Denne uken foregår hovedforhandlingene i den alminnelige tvistesaken mellom sjekkeappen Grindr og Personvernnemda i Oslo Tingrett.
Sakens kjerne omhandler et overtredelsesgebyr på 65 millioner som nemda ila sjekkeappen for brudd på personvernreglene (GDPR-lovene) i fjor høst.
Grindr ble ilagt gebyret for å ha «delt brukernes personopplysninger med ulike annonsepartnere uten gyldig samtykke fra dem opplysningene gjelder.
Annonsepartnerne har igjen delt opplysningene videre med andre partnere og annonsører», kommer det frem i nemdas sluttinnlegg.
Det er Grindr, som er uenig i å ha begått brudd, som har klaget nemda for retten for å ha fattet «ugyldig» vedtak.
Deling av bruker-opplysninger
Overtredelsesgebyret ble først kjent i et vedtak fra Datatilsynet tilbake i 2021, som videre ble klaget inn til Personvernnemda som fattet samme konklusjon.
Opplysningene som ble utlevert var GPS-lokasjon, IP-adresse, mobiltelefonens annonserings-ID, alder og kjønn – i tillegg til at vedkommende var Grindr-bruker (et sentralt punkt i saken). Delingen hadde skjedd i perioden juli 2018 til april 2020.
Grindr er kjent for å være en dating-app som markedsførers spesifikt for homofile, bifile og transeksuelle.
Sentalt i saken er derfor at Personvernnemda mener Grindr – ved å dele opplysninger om hvem som er Grindr-bruker – også deler opplysninger om noens seksuelle orientering, som er spesielt beskyttet under personvernlovene (se faktaboks).
«Selv om opplysningen ikke avslører brukerens konkrete legning, sier den noe om brukerens seksuelle preferanser og at vedkommende har en annen seksuell orientering enn heterofil», argumenterer nemda.
Nemda mener altså at Grindr har utlevert særlige kategorier av personopplysninger ulovlig.
Retten må dermed ta stilling til om brukerne faktisk ga frivillig, informerte og spesifikke samtykker til den nevnte delingen i tråd med personvernreglene.
I tillegg må det tas stilling til om Grindr har delt opplysninger om brukernes «seksuelle forhold eller orientering». Dersom det er tilfellet må retten videre vurdere om brukerne ga «uttrykkelig samtykke» til deling av disse opplysningene, ifølge nemda.
Samtykke-spørsmål
På spørsmålet om Grindr har hentet tilstrekkelig og gyldig samtykke mener sjekkeappen at samtykkemekanismene som ble brukt i perioden oppfylte GDPR-kravene om å være en «frivillig, spesifikk, informert og utvetydig viljesytring».
Det argumenters for at brukeren måtte gjennom flere valg der man fikk spørsmålet «I accept the Terms of Service» med alternativene «cancel» og «accept», samt «I accept the Privacy Policy» med alternativene «accept» og «cancel».
Dating-appen mener også brukeren kunne velge bort den atferdsbaserte markedsføringen ved å gjøre endringer i mobilens operativsystem eller kjøpe abonnement.
Nemda på sin side mener naturlig nok noe annet, og at brukerne ikke ble gitt et reelt valg fordi de måtte akseptere personvernerklæringen – og dermed dele opplysninger – for å registrere.
Ifølge dem fikk brukerne heller ikke et valgalternativ om å ikke dele personopplysninger med Grindrs annonsepartnere.
Videre mener de at informasjonen som ble gitt i personvernærklæringen var mangelfull og lite tilgjengelig:
«Erklæringen var dessuten svært omfattende, og det var vanskelig å skille ut opplysningene som gjaldt deling av personopplysninger fra all annen generell informasjon. Det ble også brukt tekniske og vage begreper, som det er vanskelig for en alminnelig bruker å forstå. Det ble heller ikke oppgitt hvem eller hvor mange annonsepartnere personopplysningene ble delt med».
Nemda avviser også argumentet om at brukeren kunne gjøre endringer i operativsystemet, blant annet fordi opplysningene ble delt mer eller mindre umiddelbart.
«Diskriminerende»
Grindr er heller ikke enig i å ha delt særlige kategorier av personopplysninger med annonsepartnere dvs. «om seksuelle forhold eller seksuell orientering», som blir beskyttet av GDPR-artikkel 9.
De mener på sin side at Personnemdas tolkning er «diskriminerende», fordi de mener det er nok å anta med stor sannsynlighet at en Grindr-bruker ikke er heterofil, mens det ikke er nok å anta at en bruker av sjekkeappen Tinder er heterofil.
De mener videre tolkingen strider med andre forpliktelser i EØS-avtalen fordi den begrenser Grindrs rett til å tilby tjenester og favoriserer tjenester som ikke er assosiert med LGBTQ+-felleskapet.
«Grindr gjør videre gjeldende at Grindr ikke utleverte særlige kategorier av personopplysninger, og at Personvernnemndas tolkningsalternativ er diskriminerende og i strid med Norges EØS-rettslige forpliktelser. Subsidiært gjør Grindr gjeldende at overtredelsesgebyret er uforholdsmessig», står det i sjekke-appens sluttinnlegg.
Nemda kontrer med at:
«Selskapet Grindr har ingen seksuell orientering, og kan dermed heller ikke påberope seg vernet mot forskjellsbehandling på dette grunnlaget, jf. EMK artikkel 8, jf. EMK artikkel 14. Grindr kan følgelig ikke høres med anførselen om at selskapet er diskriminert. Grindr kan heller ikke påberope hensynet til brukerne. Selve formålet med personvernforordningen er nettopp å beskytte brukerne, og ivareta deres grunnleggende rettigheter».
Om hvorvidt overtredelsesgebyret er uforholdsmessig argumenterer de for alvorligheten i overtredelsen, antallet brukere som er berørt og at det de mener var en overtredelse pågikk over nesten to år.
Få gratis nyhetsbrev
Abonner på Shifters nyhetsbrev for de siste nyhetene, trendene og analysene.
