En av de mest omtalte sakene fra Datatilsynet det siste året, er den såkalte Grindr-saken – der en sjekkeapplikasjon like før jul ble ilagt 65 millioner kroner i gebyr. En ny dom fra EU-domstolen får trolig betydning i klagesaken, som nå verserer for Personvernnemnda. Men dommen vil påvirke langt flere, blant annet eiere av en rekke nettjenester og registre.
Etter at Forbrukerrådet sendte inn klage til Datatilsynet i januar 2020, innledet tilsynet en nærmere gjennomgåelse av appen Grindr. Litt enkelt sagt er Grindr et sosialt nettverk for homofile, transpersoner og andre skeive. Datatilsynet avdekket at Grindr utleverte opplysninger om blant annet GPS-lokasjon, IP-adresse, alder og kjønn – og at samtykkene til bruken var ugyldige.
Datatilsynet varslet et rekordgebyr på 100 millioner kroner, men konkluderte senere med at det var tilstrekkelig med 65 millioner for brudd på EUs personvernforordning (GDPR).
De to sentrale punktene for gebyret, er for det første at Grindr formidlet personopplysninger til annonsepartnere uten å ha hjemmel for utleveringen. For det annet manglet unntak fra forbudet mot å bruke «særlige kategorier» av personopplysninger.
Dette er informasjon som tidligere ble kalt sensitive personopplysninger, og knyttet seg her til «seksuelle forhold eller seksuell orientering».
Grindr avviste at det brukes særlige kategorier av personopplysninger. Datatilsynet fastholdt imidlertid oppfatningen, under henvisning til at bruk av applikasjonen er en sterk indikasjon på at brukeren tilhører en seksuell minoritet.
Selv om Grindr naturligvis vil posisjonere seg og trekke frem de mest fordelaktige argumentene, er anførslene absolutt prosedable. Det spanske datatilsynet har tidligere konkludert med at Grindr ikke brøt med GDPR, blant annet fordi det ikke er mulig å trekke sikre slutninger om brukerens seksuelle orientering ut fra bruken.
En ny sak fra EU-domstolen denne måneden kan imidlertid underbygge at det norske Datatilsynet har rett.
I den aktuelle saken var hovedproblemstillingen knyttet til publisering av innholdet i interesseerklæringer på offentlige nettsider, herunder også informasjon om partnere og andre nære relasjoner. En litauisk kommisjon som arbeider mot korrupsjon i offentlig sektor, traff avgjørelse om at en direktør brøt et lovpålegg for å hindre interessekonflikter. Direktøren hadde ikke fremlagt en erklæring om private interesser.
Direktøren klaget på avgjørelsen og hevdet blant annet at publisering av innholdet i erklæringen på kommisjonens nettsted krenket respekten for privatlivet og hans og nærstående partners rett til personvern.
Særlig to spørsmål var interessante:
- Det ene gikk på om det er juridiske hindringer knyttet til å ha en nasjonal bestemmelse som åpner for at personopplysninger om private interesser skal legges ut på internett.
Her var det relevant om enhver leder av en virksomhet som mottar offentlige midler, kan pålegges å offentliggjøre informasjon om blant annet slektninger og partner. EU-domstolen slo fast at GDPR må tolkes slik at det neppe kan innføres nasjonal lovgivning som åpner for elektronisk publisering av erklæringen om private interesser fra enhver leder, i den grad dette omfatter navneopplysninger om for eksempel ektefelle, samboer eller partner.
Særlig relevant her er at praksisen fremsto å være unødvendig inngripende sett opp mot andre alternative tiltak og hva som var formålet med opplysningsbruken.
- Det andre, mer pikante spørsmålet er om en slik utlevering ville omfatte «særlige kategorier» av opplysninger hvis informasjonen indirekte kan røpe personopplysninger om politiske synspunkter, fagforeningsmedlemskap, seksuell legning og annen sensitiv informasjon.
EU-domstolen påpekte at også informasjon som indirekte, gjennom «en intellektuell refleksjon i form av sammenstilling eller deduksjon», avdekker særlige kategorier av personopplysninger, er omfattet av forbudet i GDPR.
Litt enkelt sagt: Hvis en mannlig direktør oppgir en partner som har et typisk mannsnavn, er det nærliggende å anta at begge har en homofil legning.
Umiddelbart synes dette å være overførbart til Grindr-saken, som et tungtveiende argument for at personopplysninger knyttet til denne appen vil røpe informasjon om seksuelle orientering. Og det stopper neppe her: Resonnementet om at man kan utlede sensitiv informasjon gjennom bl.a. sammenstilling vil gjelde en rekke andre digitale tjenester og aktiviteter.
Personvernforskeren Gabriela Zanfir-Fortuna har allerede uttrykt at dommen kan få betydning for nettannonsering, datingapper, stedsdata som knyttes til steder for å dyrke religion eller besøk ved klinikker, eller matvalg for flyturer.
Antageligvis vil det her være relevant hva som er formålet med den aktuelle opplysningsbruken. Det er tenkelig at den samme typen informasjon kan være særlige kategorier av personopplysninger i én kontekst, mens at den ikke vil havne i denne kategorien i andre situasjoner.
Uansett bekrefter saken at hva som utgjør særlige kategorier av personopplysninger, favner bredt. Bruk av slik informasjon krever et unntak fra forbud, og det er svært mange aktører som har oversett dette.
Den siste tiden har datatilsynene i Europa skjerpet sin tilsynsvirksomhet mot AdTech-selskaper, med digital annonsering som er basert på innsamling av en stor mengde informasjon. Min spådom er at slike selskaper vil være de neste som får smake gebyrpisken på grunn av ulovlig bruk av sensitive data.
Hvis en mannlig direktør oppgir en partner som har et typisk mannsnavn, er det nærliggende å anta at begge har en homofil legning
(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.