Innsikt

Grindr risikerer tidenes GDPR-gebyr. #4 Kan personvernet overleve koronakrisen?

Grindr risikerer tidenes GDPR-gebyr
HISTORISK GEBYR: 14. februar går klagefristen ut for Grindr i saken der selskapet er ilagt det største overtredelsesgebyret Datatilsynet noensinne har vedtatt for brudd på personvernloven i Norge. Foto: Istockphoto.
Lesetid ca. 14 minutter

14. februar går klagefristen ut for Grindr i saken der selskapet er ilagt det største overtredelsesgebyret Datatilsynet noensinne har vedtatt for brudd på personvernloven i Norge. Ifølge vedtaket må den amerikanske nettdatingtjenesten betale 65 millioner kroner for brudd på EUs personvernforordning (GDPR). Europas mange datatilsyn forsvarer EU-borgeres rett til sine egne data. I mangel av klart lovverk avklares nå rettstilstanden gjennom administrative gebyrer. Hvordan Norges største gigantbot løses, kan forme håndhevelsen av GDPR i hele Europa.

Norge er intet unntak når det kommer til bølgen av høye GDPR-gebyrer.

Grindr risikerer tidenes GDPR-gebyr

Om forfatteren

David Fergar er jurist med cand.jur., og har også en mastergrad i journalistikk og en mastergrad i internasjonal bedriftsledelse. Han jobber som lektor ved Sandvika videregående skole og underviser i fagene rettslære og spansk. Han er også frilansjournalist for ulike internasjonale medier, som Cadena SER og Deutsche Welle. Han har jobbet som researcher for TV-produksjoner som «Drap i Holmenkollen» og «Therese-saken» av Monster. Fergar er forfatter av de spanske lærebøkene for videregående «Pasiones 1 y 2». Foto: Sunniva Halvorsen (NTG).

Denne vinteren har vært jaktsesong for Europas datatilsyn. Flere av dem har ilagt skyhøye gebyrer for brudd på den relativt ferske personvernlovgivningen, GDPR, som trådte i kraft i EU i 2018 – en av de strengeste i verden. Flere store teknologiselskaper har blitt ilagt gebyr, blant annet Google og Facebook. Det franske datatilsynet, CNIL, ila Google i januar i år et gebyr på 150 millioner euro og Facebook et gebyr på 60 millioner euro for brudd på retningslinjene for informasjonskapsler (cookies). Kort etter kom det østerrikske datatilsynet til at statistikktjenesten Google Analytics kan være ulovlig fordi personopplysninger sendes til USA. Dette skjer samtidig med at EU utarbeider en ny lovpakke som kan få stor betydning for de samme store tech-aktørene – nemlig EUs nye digitalpakke (Digital Markets Act DMA og Digital Services Act DSA).

Sanksjoner i Norge

Norge er intet unntak når det kommer til bølgen av høye GDPR-gebyrer. I fjor ble Ferde ilagt et gebyr på 5 millioner kroner for å ha behandlet personopplysninger i Kina. Disqus ble ilagt et gebyr på 25 millioner kroner for sporing og deling av personlige data. Trumf fikk et varsel på 5 millioner for en sikkerhetsfeil som gjorde det mulig for kunder å registrere andres bankkontoer på sin egen medlemsprofil og dermed se andres handlehistorikk.

Trumf godtok boten i desember.

– Vi hadde ikke fikset det før fordi bankene ikke hadde det nødvendige systemet. Men vi hadde mange andre beskyttelsestiltak, og vi har brukt mange ressurser på det. For oss er beskyttelse av brukerdata avgjørende. Vi betaler boten, sier Truls Fjeldstad, daglig leder i Trumf til Juridika Innsikt.

I 2021 skrev Datatilsynet ut gebyrer for litt under 80 millioner kroner. Så langt har ingen som er ilagt et endelig gebyr, nektet å betale.

Det er tegn til at bøtene virker. I 2021 skrev Datatilsynet ut gebyrer for litt under 80 millioner kroner. Så langt har ingen som er ilagt et endelig gebyr, nektet å betale. Også offentlige institusjoner har mottatt sanksjoner eller advarsler fra Datatilsynet. Ti prosent av gebyrenes totalsum er ilagt offentlige aktører. Stortinget ble nylig varslet om et overtredelsesgebyr på grunn av mangelfull informasjonssikkerhet. Toten kommune måtte ut med fire millioner for mangelfull personopplysningssikkerhet.

Men det høyeste gebyret er ennå ikke vedtatt av virksomheten – det amerikanske datingapp-selskapet Grindr. Datatilsynet har ilagt selskapet som eier Grindr et gebyr på 65 millioner kroner for manglende overholdelse av samtykkekravene i personvernforordningen. Gebyret er Norges første store mot en internasjonal aktør, selv om det er lite i europeisk sammenheng.

Saken har rullet en stund. I januar 2021 varslet Datatilsynet et gebyr på 100 millioner kroner, men på grunnlag av Grindrs årsresultat i 2020 ble beløpet justert til 65 millioner kroner. Gebyret gjelder ikke alle brudd på GDPR i alle land Grindr opererer i, men kun overtredelser knyttet til norske brukere av appen. Grindrs frist for å påklage vedtaket er 14. februar 2022. Hvis de ikke klager innen fristen, må gebyret betales innen 14. mars.

Det høyeste gebyret er ennå ikke vedtatt av virksomheten – det amerikanske datingapp-selskapet Grindr.

Grindr risikerer tidenes GDPR-gebyr
GEBYR: I januar 2021 varslet Datatilsynet et gebyr på 100 millioner kroner, men på grunnlag av Grindrs årsresultat i 2020 ble beløpet justert til 65 millioner kroner. Foto: Faksimile fra NRK.

Grindr uttalte i sitt tilsvar til Datatilsynets varsel om overtredelsesgebyr (side 5) at GDPR-veiledningen ikke er klar nok, og at boten uansett er uproporsjonal i forhold til både overtredelsen og selskapets økonomi. Både Grindr og deres advokat i Oslo har blitt kontaktet i forbindelse med denne artikkelen for å kommentere saken, men har så langt valgt å si «ingen kommentar».

Kjernen i Grindr-saken er sensitive data på avveie. Grindr tilbyr brukerne kontakt med andre skeive. Tenk deg at du er en 18 år gammel gutt som liker gutter. Du er ikke helt sikker på seksualiteten din og legningen din er fortsatt hemmelig for dine venner og familie. Men for å kunne møte andre homofile gutter, bruker du en app som formidler kontakt mellom homofile – med bilde og brukernavn. Prisen for å få møte andre på appen er å dele informasjon om deg selv til selskapet som har laget den.

De færreste Grindr-brukere ante at Grindr ville dele informasjonen om deres legning til andre selskaper som markedsfører seg mot homofile. Slik deling er årsaken til at Datatilsynet har ilagt selskapet overtredelsesgebyr.

– Grindr er et amerikansk selskap, uten kontor i Europa, men så lenge det tilbyr sine tjenester til borgere i EU/EØS – eller overvåker borgere i EU/EØS-området, kommer GDPR-regelverket til anvendelse, forklarer avdelingsleder i Datatilsynet Jørgen Skorstad om hvorfor tilsynet bøtelegger selskapet.

Boten gjelder ikke alle brudd på GDPR i alle land Grindr opererer i, men kun overtredelser knyttet til norske brukere av appen.

Alt begynte med en klage fra Forbrukerrådet

Saken begynte med en klage fra Forbrukerrådet til Datatilsynet i januar 2020 etter en kampanje for å hindre overtredelser fra teknologibedrifter. I klagen skrev Forbrukerrådet at Grindr uten samtykke hadde solgt plasseringsdata, IP-adresser, alder, kjønn og brukernavn til fem konkrete tredjeparter. Disse dataene er nok til å identifisere personer og deres legning, og de fem tredjepartene kan igjen dele dataene videre. Dermed er sensitive personopplysninger på avveie, og nettopp slike personopplysninger er spesielt beskyttet av personvernforordningen. Lille Norge har her altså gått i strupen på det store foretaket, som i 2020 var verdsatt til seks milliarder kroner og ifølge Datatilsynet omsetter for hundre milliarder kroner.

– Siden Grindr ikke er etablert i EU eller EØS, er vi her utenfor den såkalte one-stop-shop-mekanismen i forordningen. For å si det på en enkel måte kan hvilket som helst datatilsyn i EØS-området da i teorien opprette sak, forklarer Skorstad.

Bakgrunnen for Grindr-saken

Grindrs frist for å påklage vedtaket er 14. februar 2022. Hvis de ikke klager innen fristen, må gebyret betales innen 14. mars.

Så hva er den tekniske og juridiske bakgrunnen for Grindr-saken? Når brukere opprettet kontoer i Grindr, godtok de selskapets personvernpolicy i sin helhet, men uten at Grindr gjorde det tydelig at de dermed samtykket til at Grindr kunne selge data til tredjeparter for reklameformål. Mangelen på klare opplysninger om dette bryter med GDPR. Forordningen har vært i kraft i Norge gjennom personvernloven siden juli 2018. GDPR artikkel 58.2 (1) gir det norske Datatilsynet mulighet til å ilegge administrative sanksjoner. Først i april 2020 justerte Grindr sine retningslinjer, men selskapet sier selv at de baserte sin praksis på brukerens samtykke, og at de heller ikke delte data om seksuell legning. Boten gjelder derfor saker fra juli 2018 til april 2020. Datatilsynet har så langt ikke undersøkt om Grindr har operert innenfor GDPR etter at de endret retningslinjene i april 2020.

Grindr risikerer tidenes GDPR-gebyr
STRENG PERSONVERNLOVGIVNING: EUs personvernforordning, GDPR, trådte i kraft i 2018, og er blant de strengeste i verden. Den norske personopplysningsloven gjennomfører GDPR i Norge. Foto: Istockphoto.

Stor bot for alvorlig sak

Datatilsynet vurderte saken som svært alvorlig av to grunner. Den gjelder deling av data om seksuell legning, en type data som er nevnt eksplisitt i forordningen og som nyter ekstra høy beskyttelse. Grindr har ifølge vedtaket ulovlig delt data om hvor brukerne befinner seg, noe som anses som sensitivt og svært personlig. Konkret betyr det at Grindr har brutt GDPR artikkel 6 (1) om behandling av personopplysninger. Det er lovlig å behandle personopplysninger dersom brukeren har samtykket til behandlingen og dersom behandlingen er nødvendig i spesifikke situasjoner. Men for Grindr-brukeren var det ikke klart at dataene ville bli solgt til andre selskaper for reklameformål, og brukeren måtte samtykke til alle betingelsene for å få tilgang til normal drift av appen. Datatilsynet viser også til artikkel 4 (11) i GDPR der det understrekes at et samtykke skal være en frivillig viljesytring («freely given»). Brukeren må ha en reell mulighet til å velge. I appen var det ikke mulig ettersom man ikke kunne opprette en brukerkonto og bruke appen uten at alle klausulene ble akseptert.

Kjernen i Grindr-saken er sensitive data på avveie.

Seksuelle minoriteter i den digitale verden

GDPR artikkel 9 (1) gir spesiell beskyttelse av personopplysninger om seksuelle forhold og seksuell orientering. I denne forbindelse har Grindr svart (side 5) at det å være Grindr-bruker neppe vil føre til fordommer eller diskriminering av den registrerte i den virkelige verden - fordi forholdene ikke er like i den «virkelige verden» og «den digitale verden». Ifølge Grindr kan man bare likestille Grindr og den fysiske verden hvis to Grindr-brukere møtes personlig. Datatilsynet er uenig i denne inndelingen. Forbrukerrådet påsto i sin klage at Grindr også brøt artikkel 5 om databehandling, artikkel 13 om informasjon som må gis til brukeren når personopplysninger innhentes, artikkel 14 om data innhentet av andre enn brukeren, artikkel 24 om årsaken til at dataene ble samlet inn og artikkel 25 om beskyttelsesgarantitiltak for selskapet. Datatilsynet har ikke kommentert dette.

Grindr ba om å få boten redusert

Når boten ble satt ned fra 100 til 65 millioner, var det både på grunn av selskapets økonomi, men også fordi Grindr har forsøkt å bedre situasjonen etter april 2020.

Seksjonssjef i Datatilsynet, Tobias Judin, uttalte på et eget kurs om Grindr-saken på Juristenes Utdanningssenter i september 2021 at gebyret må være «så høyt at det svir, men ikke så høyt at Grindr må nedlegge tjenesten. Vi ønsker at folk skal føle seg trygg på tjenestene».

Når boten ble satt ned fra 100 til 65 millioner, var det både på grunn av selskapets økonomi, men også fordi Grindr har forsøkt å bedre situasjonen etter april 2020. Størrelsen på datatilsynenes gebyr etter GDPR skal avgjøres ut fra flere hensyn, inkludert virksomhetens inntekt.

GDPR artikkel 83 (5) fastsetter et tak for overtredelsesgebyrer på maksimalt 20 millioner euro eller opptil fire prosent av selskapets samlede globale årsinntekt. Gebyrene skal både legge press på selskapet til å endre seg; men også avskrekke andre fra å begå de samme feilene. Grindrs svar i første runde var at veiledningen fra EDPB (Europa Data Protection Board) ikke var tilstrekkelig, og at boten uansett ikke var proporsjonal.

Grindr risikerer tidenes GDPR-gebyr
FRIST 14. FEBRUAR: Grindr har frist til 14. februar til å påklage vedtaket om overtredelsesgebyr på 65 millioner kroner fra Datatilsynet. Foto: Faksimile fra Datatilsynet.

Grindrs forsvar

I et tidligere tilsvar til Datatilsynet har Grindr uttalt at boten ikke er proporsjonal med overtredelsen, at reglene har vært uklare og at brukerne hadde gitt samtykke til databehandlingen. Grindr innvendte også at COVID-pandemien har rammet dem økonomisk og viser også til at det største gebyret Datatilsynet har gitt så langt, til Bergen kommune, var på 3 millioner kroner. Datatilsynet mente sakene ikke var sammenlignbare blant annet fordi Grindr er et privat selskap. Tilsynet uttalte at «Bergen kommune er et offentlig organ som mottar sine midler fra offentlige skatter» og dermed ikke hadde noen «kommersiell fordel av overtredelsen», i motsetning til «den økonomiske eller finansielle logikken som private selskaper som opererer på det åpne markedet».

Rekordgebyrer, men virker de?

– Selv om dette er det høyeste overtredelsesgebyret som vi har vedtatt i Norge, havner dette gebyret i rene tall litt nedover på listen sammenlignet med bøter fra våre søstertilsyn i Europa. Men det er fremdeles relativt høyt, og vi mener at et gebyr i denne størrelsesordenen er nødvendig og passende, sier Skorstad.

Søstertilsynene er organisert i det europeiske personvernrådet European Data Protection Board (EDPB). I fjor sommer ila for eksempel det luxembourgske datatilsynet Amazon et gebyr på 746 millioner euro for selskapets behandling av personopplysninger – beregnet ut fra selskapets årlige inntekt, som i 2020 skal ha vært 341 milliarder euro. Det er vanskelig å vite om gebyret vil svi for et selskap som Amazon, men vedtaket er påklaget og ennå ikke endelig.

Spørsmålet er hvor effektive gebyrene er for selskaper uten fysisk lokalisering i Europa. Amazon, Google og Facebook har kontorer på europeisk territorium (Amazon i Luxembourg, og Google og Facebook i Irland). Med fysisk tilstedeværelse er det lettere å håndheve bøtene. Men selskaper som Grindr, som kun har en postboks i Europa, kan enklere unngå dyre utbetalinger. Og hva skjer i Grindr-saken? Selskapet har fått utsatt klagefrist til den 14. februar 2022. Spørsmålet om Grindr skal betale boten uten å klage og eventuelt uten å gå til rettsaken må besvares av Grindr. Hvis Grindr velger å klage og Datatilsynet opprettholder vedtaket, skal det vurderes av Personvernnemda. Deretter kan det bli aktuelt med behandling av saken av domstolene, forklarer Malgorzata Agnieszka Cyndecka, førsteamanuensis ved Det juridiske fakultet ved Universitetet i Bergen og spesialist i EU/EØS-regler om statsstøtte, personvern og GDPR. Ifølge advokat og spesialist på IT-juss, Arve Føyen, som deltok i en debatt om Grindr-saken på det nevnte kurser i regi av Juristenes Utdanningssenter i høst, vil Grindr sannsynligvis klage.

Grindr risikerer tidenes GDPR-gebyr
HISTORISK HØYT GEBYR: Grindr har fått et gebyr på 65 millioner kroner av det norske Datatilsynet - det høyeste gebyret Datatilsynet har gitt. Foto: Faksimile fra NRK.

Postboks-problemet

Arve Føyen forklarte hvor vanskelig det er å ilegge selskapene gebyr.

– De har bare én postboks i hvert europeiske land. Grindr kan velge å se ut av vinduet. Det er ingen avtale mellom Norge og USA, og hvis de velger å ikke betale, må et inkassoselskap sende kravet til amerikanske domstoler, som vil tolke kravet etter amerikanske standarder. Det blir ikke lett. Hvis Grindr klarer å unngå denne boten, kan dette være en «snublesten» i den ekstraterritoriale anvendelsen av GDPR. Europa vil ha skutt seg selv i foten.

Skorstad tviler på at Grindr kommer til å nekte å betale.

– Det blir i så fall første gang, men vi vil ikke spekulere i det. Ingenting tyder på at Grindr ikke ønsker å innrette seg etter lovgivningen i de landene der selskapet tilbyr sine tjenester, så det legger vi til grunn at selskapet gjør, sier han.

I prinsippet skal alle tilsynsmyndighetene jobbe for en harmonisert praktisering av regelverket, dvs. GDPR, og slik sett vil praksis fra andre lands myndigheter påvirke oss, og vice versa.

– Jørgen Skorstad, Datatilsynet

Grindr har opplyst om at det irske datatilsynet ga dem seks måneder på å tilpasse seg tiltakene før de ga pålegg, men Datatilsynet svarer at de irske dokumentene ikke påvirker norske myndigheter.

Men påvirker vedtaket fra Datatilsynet andre land?

– I prinsippet skal alle tilsynsmyndighetene jobbe for en harmonisert praktisering av regelverket, dvs. GDPR, og slik sett vil praksis fra andre lands myndigheter påvirke oss, og vice versa, sier Skorstad i Datatilsynet.

Saken er ikke avsluttet ennå. Forbrukerrådet har bedt Datatilsynet om å pålegge Grindr å slette alle ulovlig behandlede data, noe som ennå ikke er gjort og kan føre til flere gebyrer.

Harmonisering av regelverk

Grindr mener EDPB-dokumentet bare er en «veiledning», av liten juridisk verdi. Tobias Judin, seksjonssjef for internasjonal seksjon i Datatilsynet og også den norske representanten ved EDPB, innvender at selv om det er en veiledning, viser den hvordan GDPR skal tolkes i Europa.

– Harmonisering er viktig. Det finnes ikke andre dokumenter for harmonisering enn dette EDPF-dokumentet. Derfor mener vi at plikten kommer fra loven. Domstolene kan bestemme og avgjøre, men per nå er «Legelisten saken» den eneste som har vært i Høyesterett.

Frivillig samarbeid fremstår som eneste alternativet

Grindr risikerer tidenes GDPR-gebyr
LOVKOMMENTAR: På Juridika er både personopplysningsloven og GDPR kommentert.

Cyndecka ved Universitetet i Bergen mener håndhevelsen av GDPR har problematiske sider.

– Grindr er ikke etablert i EU/EØS, men behandlet personopplysninger til fysiske personer som befant seg i EU/EØS. Det er derfor selskapet omfattes av GDPR, jf. artikkel 3(2). GDPRs geografiske virkeområde er derfor blitt utvidet sammenliknet med personverndirektivet av 1995. Utvidelsen var selvsagt ment som et grep som skulle øke beskyttelsen til de som befinner seg i EU/EØS. At selskapene som ikke er etablerte i EU/EØS nå er omfattet av GDPR er likevel én ting, men det å kunne håndheve GDPR overfor slike selskaper er noe helt annet. Ut fra formålet med denne utvidelsen er GDPRs geografiske virkeområde ikke så kontroversiell, men håndhevelsen av GDPR er mildt sagt problematisk. Dette ble selvsagt diskutert da GDPR skulle tre i kraft. På helt generelt grunnlag kunne man spørre om et frivillig samarbeid mellom myndighetene fra et EU/EØS-land og et ikke-EU/EØS-land er det eneste alternativet, sier Cyndecka.

– Det kan også nevnes at i samsvar med GDPR artikkel 27 har Grindr utnevnt en representant som holder til i Irland. I juridisk litteratur påpekes det at spørsmålet om en slik representant kan holdes ansvarlig for den behandlingsansvarliges aktiviteter, ikke er helt klart, fortsetter hun.

Andre datatilsyn kan sette i gang egne tiltak

En del av fremtiden for europeisk databeskyttelsesregulering vil være godkjenning av EUs digitalpakke.

Datatilsynet har presisert at gebyret til Grindr kun gjelder brukere i Norge, slik at det var åpent for andre europeiske datatilsyn å sette i gang egne tiltak. Det har også skjedd. For eksempel mottok det spanske datatilsynet i mars 2020 en klage fra «Rights international Spain», basert på det norske Forbrukerrådets dokument «Out of control». Gjennom det gjensidige bistandssystemet i EDPB forespurte det spanske datatilsynet om andre myndigheter jobbet med denne prosessen. 17 myndigheter hadde ikke gjort noe. Norge jobber med det, men på klausulene før april 2020. Spanske myndigheter bruker de norske argumentene i sitt dokument. De viser også til andre datatilsyn i andre land: Slovenia venter på svar. Frankrike har også to klager, men de har ennå ikke iverksatt noe.

Den spanske myndigheten konkluderte med at basert på endringene som ble gjort 8. april 2020, ser de ikke handlinger i strid med GDPR-regelverket og de henlegger saken.

Fremtiden

En del av fremtiden for europeisk databeskyttelsesregulering vil være godkjenning av EUs digitalpakke (Digital Markets Act DMA og Digital Services Act DSA). Digitalpakken skal legge til rette for et indre marked for data etter EUs datastrategi. EU-kommisjonen ønsker å pålegge selskaper å dele enkelte typer data med myndigheter og andre selskaper. Det kan påvirke amerikanske «big tech»-selskaper som Amazon, Microsoft og Google. Hvem som eier dataene i skytjenester, er også et tema. Digitalpakken er ikke klar ennå, men forventes å være på plass innen 2022. Det vil imidlertid være lang tid igjen før en eventuell implementering.

Les mer om personvern på Juridika:

Bøker:

Innsikt-saker:

Podcast:

Følg oss