Datatilsynet tar kvelertak på hyperlønnsom forretningsmodell

Med rekordgebyret på 65 millioner kroner mot LGBTQ-appen Grindr 13. desember i år tar datatilsynet av seg silkehanskene. Datatilsynet mener Grindr har brukt opplysningene til homofile, lesbiske og andre seksuelle minoriteter uten lovlig samtykke. På samme måte som Facebook og andre superlønnsomme selskaper tjener Grindr mye penger på å videreselge personopplysninger til annonsenettverk. Målet er å selge reklame til best mulig segmenterte målgrupper.

Datatilsynet mener samtykkene Grindr benytter er ugyldige. Hovedgrunnene er at brukerne avgir samtykke for alle formål under ett, at samtykket ikke er frivillig, at informasjonen er for dårlig og at opplysningene er sensitive. Det vil si at brukerne burde hatt mulighet til å takke ja til noe, og nei til andre ting. Fordi et samtykke var nødvendig for å få tjenesten levert, var samtykket i realiteten tvunget, mener Datatilsynet. Grindr hadde heller ikke oppgitt navnet på alle annonsenettverkene som mottok opplysningene, eller de selskapene disse igjen videreformidlet opplysningene til.

Fordi en konto i Grindr i praksis viser medlemmets seksuelle legning, anses informasjon om medlemskap i Grindr som sensitive. Dermed skjerpes kravene til samtykke ytterligere. Med forfølgning og diskriminering av seksuelle minoriteter i mange land er det lett å forstå. Men det er i dette samtykkekravet problemet for selskaper finansiert av moderne reklame ligger.

Dilemmaet består i at dersom Grindr og lignende selskaper spør om samtykke, med god informasjon og reell mulighet til å velge, vil de fleste av brukerne takke nei til at sine verdifulle persondata videreselges. Datatilsynet viser til sin personvernundersøkelse der 73% av brukere var negative til at persondata blir brukt til målrettet reklame.

Dersom de samme 73 prosentene hadde nektet Grindr sine samtykker, kunne det få katastrofal virkning. Innhenting av lovlige samtykker ville ta kvelertak på lønnsomheten og knuse aksjekursene. Selskapene selv vil fremheve at også tjenestene ville lidd og kostnadene økt for brukerne.

Avgjørelsen føyer seg inn i en større trend. I november i år sendte Datatilsynet et brev til det Irske datatilsynet med en protest mot liberal tolkning av kravet til lovlig grunnlag overfor Facebook. Brevet argumenterer for at Facebook må innhente samtykker for å drive med adferdsmarkedsføring, og ikke kan basere seg på nødvendighet for å gjennomføre en avtale som grunnlag. Sistnevnte handler om å spesifisere et kontraktsformål som gjør det nødvendig, og kan legitimere behandling av personopplysninger, i tråd med prinsippene om lovlighet og rettferdighet i GDPR. Datatilsynet understreker at bestemmelsen bør tolkes med stor forsiktighet for ikke å undergrave beskyttelsesnivået brukerne trenger. Man kan med andre ord ikke bare avtaleregulere seg ut av kravene i GDPR. Argumentet er at det å drive adferdsmarkedsføring ikke er nødvendig for å kunne levere en kommunikasjonstjeneste som Facebooks. Derfor må Facebook innhente samtykker for adferdsmarkedsføring, ifølge Datatilsynet.

Det er et digert økosystem for målrettet reklame Datatilsynet nå tar ved hornene. Med rette, vil brukere av sosiale medier mene. Med unntak for de mer liberale irene, ser vi den samme trenden hos øvrige EØS-datatilsyn. For eksempel medførte protester fra det europeiske personvernrådet (EDPB) til at det irske datatilsynet økte boten til Facebook-eide Whatsapp fra 50 til 225 millioner euro.

For norske nettsideeiere betyr det skjerpede klimaet at man må få kontroll på samtykkene og dataflyten. Brukernes klager på nettstedene utgjør en stor risiko, og hardkjøret til Maximiliam Schrems' organisasjon Noyb, som var en av de to klagerne mot Grindr, understreker dette. Kanskje vil et av de mest lønnsomme nyttårsforsettene for 2022 være å ta en grundig samtykkesjekk?

Artikkelen er skrevet av advokatene Kristin Haram Førde og Kristian Foss