Grindr, som er en sjekkeapp for homofile, biseksuelle og transpersoner, har ifølge Datatilsynet delt personopplysninger med markedsføringspartnere i strid med GDPR. For dette ble de i 2021 ilagt et overtredelsesgebyr på hele 65 millioner kroner. Tilsynet omtalte reaksjonen som en stor seier for alle forbrukere.
Det amerikanske selskapet gikk til sak for å få vedtaket kjent ugyldig, og tapte i fjor dette i Oslo tingrett. Nå har Borgarting lagmannsrett avgjort ankesaken, med samme resultat. Lagmannsretten avfeier Grindrs anførsel om at deres metoder var i tråd med bransjepraksis.
«Dersom det i formildende retning skulle legges vekt på dette, ville det kunne svekke overtredelsesgebyrets avskrekkende effekt. Dessuten underbygger det at mange i bransjen bryter loven at det er behov for et gebyr med en avskrekkende effekt», heter det i avgjørelsen.
Ikke ekte samtykke
Det sentrale problemet i saken, er at Grindrs selger persontilpassede annonser,
basert på opplysninger om den konkrete brukeren. Datatilsynets vedtak var basert på at dette krenket GDPRs forbud mot at dele «opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering», uten gyldig samtykke.
Selskapet innførte et nytt samtykkeskjema i 2020, og saken gjelder derfor bare perioden frem til dette. Lagmannsretten legger til grunn at kravet til samtykke ikke er oppfylt utelukkende ved at brukeren kan velge å la være å bruke appen. Retten skriver:
«Som det fremgår foran av beskrivelsen av Grindrs samtykkeløsning, måtte brukeren – etter at personvernerklæringen «GRINDR PRIVACY AND COOKIE POLICY» var presentert – velge mellom de to alternativene «Cancel» og «Accept». Dersom brukeren trykket «Cancel» fikk ikke brukeren opprettet profil i Grindr-appen, selv om brukeren allerede hadde akseptert Grindrs alminnelige brukervilkår. Løsningen innebar derfor at brukerne på dette stadiet måtte velge mellom enten å la være å bruke appen eller å akseptere Grindrs personvernpolicy, herunder at selskapet utleverte særlige kategorier av personopplysninger. Fordi det var umulig å bruke appen uten å samtykke i en deling, forelå det ikke en reell valgfrihet. Dette må gjelde uavhengig av om det fantes alternative apper som brukerne kunne valgt i stedet for Grindr-appen.»
– 65 millioner er i nedre sjikt
GDPR åpner for overtredelsesgebyrer på opptil 20 millioner euro, evt . inntil fire prosent av samlet global årsomsetning. I Frankrike er det ilagt gebyrer på mellom 1,2 og 40 millioner euro. Lagmannsretten mener overtredelsen er grov, og at tilsynets sum på 65 millioner kroner ligger i det nedre sjiktet av hva som er utgangspunktet i slike saker. Noen norsk veiledende praksis eksisterer ikke, ettersom dette er første gang spørsmålet er oppe. Vedtaket blir derfor stående som det er.
– Dette er en seier for personvernet og for retten til kontroll over egne sensitive personopplysninger. Personvernnemnda er fornøyd med å ha vunnet saken også for lagmannsretten, skriver statens prosessfullmektiger Hanne Jahren og Vilde Aggvin hos Regjeringsadvokaten i en epost.
Grindr sier til NRK at de er skuffet over utfallet.
– Selv om vi respekterer avgjørelsen, er vi fortsatt forpliktet til å beskytte brukernes personvern og å operere i full samsvar med personvernlovgivningen, skriver Grindr til NRK.