Norweski organ nadzorczy właściwy do spraw ochrony danych osobowych (Datatilsynet) surowo ukarał administratora aplikacji społecznościowej Grindr (aplikacja jest adresowana głównie do osób homoseksualnych) w związku ze stwierdzonym naruszeniem przepisów RODO.
Kwota jest znaczna – 65 milionów koron norweskich (ok. 29 milionów złotych), co stanowi aż 10% rocznych obrotów ukaranej spółki. Kwota ta nie odzwierciedla jednak początkowych zamiarów regulatora. Ten, na wczesnym etapie postępowania poinformował bowiem, że kara może sięgnąć nawet 100 000 000 koron norweskich (prawie 44 000 000 złotych).
Warto przypomnieć, że postępowanie w tej sprawie zostało zainicjowane przez Radę Konsumentów (Forbrukarrådet) (norweski organ administracji publicznej, zajmujący się ochroną praw konsumentów w Norwegii). Organ ten złożył skargę na właściciela aplikacji Grindr, zarzucając mu nieprawidłowości w zakresie udostępniania danych osobowych użytkowników podmiotom trzecim.
Zgody były nieważne
Norweski organ nadzorczy ustalił w toku postępowania, że właściciel Grindr’a – w okresie od maja 2018 r. do kwietnia 2020 r. udostępniał dane osobowe użytkowników na rzecz wielu podmiotów trzecich bez podstawy prawnej. Przed rozpoczęciem korzystania z aplikacji, byli oni bowiem zobowiązani do zaakceptowania w całości przedstawionej im polityki prywatności. Użytkownicy nie otrzymywali w toku korzystania z platformy odrębnych pytań o udzielenie zgody na udostępnienie ich danych osobowych na rzecz podmiotów trzecich, w tym w szczególności w celach marketingowych. Nie otrzymywali również wystarczająco jasnych informacji dotyczących tej kwestii. W ocenie regulatora, takie praktyki administratora naruszyły przepisy RODO. Konsekwentnie, w jego ocenie zgody pozyskane wskutek akceptacji zapisów polityki prywatności, należy uznać za nieważne.
Dane szczególnej kategorii
Co ciekawe, norweski organ nadzorczy podkreślił w swoim rozstrzygnięciu, że w jego ocenie sam fakt bycia użytkownikiem Grindr’a może zostać zakwalifikowany jako dana osobowa szczególnej kategorii (tzw. dana wrażliwa). Wskazuje on bowiem na orientację seksualną określonej osoby, co – w świetle przepisów o ochronie danych osobowych – powinno pozostawać pod szczególną ochroną prawną, również w kontekście uzyskania zgody użytkownika na udostępnienie podmiotom trzecim tego typu informacji. Wydaje się, że wskazana okoliczność – ze względu na swój szczególny charakter – mogła mieć duży wpływ na wysokość kary nałożonej na administratora.
Kara musi być odstraszająca
Regulator wskazał w swojej decyzji, że ostateczna wysokość nałożonej kary odzwierciedla wagę stwierdzonego naruszenia. Zauważył on jednocześnie, że modele biznesowe oparte na działaniach o charakterze marketingowym są powszechnie stosowane przez administratorów w tzw. gospodarce cyfrowej. Kary nakładane za naruszenia przepisów RODO w tym zakresie muszą mieć w związku z tym m.in. charakter odstraszający.
Organ nadzorczy wskazał również, że zdecydował się nałożyć karę w mniejszej wysokości niż początkowo rozważał z uwagi na informacje uzyskane od właściciela platformy społecznościowej dotyczące m.in. jego sytuacji finansowej, jak również ze względu na fakt, że w toku postępowania wdrożył on odpowiednie rozwiązania w zakresie pozyskiwania skutecznych zgód użytkowników na przetwarzanie ich danych osobowych w określonych celach.
Administrator miał trzy tygodnie na odwołanie się od decyzji organu nadzorczego. Termin ten przedłużono do 14 lutego 2022 r.
Być może nie koniec problemów
Być może kara nałożona przez norweskiego regulatora nie oznacza końca kłopotów właściciela aplikacji społecznościowej. Warto bowiem zauważyć, że w listopadzie br. austriacka organizacja non-profit NOYB (My Privacy is None of Your Business) złożyła skargę do austriackiego organu właściwego do spraw ochrony danych osobowych (Österreichische Datenschutzbehörde) w związku z innymi jego potencjalnymi naruszeniami przepisów RODO. Skarga została złożona w imieniu jednego z użytkowników platformy, któremu – jak informuje NOYB – odmówiono udzielenia informacji o przetwarzaniu danych osobowych, gdyż zdaniem administratora nie uwierzytelnił swojej tożsamości.
Będziemy przyglądać się również tej sprawie.