Det var nok flere enn oss som satte kaffen i halsen da Datatilsynet tirsdag morgen varslet et overtredelsesgebyr på 100 millioner kroner til datingappen Grindr , for brudd på samtykkekravene i personvernforordningen (General Data Protection Regulation – GDPR).
Det er en oppsiktsvekkende økning fra tilsynets tidligere gebyrer, og et utvetydig signal om at hanskene nå er av i tilsynets håndheving av forordningen. Forholdene påpekt av Datatilsynet er neppe unike for Grindr, og det vil ikke være overraskende om vi får se flere tilsvarende kraftige sanksjoner.
Grindr er en mobilapp for nettdating, myntet på homofile, biseksuelle og transpersoner. Appen bruker mobiltelefonens posisjon og brukerens andre opplysninger for å knytte brukeren opp mot andre brukere i nærheten, ikke ulikt andre datingapper. Gratisversjonen av appen finansieres gjennom å vise brukerne annonser. I denne sammenheng deler Grindr brukernes personopplysninger med annonsører.
Ifølge Datatilsynets varsel, manglet Grindr et rettslig grunnlag for å dele brukernes personopplysninger med annonsørene. Nærmere bestemt, oppfylte Grindrs mekanisme for å innhente brukernes samtykke til delingen ikke forordningens krav til samtykke. Forordningen krever blant annet at samtykke må være frivillig, spesifikt, informert, utvetydig og mulig å trekke tilbake like lett som det ble gitt. I tilsynets mening, oppfylte Grindr ingen av disse vilkårene. Det hjalp ikke at Grindr angivelig var blant de flinkeste i bransjen på innsamling av samtykke.
Størrelsen på det varslede gebyret er en øyeåpner i norsk målestokk. Det er 25 ganger høyere enn tilsynets forrige «rekord», satt ved varsel om overtredelsesgebyr på 4 millioner kroner til Statens vegvesen i fjor. Gebyret er også vesentlig i internasjonal sammenheng, selv om det er et stykke unna forordningens øvre ramme på 20 millioner euro (cirka 208 millioner kroner) eller 4 prosent av selskapets årlige globale omsetning (dersom det er høyere). For eksempel har det franske datatilsynet tidligere vedtatt overtredelsesgebyr til Google på cirka 520 millioner kroner.
Bakgrunnen for Datatilsynets varsel om overtredelsesgebyr til Grindr, var en klage fra Forbrukerrådet. I rapporten «Out of control: How consumers are exploited by the online advertising industry», har Forbrukerrådet påpekt flere tilsynelatende alvorlige brudd på personvernet i apper som Grindr. En av rapportens hovedkonklusjoner var at adtech-industriens bruk og deling av personopplysninger er «ute av kontroll», og at det kreves omfattende endringer i bransjen for å oppfylle kravene i personvernforordningen. Dersom dette er riktig, vil det være mange virksomheter som sitter på store datasett som i realiteten er verdiløse, og i tillegg eksponerer virksomheten for en betydelig risiko for overtredelsesgebyr.
Tilsynet har ikke truffet noe endelig vedtak i saken, og situasjonen kan endre seg, men det er altså mye som tyder på at forholdene tilsynet har påpekt ikke er unike for Grindr. Også utenfor adtech-industrien knytter det seg vesentlige utfordringer til bruk av samtykke som grunnlag for bruk og deling av personopplysninger for markedsføring.
På denne bakgrunn, fremstår det varslede gebyret mot Grindr ikke som enestående. Spørsmålet er ikke om det vil komme flere store gebyrer, men hvem som blir neste. Virksomheter som benytter samtykke som behandlingsgrunnlag har med dette fått et kraftig «varsku her» om å gjøre en gjennomgang av samtykkene og rydde opp i eventuelle mangler.