Datatilsynet har varslet selskapet som står bak dating-appen Grindr om 100 millioner i overtredelsesgebyr for brudd på GDPR. Grunnlaget for det varslede gebyret er at personopplysninger ble delt videre med samarbeidspartnere uten at brukerne av appen hadde gitt et gyldig samtykke til dette. Disse tredjepartene brukte opplysningene til å tilby annonsører å kjøpe annonser rettet til bestemte målgrupper. Praksisen ble klaget inn for Datatilsynet av Forbrukerrådet i fjor. Rådet rettet i sin rapport “Out of control” sterk kritikk mot adtech industrien.

I denne artikkelen vil vi først peke på noen interessante poenger fra varselet som Datatilsynet har sendt Grindr. Deretter skal vi si litt om hvilken betydning dette potensielt kan få for digital markedsføring.

Hva sier Datatilsynet?

• Deling av personopplysninger med tredjeparter for å levere målrettede annonser blir ikke vurdert å være en nødvendig del av tjenesten som Grindr leverer.
• Det er brudd på kravene til innhenting av samtykke i GDPR å slå et samtykke til deling av personopplysninger med tredjeparter sammen med samtykket til behandling av personopplysninger i tjenesten. Dette skulle vært skilt ut i to separate forespørsler.
• Å be om samtykke til behandling av personopplysninger til flere forskjellige formål samtidig, vil også lett medføre at personen som gir samtykket ikke er tilstrekkelig informert og heller ikke forstår at det er mulig å si nei til behandling som ikke er nødvendig for levering av ytelsen.
• At det fantes en mulighet for brukerne til å “opt out” etter at samtykke var gitt, endrer ikke vurderingen.
• Brukere som ikke ga, eller trakk samtykke til deling av personopplysninger med tredjeparter tilbake, opplevde en ulempe ved at de i så fall måtte betale for å bruke appen. Datatilsynet viser til uttalelser fra EDPB og konkluderer med at dette er i strid med kravet om at det skal være frivillig å gi samtykke.
• Overtredelsesgebyret er satt til 100 millioner kroner ettersom identifiserbare personopplysninger er spredd videre til et ukjent antall selskaper og antall berørte personer er høyt. Det legges også vekt på at sensitive personopplysninger ble delt videre uten samtykke, og at Grindr har oppnådd en økonomisk fortjeneste i forbindelse med praksisen. Selskapet har en årlig omsetning på rundt 100 millioner USD, og det varslede gebyret utgjør litt over 10 % av dette.

Hva betyr dette for digital markedsføring?

• Datatilsynets vurdering av Grindr-saken er et klart signal om at måten mange aktører har innhentet samtykke til deling av personopplysninger med tredjeparter for å drive målrettet annonsering, er problematisk sett opp mot kravene som følger av GDPR. En slik framgangsmåte hvor samtykke til flere former for behandling innhentes samlet, og hvor man ikke får klart fram valgmulighetene som den aktuelle personen har, er også noe EU-domstolen har satt foten ned for i sak C-61/19 (Orange Romania).
• Det er ikke mulig å basere deling av personopplysninger for målrettet annonsering på avtale. Legitim interesse som behandlingsgrunnlag diskuteres heller ikke i varselet, ettersom Grindr har lagt til grunn at de har basert seg på samtykke. Dette spørsmålet vil imidlertid fort kunne komme opp i andre saker som er til behandling. 
• Konsepter hvor brukere opplever en ulempe i form av høyere pris e.l. dersom de ikke samtykker til å dele mer personopplysninger enn det som er nødvendig for levering av ytelsen, vil kunne bli vurdert å være i strid med GDPR. Datatilsynet går forholdsvis langt i å konkludere med at dette er i strid med prinsippet om at et samtykke skal være frivillig. Ettersom samtykkekravet til elektronisk markedsføring i markedsføringsloven § 15 er det samme som etter GDPR, har vurderingene til Datatilsynet også betydning for innhenting av samtykke i disse tilfellene. Akkurat dette spørsmålet angår mange næringsdrivende, og det er nok grunn til å tro at siste ord i denne diskusjonen ikke er sagt.

Grindr har fått frist til 15. februar med å svare på varselet fra Datatilsynet, og så er det bare å følge med på hvordan saken med det første virkelig store gebyret for brudd på GDPR her hjemme utvikler seg. Det er godt mulig at noen av spørsmålene som er reist i denne og andre lignende saker som verserer rundt om i Europa etter hvert vil finne veien til EU-domstolen for en avklaring.