Staten vant i Oslo tingrett- Grindr ilagt overtredelsesgebyr på 65 millioner for brudd på GDPR

Oslo tingrett avsa 1. juli 2024 dom i saken mellom Grindr LLC («Grindr») og Staten ved Personvernnemnda. Retten kom til at Personvernnemndas vedtak om overtredelsesgebyr på 65 millioner kroner mot Grindr var gyldig. Dette er første gang et vedtak om overtredelsesgebyr har blitt behandlet av domstolene i Norge.

Publisert: 3. juli 2024

Bakgrunn

Grindr er et amerikansk selskap som drifter en mobilapplikasjon for nettdating rettet mot LHBTQ+-miljøet. Personvernnemndas vedtak gjaldt Grindrs utlevering av personopplysninger til annonsepartnere i perioden 2018 til 2020. Bakgrunnen for saken var at Datatilsynet mottok tre klager mot Grindr fra Forbrukerrådet i 2020. Klagene gjaldt Grindrs deling av brukeres sensitive personopplysninger om seksuelle forhold eller orientering med tredjeparter for adferdsbasert markedsføring.

Sakens hovedproblemstillinger

Hovedproblemstillingene tingretten tok stilling til var om:

  1. Grindr utleverte særlige kategorier personopplysninger (sensitive opplysninger).
  2. Grindr hadde innhentet gyldig samtykke for utlevering av personopplysninger og eventuelt gyldig samtykke til å utlevere særlige kategorier av personopplysninger.
  3. Utmålingen av overtredelsesgebyret fra Personvernnemda var riktig.

Grindr utleverte særlige kategorier av personopplysninger

Retten kom til at det ikke var tvilsomt at Grindr hadde utlevert personopplysninger til annonsepartnere. Opplysningene som ble delt var blant annet annonse-ID, IP-adresse, geografisk lokasjon, app-ID og selvrapport alder og kjønn.

Det ble deretter vurdert om noen av opplysningene som ble delt innebær utlevering av særlige kategorier av personopplysninger. Det ble fastslått at opplysning om at noen er bruker av Grindr, anses som en opplysning om noens seksuelle forhold eller orientering. At appen i hovedsak brukes til dating, og at Grindr i sin markedsføring retter seg mot LHBTQ+-miljøet, ble vektlagt i vurderingen. Tingretten kom dermed til at det forelå utlevering av særlige kategorier av personopplysninger uten et gyldig rettslig grunnlag, jf. personvernforordningen (GDPR) artikkel 9.

Grindrs samtykkeløsning var ugyldig

Retten slo fast at Grindrs samtykkeløsning ikke oppfylte kravene i GDPR artikkel 4 og 9. Samtykket ble ikke ansett som frivillig, da brukerne ikke hadde et reelt valg om å ikke dele personopplysninger med annonsepartnere. Brukerne måtte godta personvernerklæringen i sin helhet for å bruke appen. Dersom brukeren ikke aksepterte brukervilkår og personvernerklæring var det ikke mulig å fullføre registreringen. Brukerne ble heller ikke spurt særskilt om de ville samtykke til utlevering til tredjeparter for markedsføringsformål.

Grindr anførte at brukerne kunne reservere seg mot deling av personopplysninger ved å endre innstillingene i telefonens operativsystem eller ved å oppgradere til en betalingsversjon av appen. Retten avviste begge deler. Reservasjonsløsningen i operativsystemet var for generell og gjaldt alle apper på telefonen, og betalingsversjonen ble markedsført med fokus på andre fordeler enn at den hindret deling av personopplysninger.

Overtredelsesgebyret stod i rimelig forhold til overtredelsen

Grindr anførte at overtredelsesgebyret på 65 millioner kroner var uforholdsmessig høyt. Retten var ikke enig og la vekt på at Grindr hadde overtrådt personvernforordningen forsettlig. I tillegg ble det vektlagt at overtredelsen gjaldt særlige kategorier av personopplysninger, at et stort antall brukere var berørt, og at overtredelsen hadde pågått i nesten to år. Det ble også påpekt at Grindrs annonsepartnere delte opplysningene videre med flere tusen andre annonsepartnere.

Det finnes ikke tidligere rettspraksis i norsk rett når det gjelder utmålingen av overtredelsesgebyr for brudd på GDPR. Det var derfor interessant å se hvordan retten ville stille seg til utmålingen av overtredelsesgebyrets størrelse, som var utmålt av Datatilsynet og senere opprettholdt av Personvernnemda.

Retten argumenterte med tilbakeholdenhet med å overprøve forvaltningens avgjørelser om utmåling av overtredelsesgebyr, og kom til at det ikke var grunnlag for å sette ned gebyret på 65 millioner.

Konklusjon

Dommen viser at det stilles strenge krav til hvordan virksomheter innhenter og behandler personopplysninger, spesielt når det gjelder særlige kategorier av personopplysninger. Virksomheter må sørge for at samtykker innhentes på en måte som oppfyller kravene i personvernforordningen. Disse kravene finnes det mye europeisk praksis om. Dommen slår for første gang i Norge også fast at tilsynsmyndighetene har adgang til å ilegge svært høye gebyr i alvorlige saker.

Lignende saker

Flere nyheter