Grindr betaler dyrt for manglende beskyttelse.

Grindr er en av verdens største LGBTQ+ dating- og nettverksapper. Grindr delte personopplysninger, slik som GPS-lokasjon, IP-adresse, mobiltelefonens annonserings-ID, alder og kjønn, i tillegg til at vedkommende er Grindr-bruker, med tredjeparter for markedsføringsformål. Grindr benyttet samtykke som rettslig grunnlaget for delingen. Datatilsynet understreker også at samtykke er det eneste rettslige grunnlaget som kan benyttes for slik deling av disse personopplysningene.

GDPR artikkel 4 (11) og artikkel 7 fremsetter strenge krav for at et samtykke skal være gyldig. Samtykket skal blant annet være frivillig, spesifikt, informert og utvetydig. Dersom den registrertes samtykke gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold, skal anmodningen om samtykke fremlegges på en måte som gjør at det tydelig kan skilles fra andre forhold, i en forståelig og lett tilgjengelig form, samt på et klart og enkelt språk. Det skal i tillegg være mulig å trekke tilbake samtykket på en like enkel måte som det ble gitt.

Datatilsynet konkluderte med at Grindr ikke hadde innhentet samtykke i tråd med kravene i GDPR, blant annet fordi:

• Samtykket ble innhentet som et generelt samtykke til personvernerklæringen i sin helhet, og ikke som et separat samtykke for deling til tredjeparter for markedsføringsformål. Dette medførte at brukerne ikke fikk tilstrekkelig klar og tydelig informasjon om overføringen. Brukerne hadde heller ikke mulighet til å velge hvilke ulike behandlinger de ville samtykke til eller ikke. I tillegg kunne ikke Grindr påvise at brukerne utvetydig hadde samtykket til overføring av personopplysningene til tredjepersoner for markedsføringsformål.
• Samtykke til deling av personopplysningene var en forutsetning for å få tilgang til appen og derfor ikke gitt "frivillig". Det var ikke tilstrekkelig at brukerne kunne be Grindr om å slutte å dele personopplysninger i ettertid, eller at brukerne kunne bruke betalingsversjonen dersom de ikke ville samtykke til at personopplysningene ble delt.

• Det var for vanskelig å trekke tilbake samtykket sammenliknet med hvor enkelt det var å gi det. Brukerne samtykket til overføringen av personopplysningene med to klikk. For å trekke tilbake samtykket måtte brukerne imidlertid lese den lange personvernerklæringen og følge den omfattende fremgangsmåten som var angitt der.

Datatilsynet konkluderte i tillegg med at opplysninger om at man er en Grindr-bruker er en særlig kategori av personopplysninger fordi det indikerer at man tilhører en seksuell minoritet. Opplysninger om noens seksuelle legning har større beskyttelse etter GDPR artikkel 9. Da samtykket gitt av brukerne ikke var gyldig konkluderte Datatilsynet med at Grindr heller ikke hadde lovlig adgang til å dele disse opplysningene i henhold til GDPR artikkel 9.

På denne bakgrunn vedtok Datatilsynet å ilegge Grindr et overtredelsesgebyr på 65 millioner kroner. Dette er det hittil høyeste overtredelsesgebyr Datatilsynet har ilagt en virksomhet. Størrelsen på overtredelsesgebyret er begrunnet i at Datatilsynet anser bruddene for grove, særlig med tanke på antall registrerte som ble rammet og at særlige kategorier av personopplysninger deles, og Grindrs økonomi og størrelse.

Overtredelsesgebyret er likevel satt ned fra 100 millioner kronene som Datatilsynet først varslet. Dette skyldtes blant annet informasjon fra Grindr om selskapets størrelse og økonomi, og formildende tiltak Grindr har iverksatt etter overtredelsen.