Artikkel

Rekordstor bot fra Datatilsynet

Deloitte Advokatfirma

24. januar i år varslet Datatilsynet en bot til Grindr på 100 millioner kroner. Dette er den høyeste boten som det norske Datatilsynet har varslet siden ikrafttredelsen av GDPR. Kan den varslede boten være et tegn på at Datatilsynet i fremtiden vil gå hardere ut når det gjelder bøtenivå?

Publisert 06.02.2021

Boten varslet til Grindr

Grindr er en lokasjonsbasert datingapp rettet mot homofile og bifile, transpersoner og skeive. Bakgrunnen for den varslede boten er at Datatilsynet mener at Grindr har utlevert personopplysninger til tredjeparter uten et gyldig behandlingsgrunnlag. Grindr skal blant annet ha utlevert GPS-lokasjon, brukerinformasjon, cookies, og opplysninger om at en person er registrert hos Grindr. Mottakerne av dataene er partnere av Grindr som bruker dataene til markedsføringsformål. En av aktørene som har mottatt data fra Grindr, er Twitter Inc., som igjen har 160 partnere.

«Vår foreløpige konklusjon er at Grindr har utlevert personopplysninger om brukerne til en rekke tredjeparter uten rettslig grunnlag, sier Bjørn Erik Thon, direktør i Datatilsynet.»
Samtykke

I varselet foretar Datatilsynet en grundig gjennomgang av kravene til et gyldig samtykke, både basert på lovtekst, retningslinjer, personvernforordningens fortale og litteraturen. Her er noen utvalgte poeng som Datatilsynet bygger sin konkrete vurdering av om Grindr sitt samtykke var gyldig:

  • Ved å bruke personvernerklæringen som samtykketekst, har ikke Grindr innhentet spesifikke samtykker. Når datasubjektet stod overfor spørsmålet om å godta («accept») eller stoppe («cancel») behandlingsaktivitetene beskrevet i personvernerklæringen, er det ikke klart hva man samtykker til eller til hvilke formål brukeren godtar at personopplysninger brukes til.
  • Når brukeren ble vist til å godta «alt», bærer dette mer preg av en avtale enn et samtykke. Samtykket ble ansett å være tvetydig.
  • Dersom brukeren avslo behandlingsaktivitetene beskrevet i personvernerklæringen, ville det medføre negative konsekvenser. Godtok man ikke personvernerklæringen ville man ikke få tilgang på gratisversjonen av Grindr, men bli henvist til betalingsversjonen. Datatilsynet skriver i varselet at de på bakgrunn av dette oppfatter at Grindr har satt som vilkår for bruk av gratisversjonen at brukere samtykker til deling av data for markedsføringsformål. Leveranse av en avtale kan ikke være avhengig av at brukeren samtykker til en tjeneste. Et slikt samtykke vil ikke være gyldig etter GDPR da det ikke oppfyller kravet til frivillighet.
  • Datatilsynet pekte videre på at samtykket var vanskelig å trekke tilbake.
Seksuell orientering

Et annet punkt som Datatilsynet så nærmere på i dette varselet, er terskelen for at en opplysning skal regnes som «seksuell orientering». Seksuell orientering er å regne som en særlig kategori av personopplysninger, og har et særlig vern etter GDPR artikkel 9. Datatilsynet vurderte hvorvidt dette særlige vernet kom til anvendelse for Grindr sin deling av opplysninger om at en person hadde en brukerprofil hos dem. Datatilsynet uttaler at opplysninger ikke nødvendigvis trenger å omtale seksuell orientering direkte («revealing») for å ha et særlig vern etter artikkel 9. Det er nok at opplysningene er knyttet til kategorien seksuell orientering («concerning»). At man ikke direkte behandler opplysninger om at en person er eksempelvis heterofil, homofil eller transperson, betyr ikke at de særlige kravene i artikkel 9 ikke kommer til anvendelse. I vurderingen av om opplysningen om brukerprofil hos Grindr er å anse som «seksuell orientering», anser Datatilsynet det som tilstrekkelig at koblingen mellom person og appen avslører at en person er knyttet til en «seksuell minoritet». Når opplysningstypen er å regne som en særlig kategori, manglet Grindr videre grunnlag for å dele disse dataene med tredjeparter.

For særlig interesserte, er vurderingen av om brukeren hadde gjort opplysningene offentlig tilgjengelig, interessant.

Tiltak for å mane til stor ansvarlighet

Under Datatilsynet og Teknologirådets arrangement 28. januar, på den internasjonale personverndagen, nevnte Bjørn Erik Thon varselet til Grindr. Han uttalte at en bot av denne størrelsesordenen forhåpentligvis vil «mane til stor ansvarlighet», ikke bare hos aktøren som mottar boten, men også hos andre. Det er ikke til å stikke under en stol at virksomheter og offentlige aktører er mer bevisst rundt kravene etter GDPR fra 2018, enn det generelle compliancefokuset var etter personverndirektivet fra 1995. Det forhøyede bøtenivået antas å ha hatt stor innvirkning på virksomheters vilje til å investere i compliancearbeid knyttet til personvern.

Siden GDPR trådte i kraft har Datatilsynet utstedt bøter for i underkant av 9 millioner kroner. Det betyr at den varslede boten til Grindr kraftig overstiger det samlede bøtenivået i Norge for brudd på personopplysningssikkerheten de siste to årene. Hvis vi sammenligner med bøtenivået i Europa, må den varslede boten også sies å være av det større slaget. Blir boten stående, vil den være blant de 10 høyeste bøtene gitt etter GDPR. Den høyeste boten som hittil er gitt, er boten i Frankrike til Google, som var på 500 millioner kroner.

«…den varslede boten til Grindr kraftig overstiger det samlede bøtenivået i Norge for brudd på personopplysningssikkerheten de siste to årene.»

Datatilsynet har varslet at større bøter enn hva som tidligere er sett i Norge er på trappene. Hvorvidt varslede bøter i overgangen 2020/2021 bare er starten på et forhøyet bøtenivå, vil tiden vise. Den varslede boten til Innovasjon Norge kan tyde på det. For øvrig, det er viktig å merke seg at fastsettelsen av bøtenivået vil bero på en rekke momenter. Omsetningen til virksomheten vil blant annet ha betydning. At bøtene i Norge i all hovedsak har vært på et noe lavere nivå enn hva man kanskje antok ved ikrafttredelsen av GDPR, må sees opp mot at flere av bøtene er gitt til små bedrifter eller offentlige aktører. Det er ikke tilfeldig at den høyeste boten som er gitt i Europa er gitt til en stor, global aktør som Google.

Når det gjelder den varslede boten til Grindr, uttaler Datatilsynet at bruddet samlet sett kvalifiserer til den høyeste bøterammen etter GDPR, nemlig 4% av global omsetning eller 20 000 000 EUR. Det er lagt vekt på en rekke skjerpende omstendigheter, blant annet ulovlig deling av særlige kategorier av personopplysninger uten kontroll med videre bruk, og at kommersielle interesser ligger bak den ulovlige behandlingsaktiviteten. Den varslede boten tilsvarer rundt 1 % av global omsetning til selskapet, og er blant de større bøtene som er varslet i Europa.

Avsluttende bemerkninger

Vi har sett flere tilfeller av at virksomheter tar for lett på utforming av samtykketekst. Særlige utfordringer er knyttet til uspesifikke samtykker, hvor brukeren av tjenesten er vist til å samtykke til alt eller ikke motta tjenesten. En annen side av samme sak er, som i Grindr, at man som bruker av en tjeneste blir bedt om å «samtykke» til personvernvernklæringen. Et samtykke til innholdet i personvernerklæringen medfører ikke et samtykke til en behandlingsaktivitet. Vi anbefaler å ikke bruke ordet «samtykke» i forbindelse med personvernerklæringen for å unngå intern eller ekstern forvirring for hva det egentlig betyr når man ønsker å dokumentere at datasubjektet har lest og forstått innholdet i erklæringen.

I den varslede boten til Grindr foretar Datatilsynet en gjennomgang av kravene til et gyldig samtykke. Dersom du jobber med utforming av samtykke, kan det være en idé å ta en titt på varselet for inspirasjon. Vi vil videre anbefale virksomheter å ta en nærmere gjennomgang av samtykkeerklæringer og brukervilkår for å sikre etterlevelse. Krav til gyldig behandlingsgrunnlag og informasjonsplikten er blant de grunnleggende kravene i personvernforordningen, og etterlevelse av disse kravene vil følgelig alltid være av interesse for Datatilsynet. Skulle du ha spørsmål til utforming av samtykke eller andre personvernrelaterte spørsmål, er det bare å ta kontakt for en nærmere prat.
 

Deloitte Advokatfirma

Som et av Norges største forretningsjuridiske advokatfirmaer er Deloitte Advokatfirma en foretrukken rådgiver innen alle områder for forretningsjuss.

Meld deg på vårt nyhetsbrevet
Var denne siden nyttig?