Grindr на крючке за 10 миллионов евро за нарушение GDPR

Grindr, приложение для общения геев, би, трансгендеров и квиров, находится на крючке в виде штрафа в размере 100000000 норвежских крон (10 миллионов евро или ~ 12,1 миллиона долларов) в Европе.

Агентство по защите данных Норвегии объявило, что уведомило американскую компанию о своем намерении наложить штраф за нарушение согласия в соответствии с Общим регламентом по защите данных (), который устанавливает строгие условия для обработки данных людей.

Размер штрафа примечателен. GDPR позволяет увеличивать размер штрафов до 4% от глобального годового оборота или до 20 миллионов евро, в зависимости от того, что больше. В этом случае Grindr получает около 10% годового дохода, согласно DPA. (Хотя санкция еще не окончательная; Гриндр должен до 15 февраля представить ответ до Datatilsynet выносит окончательное решение.)

«Мы уведомили Grindr о том, что намерены наложить штраф в крупном размере, поскольку наши выводы свидетельствуют о серьезных нарушениях GDPR», – сказал Бьорн Эрик Тон, генеральный директор агентства. «Grindr имеет 13,7 миллиона активных пользователей, тысячи из которых проживают в Норвегии. Мы считаем, что личные данные этих людей были переданы незаконно. Важная цель GDPR – предотвратить возьми это или оставь “согласен”. Совершенно необходимо прекратить подобную практику ».

С Grindr связались для получения комментариев.



В прошлом году в отчете Совета потребителей Норвегии (NCC) были рассмотрены методы обмена данными ряда популярных приложений в таких категориях, как свидания и фертильность. Было обнаружено, что большинство приложений передают данные «неожиданным третьим сторонам», при этом пользователи не имеют четкой информации о том, как их информация используется.

Grindr был одним из приложений, представленных в отчете NCC. И Совет продолжил подавать жалобу на приложение в национальный DPA, утверждая, что незаконный обмен персональными данными пользователей с третьими сторонами в маркетинговых целях, включая определение местоположения по GPS; данные профиля пользователя; и тот факт, что данный пользователь находится на Grindr.

Согласно GDPR, личные данные пользователя приложения могут быть переданы на законных основаниях, если вы получите их согласие на это. Однако существует ряд четких стандартов для того, чтобы согласие было законным – это означает, что согласие должно быть информированным, конкретным и добровольным. Datatilsynet обнаружил, что Grindr не соответствовал этому стандарту.

Агентство обнаружило, что пользователи Grindr были вынуждены полностью принять политику конфиденциальности, и их не спрашивали, хотят ли они дать согласие на передачу своих данных третьим лицам.

Кроме того, говорится, что о сексуальной ориентации можно судить по присутствию пользователя на Grindr; и в соответствии с законодательством ЕС такие конфиденциальные данные «особой категории» требуют еще более высокого стандарта явного согласия, прежде чем они могут быть переданы (что, опять же, Datatilsynet сказал Grindr не удалось получить от пользователей).

«Наш предварительный вывод состоит в том, что Grindr необходимо согласие на передачу этих личных данных и что согласие Grindr не является действительным. Кроме того, мы считаем, что тот факт, что кто-то является пользователем Grindr, говорит об их сексуальной ориентации, и, следовательно, это данные специальной категории, заслуживающие особой защиты », – говорится в пресс-релизе.

«Норвежское управление по защите данных считает, что это серьезный случай», – добавил Тон. «Пользователи не могли осуществлять реальный и эффективный контроль над обменом своими данными. Бизнес-модели, в которых пользователей принуждают дать согласие, и где они не получают должной информации о том, на что они дают согласие, не соответствуют закону ».

Решение могло бы иметь более широкое значение, поскольку аналогичная жалоба на «принудительное согласие» против Facebook все еще открыта на столе службы контроля защиты данных Ирландии – несмотря на то, что она была подана еще в мае 2018 года. Для технологических гигантов, которые создали региональную базу в Ирландии, и возложив на ирландское юридическое лицо юридическую ответственность за обработку данных граждан ЕС, механизм единого окна GDPR привел к значительным задержкам в рассмотрении жалоб.

Между тем Grindr изменил способ получения согласия в апреле 2020 года – и предлагаемая санкция касается того, как он справлялся с этим до того момента, с мая 2018 года, когда вступил в силу GDPR.

«На сегодняшний день мы не оценили, соответствуют ли последующие изменения GDPR», – добавляет Datatilsynet.

После своего отчета в прошлом году NCC также подала жалобы против пяти третьих сторон, которые, как выяснилось, получали данные от Grindr: MoPub (принадлежит Twitter), Xandr (ранее известный как AppNexus), OpenX Software, AdColony и Smaato. DPA отмечает, что эти дела еще продолжаются.

Согласно отчету НКЦ в январе 2020 года, Twitter сообщил нам, что заблокировал учетную запись Grindr в MoPub, пока он исследовал «достаточность» механизма согласия. Мы обратились к Twitter чтобы спросить, восстанавливала ли она когда-либо учетную запись, и обновит ли этот отчет каким-либо ответом.

Европейская группа кампании по защите конфиденциальности noyb, которая участвовала в подаче стратегических жалоб против Grindr и рекламных компаний, приветствовала решение DPA поддержать эти жалобы, назвав размер штрафа «огромным», учитывая, что Grindr сообщил только о прибыли чуть более 30 миллионов долларов в 2019 г., а это означает, что ему грозит потерять около трети этого показателя одним махом.

Нойб также утверждает, что переход Гриндра к попыткам отстаивать законные интересы для продолжения обработки данных пользователей без их согласия может привести к дополнительным штрафам для компании.

«Это противоречит решению норвежского DPA, поскольку оно прямо указывало, что»любое подробное раскрытие … в маркетинговых целях должно быть основано на согласии субъекта данных«, – пишет Ала Криницките, юрист по защите данных в Нойб пишет в заявлении. «Дело ясное как с фактической, так и с юридической стороны. Мы не ожидаем никаких успешных возражений со стороны Grindr. Тем не менее, Grindr может столкнуться с дополнительными штрафами, поскольку в последнее время он заявляет о незаконном «законном интересе» к передаче пользовательских данных третьим лицам – даже без согласия. Grindr может выйти на второй раунд.