίου 2020, το Νορβηγικό Συμβούλιο Καταναλωτών (Forbrukerrådet, NCC) υπέβαλε τρεις στρατηγικές καταγγελίες για παράβαση του Κανονισμού GDPR σε συνεργασία με το noyb. Οι καταγγελίες υποβλήθηκαν στη Νορβηγική Αρχή Προστασίας Δεδομένων (DPA) κατά της Gay Dating εφαρμογής Grindr και πέντε εταιρειών adtech που έλαβαν προσωπικά δεδομένα μέσω της εφαρμογής: Twitter MoPub, AT & T's AppNexus (τώρα Xandr), OpenX, AdColony και Smaato.

Η Grindr έστειλε άμεσα και έμμεσα προσωπικά δεδομένα σε δυνητικά εκατοντάδες διαφημιστικούς συνεργάτες. Η Έκθεση «Εκτός Ελέγχου» του NCC περιέγραψε λεπτομερώς πώς ένας μεγάλος αριθμός τρίτων λαμβάνει συνεχώς προσωπικά δεδομένα σχετικά με τους χρήστες του Grindr. Κάθε φορά που ένας χρήστης ανοίγει το Grindr, πληροφορίες όπως η τρέχουσα τοποθεσία ή το γεγονός ότι ένα άτομο χρησιμοποιεί το Grindr μεταδίδεται στους διαφημιζόμενους. Αυτές οι πληροφορίες χρησιμοποιούνται επίσης για τη δημιουργία ολοκληρωμένων προφίλ σχετικά με τους χρήστες, τα οποία μπορούν να χρησιμοποιηθούν για στοχευμένες διαφημίσεις και άλλους σκοπούς.

Η συγκατάθεση πρέπει να είναι σαφής, ενημερωμένη, συγκεκριμένη και ελεύθερη. Η Νορβηγική DPA έκρινε ότι η υποτιθέμενη "συγκατάθεση" που το Grindr προσπάθησε να βασιστεί ήταν άκυρη. Οι χρήστες δεν ενημερώθηκαν σωστά, ούτε η συναίνεση ήταν αρκετά συγκεκριμένη, καθώς οι χρήστες έπρεπε να συμφωνήσουν σε ολόκληρη την πολιτική απορρήτου και όχι σε μια συγκεκριμένη διαδικασία επεξεργασίας, όπως η κοινή χρήση δεδομένων με άλλες εταιρείες.

Η συγκατάθεση πρέπει επίσης να δοθεί ελεύθερα. Το DPA τόνισε ότι οι χρήστες πρέπει να έχουν πραγματική επιλογή να μην συναινέσουν χωρίς αρνητικές συνέπειες. Η Grindr έκανε χρήση της εφαρμογής υπό την προϋπόθεση ότι συναινεί στην κοινή χρήση δεδομένων ή στην καταβολή τέλους συνδρομής.

“Το μήνυμα είναι απλό: Το “πάρτε το ή αφήστε το” (“take it or leave it”) δεν είναι συγκατάθεση. Εάν βασίζεστε σε παράνομη "συγκατάθεση", θα σας επιβληθεί μεγάλο πρόστιμο. Αυτό δεν αφορά μόνο το Grindr, αλλά και πολλούς ιστότοπους και εφαρμογές." - Ala Krinickytė, δικηγόρος προστασίας δεδομένων στο noyb

"Αυτό δεν θέτει μόνο όρια για το Grindr, αλλά θεσπίζει αυστηρές νομικές απαιτήσεις σε έναν ολόκληρο κλάδο που επωφελείται από τη συλλογή και την ανταλλαγή πληροφοριών σχετικά με τις προτιμήσεις, την τοποθεσία, τις αγορές, τη σωματική και ψυχική υγεία, τον σεξουαλικό προσανατολισμό και τις πολιτικές απόψεις"- Finn Myrstad, Διευθυντής ψηφιακής πολιτικής στο Νορβηγικό Συμβούλιο Καταναλωτών (NCC).

Η Grindr πρέπει να αστυνομεί εξωτερικούς "Συνεργάτες". Επιπλέον, η Νορβηγική DPA κατέληξε στο συμπέρασμα ότι "η Grindr απέτυχε να ελέγξει και να αναλάβει την ευθύνη" για την κοινή χρήση δεδομένων τους με τρίτα μέρη. Η Grindr μοιράστηκε δεδομένα με δυνητικά εκατοντάδες τρίτα μέρη, συμπεριλαμβάνοντας κώδικες παρακολούθησης στην εφαρμογή του. Στη συνέχεια εμπιστεύθηκε τυφλά αυτές τις εταιρείες adtech να συμμορφωθούν με ένα σήμα "opt-out" που αποστέλλεται στους παραλήπτες των δεδομένων. Η DPA σημείωσε ότι οι εταιρείες θα μπορούσαν εύκολα να αγνοήσουν το σήμα και να συνεχίσουν να επεξεργάζονται τα προσωπικά δεδομένα των χρηστών. Η έλλειψη πραγματικού ελέγχου και ευθύνης για την κοινή χρήση δεδομένων των χρηστών από τη Grindr δεν είναι σύμφωνη με την αρχή της λογοδοσίας του Άρθρου 5, Παράγραφος 2 του GDPR. Πολλές εταιρείες του κλάδου χρησιμοποιούν τέτοιο σήμα, κυρίως το πλαίσιο TCF από το Interactive Advertising Bureau (IAB).

"Οι εταιρείες δεν μπορούν απλώς να συμπεριλάβουν εξωτερικό λογισμικό στα προϊόντα τους και στη συνέχεια να ελπίζουν ότι συμμορφώνονται με το νόμο. Η Grindr συμπεριέλαβε τον κώδικα παρακολούθησης των εξωτερικών συνεργατών και προώθησε τα δεδομένα χρηστών σε δυνητικά εκατοντάδες τρίτα μέρη - τώρα πρέπει επίσης να διασφαλίσει ότι αυτοί οι "συνεργάτες" συμμορφώνονται με το νόμο. " - Ala Krinickytė, δικηγόρος προστασίας δεδομένων στο noyb

Grindr: Οι χρήστες μπορεί να είναι "bi-curious", αλλά όχι “gay”; Ο GDPR προστατεύει ειδικά πληροφορίες σχετικά με τον σεξουαλικό προσανατολισμό. Ωστόσο, η Grindr έκρινε ότι τέτοια προστασία δεν ισχύει για τους χρήστες της, καθώς η χρήση του Grindr δεν θα αποκάλυπτε τον σεξουαλικό προσανατολισμό των πελατών της. Η εταιρεία ισχυρίστηκε ότι οι χρήστες μπορεί να είναι “straight” ή "bi-curious" και εξακολουθούν να χρησιμοποιούν την εφαρμογή. Η Νορβηγική DPA δεν έλαβε υπόψιν της αυτό το επιχείρημα από μια εφαρμογή που αναγνωρίζεται ως “αποκλειστικά για την κοινότητα των gay/bi”. Το πρόσθετο αμφισβητήσιμο επιχείρημα της Grindr ότι οι χρήστες έκαναν τον σεξουαλικό τους προσανατολισμό “προφανώς δημόσιο” και επομένως δεν προστατεύεται, απορρίφθηκε εξίσου από το DPA.

"Μια εφαρμογή για την κοινότητα των ομοφυλόφιλων, η οποία υποστηρίζει ότι οι “ειδικές” προστασίες για αυτήν ακριβώς την κοινότητα δεν ισχύουν για αυτούς, είναι μάλλον αξιοσημείωτη. Δεν είμαι σίγουρος αν οι δικηγόροι του Grindr το έχουν σκεφτεί πραγματικά αυτό." - Max Schrems, επίτιμος πρόεδρος στο noyb

Η επιτυχής ένσταση είναι απίθανη. Η Νορβηγική DPA εξέδωσε "προειδοποιητική ειδοποίηση" αφού άκουσε την Grindr σε μια διαδικασία. Η Grindr μπορεί ακόμη να αντιταχθεί στην απόφαση εντός 21 ημερών, η οποία θα ελεγχθεί από το DPA. Ωστόσο, είναι απίθανο το αποτέλεσμα να μπορεί να αλλάξει με οποιοδήποτε τρόπο. Βεβαίως, ενδέχεται να προκύψουν περαιτέρω πρόστιμα, καθώς η Grindr βασίζεται τώρα σε ένα νέο σύστημα συναίνεσης και ισχυριζόμενο “έννομο συμφέρον” για τη χρήση δεδομένων χωρίς τη συγκατάθεση του χρήστη. Αυτό έρχεται σε αντίθεση με την απόφαση της Νορβηγικής DPA, καθώς έκρινε ρητά ότι "κάθε εκτεταμένη αποκάλυψη ... για σκοπούς μάρκετινγκ πρέπει να βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων".

"Η υπόθεση είναι ξεκάθαρη από την πραγματική και νομική πλευρά. Δεν αναμένουμε επιτυχή αντίρρηση από τη Grindr. Ωστόσο, ενδέχεται να επιληφθούν περισσότερα πρόστιμα για τη Grindr καθώς βασίζεται τελευταία σε ένα παράνομο “νόμιμο συμφέρον” για να κοινοποιεί δεδομένα χρηστών σε τρίτους. - ακόμη και χωρίς συγκατάθεση. Η Grindr μπορεί να τιμωρηθεί για δεύτερη φορά." - Ala Krinickytė, δικηγόρος προστασίας δεδομένων στο noyb

Ευχαριστίες

• Το έργο διευθύνθηκε από το Νορβηγικό Συμβούλιο Καταναλωτών

• Οι τεχνικές δοκιμές πραγματοποιήθηκαν από την εταιρεία ασφαλείας mnemonic.

• Η έρευνα για τη βιομηχανία adtech και συγκεκριμένους μεσίτες δεδομένων πραγματοποιήθηκε με τη βοήθεια του ερευνητή Wolfie Christl of Cracked Labs.

• Πρόσθετος έλεγχος της εφαρμογής Grindr πραγματοποιήθηκε από τον ερευνητή Zach Edwards του MetaX.

• Η νομική ανάλυση και οι επίσημες καταγγελίες γράφτηκαν με τη βοήθεια του Noyb.

Το πρωτότυπο άρθρο μπορείτε να το διαβάσετε εδώ!

#grindr #LGBTQ #InvestInPrivacy #noyb #ncc #privacy #security #cybersecurity #technology #dataprotection #hacking #infosec #tech #hacker #datasecurity #cybercrime #dataprivacy #data #gdpr #informationsecurity #encryption #iot #cyber #internet #business #protection #programming #bhfyp