Norweski organ nadzorczy właściwy do spraw ochrony danych osobowych (Datatilsynet) poinformował administratora aplikacji społecznościowej Grindr o zamiarze nałożenia na niego kary za naruszenie przepisów RODO. Wskazana kwota robi wrażenie – aż 100 000 000 koron norweskich (prawie 44 000 000 złotych). Regulator stwierdził, że dane osobowe użytkowników zostały udostępnione wielu podmiotom trzecim bez podstawy prawnej. Decyzja w tej sprawie nie jest ostateczna. Organ nadzorczy wyznaczył bowiem administratorowi dodatkowy termin na odniesienie się do przedstawionych zarzutów, po czym wyda ostateczne rozstrzygnięcie.
Warto przypomnieć, że aplikacja Grindr – która adresowana jest do osób homoseksualnych – była już wcześniej przedmiotem zainteresowania innych podmiotów w Norwegii. Jednym z nich była Rada Konsumentów (Forbrukarrådet) (norweski organ administracji publicznej, zajmujący się ochroną praw konsumentów w Norwegii). To właśnie ten organ w zeszłym roku zainicjował swoją skargą postępowanie wobec Grind.
Brak ważnych zgód
Norweski organ nadzorczy ustalił w toku postępowania kontrolnego, że użytkownicy Grindr’a – w celu korzystania z aplikacji – byli zobowiązani zaakceptować w całości oświadczenie dotyczące przetwarzania ich danych osobowych. Podczas korzystania z aplikacji nie byli oni przy tym odrębnie pytani, czy wyrażają zgodę na udostępnienie ich danych osobowych na rzecz podmiotów trzecich, w tym w szczególności w celach marketingowych. Dodatkowo, osoby korzystające z Grindr’a nie otrzymywały wystarczająco jasnych i pełnych informacji dotyczących tej kwestii. Takie działanie – w ocenie regulatora – było sprzeczne z przepisami RODO. Wskazał on, że użytkownicy zostali pozbawieni rzeczywistego prawa do dysponowania swoimi danymi osobowymi, co w efekcie prowadzi do konkluzji, że zgody pozyskane przez administratora należy uznać za nieważne.
Zdaniem regulatora, modele biznesowe, które zakładają de facto wymuszenie od użytkownika wyrażenia zgody na określone działania, bez sprecyzowania o jakie działania w rzeczywistości chodzi, są niezgodne z prawem. Co do zasady, jakakolwiek forma śledzenia w celach marketingowych witryn internetowych, czy też korzystania z określonych usług lub urządzeń, wymaga uzyskania wyraźnej zgody. Dotyczy to – jak podkreślił organ nadzorczy – w szczególności sytuacji, gdy za pośrednictwem aplikacji mobilnych, udostępniane są dane osobowe użytkowników dotyczące ich orientacji seksualnej.
Co ciekawe, organ nadzorczy podkreślił, że sam fakt bycia użytkownikiem Grindr’a może zostać zakwalifikowany, jako dana osobowa szczególnej kategorii (tzw. dana wrażliwa). Wskazuje on bowiem na orientację seksualną określonej osoby, co – w świetle przepisów o ochronie danych osobowych – powinno pozostawać pod szczególną ochroną prawną. Regulator zaznaczył przy tym, że jest świadomy faktu, że wiele osób – ze względu na charakter przedmiotowej aplikacji – nie udostępnia za jej pośrednictwem swojego prawdziwego nazwiska, czy też fotografii, w celu zachowania pełnej dyskrecji. Ta okoliczność – w ocenie norweskiego organu nadzorczego – nie wpływa jednak na fakt, że dane osobowe umożliwiające zidentyfikowanie konkretnych osób zostały udostępnione podmiotom trzecim, bez podstawy prawnej.
Być może będzie to najwyższa kara norweskiego organu nadzorczego
Norweski regulator podkreślił, że kara za naruszenie ochrony danych osobowych musi być skuteczna, proporcjonalna oraz mieć walor odstraszający. W przedmiotowej sprawie, organ nadzorczy zdecydował się jednak wstępnie ostrzec administratora aplikacji Grindr o zamiarze nałożenia na niego bardzo wysokiej kary pieniężnej, za stwierdzone naruszenia przepisów o ochronie danych osobowych, pomimo że z ustaleń kontrolnych wynika, że są one bardzo poważne. Należy bowiem zwrócić uwagę, że aktualnie aplikacja Grindr ma około 13 700 000 aktywnych użytkowników, z czego kilka tysięcy w samej Norwegii. Biorąc pod uwagę, że ich dane osobowe były wielokrotnie udostępniane w celach marketingowych bliżej nieokreślonej liczbie podmiotów trzecich, można pokusić się o stwierdzenie, że jest to bardzo doniosłe naruszenie przepisów RODO. Jak podkreślił norweski organ nadzorczy, najważniejsze w tej chwili jest, aby administrator usunął stwierdzone uchybienia.
Regulator oszacował, że aplikacja Grindr generuje roczne światowe obroty na poziomie 100 000 000 dolarów (około 370 000 000 złotych). Oznacza to, że planowana kara oscylować będzie w okolicy 10% jej obrotów. Może to być najwyższa kara pieniężna nałożona dotychczas przez norweski organ nadzorczy, na podstawie przepisów RODO.
Ostateczna decyzja po 15 lutego br.
Administrator Grindr’a otrzymał dodatkowy – ostateczny – termin do zgłoszenia uwag do przedstawionych zarzutów, który upływa 15 lutego br. W ocenie regulatora, umożliwienie właścicielowi aplikacji ustosunkowania się do wykazanych naruszeń, umożliwi mu wydanie ostatecznej decyzji nakładającej karę w odpowiedniej wysokości.
Warto również zauważyć, że skarga wyżej wspomnianej Rady Konsumentów dotyczyła także działalności pięciu innych powiązanych firm, tj. MoPub (własność Twitter Inc.) Xandr Inc. (dawniej AppNexus Inc.), OpenX Software Ltd., AdColony Inc. i Smaato Inc. Norweski organ nadzorczy poinformował, że postępowania co do tych podmiotów są wciąż w toku. Być może spodziewać się możemy tym samym kolejnych wysokich kar w najbliższym okresie.
Źródło:
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2021/varsel-om-overtredelsesgebyr/
