Datadeling uden samtykke: Kæmpebøde til Grindr

af Mikkel Vinther, medstifter af Kritik Digital

Når du og jeg klikker rundt i den digitale verden, sætter vi digitale datafodspor. Altid. Hele tiden. Fodsporene arkiveres hos den virksomhed, der står bag hjemmesiden, om så det er Facebook, Google eller bare en hjemmeside for en hvilken som helst højskole, tøjbutik eller frisør. Alle hjemmesider indsamler datapunkter om sine brugere. Den aflevering af vores brugerdata har vi accepteret når vi giver samtykke til brugerbetingelserne på et socialt medie, eller når vi accepterer cookies på hjemmesider. Men hvor går grænsen for, hvad vores samtykke berettiger databehandleren til at gøre med vores persondata?

Datadeling uden samtykke

I årevis har en ny branche vokset sig stor og stærk. Datakøbmænd – på engelsk kaldet for data brokers– lever i internettets skygger af at indsamle, kategorisere og videresælge dine datafodspor. Men vi opdager dem ikke. Og de færreste af os ved, at hundredevis af hjemmesider følger med i vores færden, når vi bevæger os rundt online. De tilsniger sig nemlig dine persondata ved snedige konstruktioner, så dine datafodspor pludselig kan købes af højstbydende. Jeg kalder det her for datadeling uden samtykke. Men er det lovligt? Det har det været længe – men måske er det ved at forandre sig med hjælp fra GDPR, den europæiske persondataforordning.

Ude af kontrol

Grindr er en datingapp for homoseksuelle. Så alene det at have appen på sin telefon giver en vis indikation af din seksuelle orientering. Nogle steder i verden er det direkte strafbart at være homoseksuel. Og derfor bør Grindr også være meget påpasselig med, hvem de deler data med.

Det norske forbrugerråd udgav i 2020 rapporten Out of Control. Rapporten er en kortlægning af, hvordan 10 forskellige populære apps til Android-telefoner – heriblandt dating-apps som Tinder, Happn og Grindr – indsamler personfølsomme data og deler dem med datakøbmænd. Undersøgelsen pegede på, at Grindr deler lokationsdata og oplysninger om bl.a. brugernes seksuelle orientering med 19 forskellige datakøbmænd. Og bare én af disse datakøbmænd, MoPub, reserverer sig retten til at dele data videre til 170 partnere, og bare én af de partnere, AppNexus, reserverer sig retten til at dele data med 4259 partnere. Out of Control? Det må man nok sige.

Norge vs. Grindr = stor bøde

Out of Control-rapporten fik Forbrukerrådet I Norge til at anmelde sagen til Datatilsynet, og her konkluderer man, at Grindr ikke har styr på sit samtykke til denne datadeling. Under GDPR-reglerne skal fire forudsætninger være opfyldt for, at et samtykke er gyldigt. Det skal være afgivet frivilligt, til et specifikt formål, og på et fuldt informeret og utvetydigt grundlag. Det norske datatilsyn skriver i sin afgørelse, at Grindr har overtrådt alle disse forudsætninger ved ulovligt at dele data med datakøbmændene MoPub, AppNexus, OpenX, AdColony og Smaato. Derfor angiver Datatilsynet nu en bøde på 100 mio. norske kr. (72 mio. danske kr.) til Grindr.

Læs mere om bøden hos netmediet Noyb, der er stiftet af den østrigske tech-aktivist Max Schrems her.