Personvernnemndas vedtak 27. september 2023 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin, Malin Tønseth)
Saken gjelder klage fra Grindr LLC (nå Grindr Inc.) på Datatilsynets vedtak 13. desember 2021 der tilsynet ila Grindr et overtredelsesgebyr på 65 000 000 kroner for å ha utlevert personopplysninger av særlig kategori, uten rettslig grunnlag, i perioden 20. juli 2018 til 7. april 2020, jf. personvernforordningen artikkel 6 nr. 1 og artikkel 9 nr. 1.
Sakens gang
Den 14. januar 2020 mottok Datatilsynet tre klager mot Grindr som Forbrukerrådet, i samarbeid med European Center for Digital Rights (noyb), sendte inn på vegne av en norsk registrert bruker av Grindr. Den registrerte ønsket selv å være anonym og som vedlegg til klagen fulgte en «fullmakt til representasjon i sak som fremmes med hjemmel i artikkel 80 (1) i den generelle personvernforordningen». Klagene gjaldt Grindrs deling av personopplysninger om sine norske brukere med ulike analyse- og annonseselskaper til bruk for markedsføring. Klagene baserte seg på funn i Forbrukerrådets rapport «Out of control: How consumers are exploited by the online advertising industry», og en teknisk rapport utarbeidet av selskapet Mnemonic på oppdrag fra Forbrukerrådet.
Saken for nemnda gjelder Grindrs utlevering av personopplysninger til sine annonsepartnere, ikke disse annonsepartnernes videre behandling av opplysningene. De ulike annonsepartnerne har derfor heller ikke opptrådt som parter i saken for Datatilsynet.
Datatilsynet ba Grindr om en redegjørelse 24. februar 2020. Grindr redegjorde for sin behandling av personopplysninger 22. mai 2020.
Datatilsynet sendte 24. januar 2021 varsel om at tilsynet vurderte å ilegge Grindr et overtredelsesgebyr på 100 000 000 kroner for å ha delt personopplysninger om sine norske brukere med sine annonsepartnere uten rettslig grunnlag. Kopi av varselet ble sendt Forbrukerrådet.
Grindr ga sine merknader til varselet 8. mars 2021. Forbrukerrådet ga sine merknader til varselet 15. mars 2021.
Datatilsynets ba om en ytterligere redegjørelse fra Grindr 29. april 2021. Grindr ga slik redegjørelse 2. juni 2021. Forbrukerrådet kommenterte Grindrs redegjørelse 6. oktober 2021. Det var ytterligere brevutveksling mellom Datatilsynet og Grindr høsten 2021, med brev fra Datatilsynet 11. oktober 2021 og brev fra Grindr til tilsynet 19. november 2021.
Datatilsynet traff 13. desember 2021 slikt vedtak:
«I medhold av personvernforordningen artikkel 58 nr. 2 bokstav i ilegges Grindr et overtredelsesgebyr på 65 000 000 – sekstifem millioner kroner – for
·å ha utlevert personopplysninger til annonsepartnere uten et gyldig rettslig grunnlag, i strid med personvernforordningen artikkel 6 nr. 1
og
·å ha utlevert særlige kategorier av personopplysninger til annonsepartnere uten å oppfylle noen av unntakene fra forbudet i personvernforordningen artikkel 9 nr. 1»
Datatilsynets vedtak foreligger i norsk og engelsk versjon. Nemnda forholder seg til den norske versjonen.
Etter å ha fått fristutsettelse klaget Grindr rettidig på vedtaket 14. februar 2022. Forbrukerrådet ga sin uttalelse til klagen 24. mars 2022. Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sitt vedtak. Saken ble oversendt Personvernnemnda 6. desember 2022. Både Grindr og Forbrukerrådet ble orientert om saken i brev fra nemnda 8. desember 2022 og fikk anledning til å komme med kommentarer. Grindr har inngitt kommentarer i brev 10. februar og 20. mars 2023. Forbrukerrådet har inngitt kommentarer 3. og 31. mars 2023.
Merknadene fra Grindr og Forbrukerrådet foranlediget en tilleggsuttalelse fra Datatilsynet særlig knyttet til vurderingen av subjektiv skyld hos Grindr. Tilleggsuttalelsen er gitt i brev 8. mars 2023.
Det har under saksforberedelsen i nemnda vært ytterligere korrespondanse både med Datatilsynet, Grindr og Forbrukerrådet for å klarlegge faktum, herunder hvilket faktum Datatilsynet har lagt til grunn i sitt vedtak og om det er uenighet om faktum.
Grindr har i brev 8. august 2023 anmodet om møte- og talerett under nemndas behandling av saken, samt anmodet om at nemndas behandling av saken uansett utsettes inntil EU-domstolen har avgjort sakene C-446/21 og C-21/23. Anmodningen er opprettholdt i brev 15. september 2023. Grindr har vist til forskrift om behandling av personopplysninger § 5 femte ledd, som bestemmer at «Personvernnemnda kan i det enkelte tilfelle bestemme at klager eller andre skal gis møte- og talerett under nemndas behandling av en sak». Ordlyden «i enkelte tilfeller» peker mot at muntlig forhandling er et unntak fra vanlig saksbehandling i Personvernnemnda, som er skriftlig. Etter bestemmelsens ordlyd har Personvernnemnda et helt fritt skjønn ved vurderingen av om unntaksbestemmelsen skal komme til anvendelse. Bestemmelsen bruker ordet «kan», i motsetning til «skal», og det er ikke angitt nærmere kriterier for skjønnsutøvelsen. Nemnda legger derfor til grunn at det er nemndas alminnelige utrednings- og informasjonsplikt som er avgjørende for om muntlig behandling skal gjennomføres, jf. forvaltningsloven § 17.
Saken er behandlet over flere møter; 25. april, 31. mai, 20. juni og 14., 15., og 27. september 2023 og nemnda har mottatt omfattende skriftlige innspill fra alle sakens parter i flere omganger. Nemnda anser saken tilstrekkelig opplyst til å treffe en avgjørelse og har ikke funnet det nødvendig med muntlige forhandlinger.
Når det gjelder spørsmålet om utsettelse av nemndas behandling av saken i påvente av EU- domstolens avgjørelser i sak C-446/21 og sak C-21/23, har Grindr vist til at utfallet, og EU-domstolens avklaringer knyttet til tolkningen av forordningen artikkel 9, kan ha direkte innvirkning på saken her. Personvernnemnda vil komme tilbake til spørsmålet om rekkevidden av artikkel 9 og nøyer seg her med å nevne at nemnda ikke har funnet grunnlag for å utsette saken i påvente av EU-domstolens avgjørelser i de nevnte sakene.
Personvernnemnda hadde følgende sammensetning under sakens behandling: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin og Malin Tønseth. Sekretariatsleder Anette Klem Funderud var også til stede.
Sakens faktum
Grindr Inc. er et amerikansk selskap som driver et lokasjonsbasert sosialt nettverk og en mobilapplikasjon (app) for nettdating rettet mot homofile, bifile, transpersoner og skeive (LHBTQ+). Grindr-appen har som formål å fasilitere deling av informasjon mellom brukere og har omtrent [.…] millioner aktive brukere på verdensbasis.
Appen har en annonsebasert versjon som kan lastes ned og brukes uten at det koster penger (gratisversjonen). Brukerne kan oppgradere til betalte abonnementsversjoner. I tidsperioden for denne saken var det tilbud om to betalingsversjoner, henholdsvis «XTRA» eller «Unlimited», som inkluderer flere funksjoner og er uten annonser.
Saken omhandler Grindrs utlevering av personopplysninger om sine brukere i Norge i perioden fra personvernforordningen trådte i kraft 20. juli 2018 og fram til Grindr endret sin samtykkemekanisme 8. april 2020. Grindr har opplyst at de for kalenderårene 2018, 2019 og 2020 hadde gjennomsnittlig henholdsvis […..….................] aktive månedlige brukere i Norge. De fleste av disse (angitt til ca. [...] %) brukte gratisversjonen av appen og mottok annonser fra tredjeparter.
I den aktuelle perioden samlet Grindr inn personopplysninger fra brukerne og utleverte noen av personopplysningene videre til ulike annonseselskaper som tilbyr personopplysninger til annonsører for bruk i målrettet/atferdsbasert markedsføring. Flere av disse annonseselskapene forbeholdt seg retten til å dele personopplysninger videre med sine partnere. Det framgikk av Grindrs personvernerklæring at selskapet utleverte personopplysninger til annonsepartnere. Én av annonsepartnerne ble navngitt som eksempel, og brukerne fikk mulighet til å følge en link videre til denne annonsepartnerens personvernerklæring. Personopplysningene som ble utlevert til annonseselskapene var:
·Annonseidentifikator (Annonse-ID): En unik identifikator som brukes av annonseringsplattformer for å spore brukerens interaksjoner med annonser
·IP-adresse
·Teknisk informasjon om brukerens enhet og operativsystem, som versjon av operativsystem, enhetsmodell og skjermoppløsning
·Selvrapportert alder
·Selvrapportert kjønn forutsatt at brukeren hadde rapportert enten mann eller kvinne
·Geografisk lokasjon basert på GPS-koordinater
·App-ID som identifiserer opprinnelsen til disse opplysningene fra Grindr
Ved å sammenstille disse opplysningene kunne annonseselskapene følge enkeltbrukeres interaksjon med annonsene, finne ut hvilke annonser en bruker har trykket på, i hvilken grad brukeren har vært innom andre nettsider eller apper med samme annonseselskap, samt vite at vedkommende var registrert bruker av Grindr.
Personopplysningene som ble utlevert til annonseselskapene ble dels brukt av annonseselskapene til annonseformål i Grindrs app, og dels ble de utlevert videre av annonseselskapene til andre virksomheter som annonseselskapene samarbeidet med til bruk på andre plattformer.
I samtykkemekanismen som gjaldt i den aktuelle perioden, ble først brukervilkårene («GRINDR TERMS AND CONDITIONS OF SERVICE») vist i sin helhet. Når brukeren trykket på «Proceed», kom det opp et vindu med teksten «I accept the Terms of Service», og med de klikkbare svaralternativene «Cancel» og «Accept». Deretter ble brukeren presentert for personvernerklæringen («GRINDR PRIVACY AND COOKIE POLICY»). Det er i denne erklæringen de aktuelle formuleringene om utlevering av personopplysninger til annonsepartnere med formål å eksponere bruker for atferdsbasert markedsføring, framkommer. Når brukeren trykket på «Proceed» her, kom det opp et nytt vindu med teksten «I accept the Privacy Policy», og med de klikkbare svaralternativene «Cancel» og «Accept».
Personvernerklæringen ble presentert på det språket brukeren anga på enheten (språkinnstilling). Hvis Grindr ikke tilbød det språket brukeren hadde valgt, mottok brukeren personvernerklæringen på engelsk. Brukere med norsk språkinnstilling fikk personvernerklæringen på engelsk med mindre de valgte et annet fremmedspråk.
Dersom brukeren ikke aksepterte brukervilkår og personvernerklæring, var videre registrering ikke mulig, og brukeren ville ikke kunne bruke appen.
Det var ikke mulig å reservere seg mot utlevering av personopplysninger til annonsepartnere i selve Grindr-appen. Under overskriften «How We Use Your Information» i personvernerklæringen informeres brukeren i kulepunkt 12 («Third Party Advertising Companies») først om hvilke personopplysninger som utleveres til annonsepartnere. Om brukerens mulighet til å velge bort atferdsbasert markedsføring, heter det i samme kulepunktet:
«See the YOUR CHOICES section of this policy for information on your ability to opt-out of interest based advertising.»
Den nærmere framgangsmåten for hvordan brukeren kunne velge bort atferdsbasert markedsføring ble i personvernerklæringen framstilt på denne måten i kulepunkt 3 under overskriften «Your Choices».
«Behavioral Advertising Within The Grindr App. If you are using the Grindr Services on an Apple iOS device, you can opt out of behavioral targeting by going into Settings > Privacy > Advertising on your iOS device, or visiting Apple’s website for more information. To opt out on an Android device, open the “Google Settings,” click on “Ads” and enable “Opt out of interest based ads.”»
I den aktuelle perioden måtte brukere som ønsket å velge bort den atferdsbasere markedsføringen altså gjøre endringer i enhetens operativsystem som ikke bare hadde virkning for Grindr-appen, men som hadde tilsvarende konsekvenser for alle apper som var lastet ned på brukerens enhet. Når det gjaldt utlevering av lokasjonsdata til annonsepartnere, kunne brukeren velge å skjule denne personopplysningen for Grindr ved å endre innstillingene i enhetens operativsystem som bare har konsekvenser for bruken av Grindr. En av appens funksjoner er å finne potensielle partnere innenfor samme geografiske lokasjon. Ved å skru av tilgang til geografisk lokasjon fra operativsystemet mistet dermed Grindr-appen også denne funksjonen.
Personopplysninger om Grindr-brukerne ble utlevert til annonsepartnerne når brukeren trykket «Accept» og fullførte registreringen første gang. Først etter at brukeren hadde fullført registreringen fikk vedkommende en vedvarende mulighet til å oppgradere til en betalt versjon («XTRA» eller «Unlimited»), som var uten tredjepartsreklame og uten deling av personopplysninger til annonseselskapene. Det ble bare opplyst at de betalte versjonene var reklamefrie, og ikke presentert som en reservasjonsrett mot å utlevere personopplysninger til annonsepartnere. Det var ikke mulig å opprette en brukerprofil direkte i betalingsversjonene uten å først gå veien om å opprette en profil i gratisversjonen ved å registrere seg og godta brukervilkårene og personvernerklæringen.
Grindr har opplyst at selskapet startet arbeidet med å få på plass en ny samtykkemekanisme i juni 2019. Den nye samtykkemekanismen innen EØS ble lansert 8. april 2020 og var på plass før Grindr ga sin redegjørelse til tilsynet i mai 2020. Datatilsynet opplyser at den nye samtykkemekanismen ikke er vurdert av tilsynet, og den er derfor ikke en del av denne saken. Datatilsynet har likevel vektlagt endringen i sin utmåling av gebyret.
Kort om Datatilsynets vedtak
Datatilsynet la til grunn at Grindr ikke har noen hovedvirksomhet i EØS, jf. artikkel 4 nr. 16, og at den aktuelle behandlingen av personopplysninger derfor ikke utgjør «grenseoverskridende behandling» i henhold til artikkel 4 nr. 23. Datatilsynet har myndighet til å utføre oppgaver i samsvar med artikkel 55 nr. 1 for å ivareta personvernet til brukere på norsk territorium.
Datatilsynet har for det første konkludert med at Grindr ikke hadde gyldig behandlingsgrunnlag for sin utlevering av personopplysninger i personvernforordningen artikkel 6 nr. 1 bokstav f (samtykke). Grindr oppfylte ikke vilkårene om at samtykket må være en «frivillig», «spesifikk», «informert», «utvetydig» viljesytring, og at det må være «like enkelt å trekke tilbake som å gi», jf. artikkel 4 nr. 11 og artikkel 7.
For det andre har Datatilsynet kommet til at Grindr, ved å dele opplysninger om sine brukere, har utlevert opplysninger av særlig kategori, jf. personvernforordningen artikkel 9 nr. 1: «opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering». Utlevering av informasjon om den registrerte sammen med informasjon om at den registrerte er en Grindr-bruker er tilstrekkelig til at opplysningen faller inn under artikkel 9 nr. 1.
Deling av opplysninger av særlig kategori er forbudt med mindre det foreligger rettslig grunnlag i artikkel 9 nr. 2. Etter Datatilsynets vurdering foreligger det ikke slikt rettslig grunnlag, verken etter artikkel 9 nr. 1 bokstav a (samtykke) eller bokstav e (opplysninger som det er åpenbart at den registrerte har offentliggjort).
Etter å ha konkludert med at Grindr har brutt personvernforordningen går Datatilsynet gjennom de momentene tilsynet anser som relevante for vurderingen av om overtredelsesgebyr skal ilegges etter personvernforordningen artikkel 83 nr. 2 bokstav a til k. Datatilsynet kommer til at både de subjektive og de objektive vilkårene for å ilegge overtredelsesgebyr er oppfylt, og at karakteren, alvorlighetsgraden og varigheten av overtredelsen, samt tilstedeværelsen av flere skjerpende omstendigheter, peker i retning av at et overtredelsesgebyr er formålstjenlig.
Datatilsynet hadde varslet et overtredelsesgebyr på 100 000 000 kroner. I sitt endelige vedtak ble overtredelsesgebyret redusert og satt til 65 000 000 kroner. Tilsynet begrunnet reduksjonen i at Grindrs omsetning var i nedre sjikt av det tilsynet hadde lagt til grunn for varselet, og at Grindrs iverksatte endringer for å utbedre de påpekte manglene i appen ble vektlagt i formildende retning.
Grindrs klage i korte trekk
Grindr deler ikke særlige kategorier av opplysninger
Nedlastning og bruk av appen avslører ingen informasjon om brukerens konkrete seksuelle orientering. Appen representerer det moderne LHBTQ+-fellesskapet som omfatter alle seksuelle orienteringer og kjønnsidentiteter. Appen har ingen krav om at brukere må identifisere seg som LHBTQ+ eller kvalifisere seg som «sexual minority - gay, bi, trans or queer», eller «community of peers». Appen er åpen for brukere med alle seksuelle orienteringer, herunder brukere som er usikre på sin seksuelle orientering.
Datatilsynet argumenterer gjennomgående for en vid tolkning av personvernforordningen artikkel 9 første ledd. En slik tolkning vil imidlertid kun gjelde der de aktuelle opplysningene uttrykkelig identifiserer enkeltpersoner som «sexual minorities» i henhold til Datatilsynets forståelse.
I Ebab-saken fra mars 2017 (VG 6 L 250.17, BreckRS2017, 107622) bekreftet forvaltningsdomstolen i Berlin at enhver indirekte indikasjon knyttet til særlige kategorier av personopplysninger ikke er tilstrekkelig til å begrunne anvendelsen av personvernforordningen artikkel 9 første ledd. Tilsvarende må gjelde her.
Datatilsynets tolkning vil ha store ringvirkninger ettersom enhver applikasjon som retter seg mot det heterofile, LHBTQ+-fellesskapet eller begge, vil behandle data om en fysisk persons seksuelle forhold eller seksuelle orientering uavhengig av formålet med delingen, simpelthen fordi kilden til de delte opplysningene er en tjeneste som retter seg mot individer som har én seksuell orientering.
Det generelle forbudet mot å behandle opplysninger om personers seksuelle forhold eller orientering etter artikkel 9 nr. 1 gjelder kun når behandlingen tjener eller kan tjene et forbudt formål, for eksempel å fastslå en persons seksuelle orientering. Grindr behandler ikke brukernes data for å trekke noen slutninger om deres seksuelle orientering. Grindr verken sporer eller klassifiserer brukere ut fra deres seksuelle orientering. Det understrekes at Grindr heller ikke deler informasjon om seksuell orientering med annonsepartnere.
Datatilsynets antakelser om Grindrbrukeres seksuelle orientering åpner også for at selve tilknytningen til en rekke andre tjenester eller plattformer kan bli definert som særlig kategorier av personopplysninger. All informasjon som deles av mobilapplikasjoner til politisk rettede organisasjoner (som organisasjoner som spesifikt retter seg mot konservative), vil automatisk bli ansett som særlig kategorier av personopplysninger i henhold til artikkel 9, hvis man antar at de politiske synspunktene i organisasjonen gjenspeiles hos brukerne, slik Datatilsynet foreslår. På samme måte vil en applikasjon eller et nettsted rettet mot heterofile brukere være underlagt personvernforordningen artikkel 9 bare fordi man kan utlede seksuell orientering gjennom brukernes bruk av disse tjenestene.
Datatilsynets tilnærming vil skape vidtrekkende og uforholdsmessige forpliktelser for enhver organisasjon som skal ivareta et interessefellesskap.
Grindr har innhentet gyldig samtykke for sin deling av opplysninger
Grindr innhentet gyldig samtykke fra brukere av applikasjonens gratisversjon for behandling av begrensede data for reklameformål i tråd med gjeldende industristandard. Grindr behandlet kun denne informasjonen dersom brukere tillot slik deling i enhetenes operativsystem. Disse brukerne hadde videre samtykket til Grindrs brukervilkår, Grindrs personvernerklæring, og besluttet å ikke kjøpe betalingsversjon av applikasjonen.
Grindrs innhenting av brukersamtykke for deling av data med annonsepartnere i perioden fra 20. juli 2018 til 7. april 2020 må vurderes i lys av daværende norm og personvernpraksis i adtech-miljøet. Datatilsynet har vurdert Grindrs tidligere samtykkepraksis basert på en tolkning av kravene til gyldig samtykke som ikke har støtte i ordlyden i personvernforordningens bestemmelser eller i den eksisterende veiledningen på tidspunktet for den påståtte overtredelsen. På tidspunktet for den påståtte overtredelsen kunne ikke Grindr forutse EU-domstolens avgjørelser, uttalelser fra EUs generaladvokat eller Personvernrådet (EDPB) om tolkningen av samtykkekravene som Datatilsynet viser til.
Grindrs prosedyre for innhenting av brukersamtykke for deling av visse datafelt med annonsepartnere i den aktuelle perioden oppfylte kravet til frivillighet, jf. artikkel 4 nr. 11.
Brukerne blegitt lett tilgjengelig informasjon om deling av visse data for reklameformål.
På det aktuelle tidspunktet var det ingen rettslig forpliktelse eller tolkning fra EU-domstolen som gjorde det påkrevd å innhente separate samtykker gjennom separate opt-in-funksjoner for hvert enkelt formål. Personvernrådets retningslinjer 05/2020 om samtykke er ingen bindende rettskilde og Grindr var ikke forpliktet til å følge disse.
Selv om Personvernrådets retningslinjer anbefaler å be om separate samtykker hvis databehandlingen gjelder flere formål, er dette ikke et absolutt krav. Det representerer ingen overtredelse av forordningen ikke å følge denne anbefalingen. Personvernrådets retningslinjer utelukker ikke, og kan ikke utelukke, at det er mulig å be brukere om samtykke til flere formål samtidig, såfremt brukeren får spesifikk informasjon om hvert formål i forkant av behandlingen.
Grindr gjorde det tydelig for brukerne at de som ikke vil benytte betalingsabonnement, kunne bruke gratisversjonen som støttes av tredjepartsannonser, både ved at det stod «Ads help keep Grindr free» på annonsene, og gjennom personvernerklæringen som forklarte brukernes valgmuligheter når det gjaldt deling av data. Grindr bemerker at appen tilbyr muligheten til å kjøpe betalingsabonnement umiddelbart etter at brukerkonto er opprettet, og før det avgjøres hvilke selvrapporterte datafelt som fylles inn for å fullføre den offentlige profilen.
Brukerens data ble ikke brukt til reklameformål dersom brukeren trakk sitt samtykke. Annonsepartneren ville da kun behandle teknisk informasjon som er nødvendig for å levere kontekstuelle annonser (mobiltype, operativsystem, etc.). Følgelig kunne brukere nekte/tilbaketrekke samtykket uten negative konsekvenser.
Grindr er ikke forpliktet til å tilby sine tjenester gratis.
Kravet om at samtykket må være spesifikt må ses i sammenheng med artikkel 5 nr. 1 bokstav b om formålsbegrensning. I personvernerklæringen under tittelen «Where We Share» og undertittelen «Third Party Advertising Companies» er ordlyden «deliver personalized advertising» klart formulert med et begrenset formål. Grindr har dermed oppgitt spesifikke formål for sine behandlingsaktiviteter.
Loven krever ikke at informasjon om deling av data med annonsepartnere presenteres atskilt fra annen informasjon som den behandlingsansvarlige plikter å gi. Grindr har overholdt de kravene til informasjon som angis i forordningen artikkel 13 og fortalepunkt 42. Personvernerklæringen var nøyaktig, utfyllende, klarspråklig og strukturert med titler og undertitler. Brukerne kunne gjennom erklæringen gjøre seg kjent med identiteten til den behandlingsansvarlige og formålene med behandlingen av personopplysningene, jf. fortalepunkt 42. Personvernerklæringen lå tilgjengelig på internett og gjennom lenke i Google Play og App Store.
Personvernerklæringen ble vist i sin helhet under registreringsprosessen og er skrevet spesifikt og med et klart og tydelig språk om at brukere vil få opp annonser uavhengig av om de har samtykket til deling av data for markedsføringsformål. Mekanismen med dobbelt samtykke, som krevde en klar og bekreftende aktiv handling, gjorde at Grindr kunne registrere brukeres utvetydige samtykke. Brukerne måtte huke av på to bokser plassert på ulike steder på skjermen. Boksene var ikke huket av på forhånd. Det var svært lite sannsynlig at samtykke ble feilregistrert.
Ileggelse av overtredelsesgebyr
Det foreligger ikke rettslig hjemmel for ileggelse av overtredelsesgebyr
Grindr har ikke brutt artikkel 6 nr. 1 eller artikkel 9 og det er ikke rettslig grunnlag for å ilegge overtredelsesgebyr etter artikkel 83 nr. 1.
Subsidiært anføres det at de alminnelige vilkårene for å ilegge overtredelsesgebyr ikke foreligger. Ileggelse av overtredelsesgebyr forutsetter klar og tydelig lovhjemmel, samt konstatering av skyld (uaktsomhet eller forsett) hos en person som handler på vegne av virksomheten som ilegges gebyr. Disse vilkårene er ikke oppfylt.
Etter det grunnleggende rettssikkerhetsprinsippet som gjelder i EØS-retten og i norsk
forvaltningsrett kreves det et klart rettslig grunnlag. Ileggelse av overtredelsesgebyr må dessuten baseres på «objective, non-discriminatory criteria which are known in advance to the undertakings concerned» for å ilegge overtredelsesgebyr, jf. EFTA-domstolen, sak E-9/11 avsnitt 100. Et slikt klart rettslig grunnlag og på forhånd kjente «objective, non-discriminatory criteria» eksisterer ikke i dette tilfellet.
De materielle vilkårene i artikkel 6 nr. 1 og artikkel 9 nr. 1 var i perioden 20. juli 2018 til 7. april 2020 ikke tilstrekkelig klare og tydelige til å gi den rettsikkerheten som kreves i henhold til norske grunnlovfestede og forvaltningsrettslige prinsipper, EØS-retten og EMK, når disse kravene anvendes på Grindrs prosedyre for innhenting av brukersamtykke i den aktuelle perioden. Den betydelige usikkerhet om forståelsen av artikkel 6 og 9 på dette tidspunktet må hensyntas.
Datatilsynet har gitt ny tolkning av reglene tilbakevirkende kraft i strid med forbudet i Grunnloven § 97, samt legalitetsprinsippet i § 113, samt proporsjonalitetsprinsippet slik det eksempelvis framgår av EU-retten og reflekteres i EØS-retten.
Den som har handlet på vegne av foretaket som ilegges et overtredelsesgebyr etter artikkel 83 må ha utvist uaktsomhet eller forsett med hensyn til overtredelsen, jf. HR-2021-797-A. Datatilsynet har ikke dokumentert skyld fra noen spesifikke personer som opptrådte på vegne av Grindr. Det må tas stilling til hvem som på vegne av Grindr har utvist uaktsomhet med hensyn til overtredelsene av artikkel 6 og 9. Tilsynet har heller ikke underbygget forsett eller uaktsomhet ved å peke på en bestemt handling eller årsak til overtredelsen eller som kunne forhindret den påståtte overtredelsen. Datatilsynets forutsetning om at det foreligger «anonymt forsett» bygger på en rettslig argumentasjon som ikke er holdbar.
Brudd på generelle prinsipper for ileggelse av overtredelsesgebyr
Datatilsynets vurderinger og vedtak oppfyller ikke kravene til effektivitet og forholdsmessighet.
Datatilsynet har ikke gitt noen vurdering av om andre korrigerende tiltak ville vært egnet for den påståtte overtredelsen. Det vises særlig til at Grindr på egen hånd allerede hadde implementert OneTrust CMP og endret sin praksis for innhenting av samtykke da Datatilsynet traff sitt vedtak. Datatilsynets vurdering er basert på den tidligere praksisen som ikke lenger er aktuell.
Gebyret er også i strid med det grunnleggende norske og europeiske likhetsprinsippet og forordningens fortalepunkt 11. Flere nasjonale tilsynsmyndigheter ilegger ikke gebyr, men gir kritikk, eventuelt i kombinasjon med pålegg om å sørge for samsvar med artikkel 6 nr. 1 og 9 nr. 1.
Vurderingen av de ulike momentene i artikkel 83
Datatilsynet har ikke i tilstrekkelig grad tatt i betraktning alle relevante faktorer i artikkel 83 nr. 2. Overtredelsesgebyret er ikke virkningsfullt, og står ikke i et rimelig forhold til overtredelsen, jf. artikkel 83 nr.1.
Størrelsen på overtredelsesgebyret er dessuten uforholdsmessig. Relativt sett er størrelsen på gebyret en av de høyeste som er ilagt for overtredelse av personvernforordningen innenfor EØS, jf. framlagte oversikt over vedtatte overtredelsesgebyr i Europa. Overtredelsesgebyret er ikke proporsjonalt med den påståtte overtredelsen, jf. artikkel 83 nr. 1 og avviker fra etablert praksis. Det er ikke hensyntatt at den påståtte overtredelsen skjedde i en begrenset periode og opphørte to år før tilsynet ila gebyr. Det er heller ikke tatt hensyn til Grindrs implementering av nye prosedyrer for innhenting av samtykke, som gir brukeren detaljert kontroll over deling av informasjon fra appen, herunder enkle valg som «Allow all» eller «Reject all» for reklameformål.
Grindr har deretter en gjennomgang av de ulike momentene artikkel 83 gir anvisning på i nr. 2 bokstav a – k.
Personvernnemndas vurdering
Datatilsynet og Personvernnemndas kompetanse
Grindr er et USA-basert selskap og har ingen etablering innen EØS. Personopplysningsloven og personvernforordningen gjelder likevel for behandling av personopplysninger om registrerte brukere som befinner seg i Norge dersom behandlingen er knyttet til:
a. tilbud av varer eller tjenester til slike registrerte i Norge, uavhengig av om det kreves betaling fra den registrerte eller ikke, eller
b. monitorering av deres atferd, i den grad deres atferd finner sted i Norge
jf. personopplysningsloven § 4 andre ledd bokstav a og b.
Det er ingen tvil om at Grindrs utlevering av personopplysninger om sine brukere utgjør en behandling av personopplysninger etter personopplysningsloven og personvernforordningen, og at norsk lov kommer til anvendelse. Datatilsynets kompetanse følger da av personopplysningsloven § 20 og Personvernnemnda er klageorgan, jf. personopplysningsloven § 22.
Sakens parter
Uten at det har noen direkte betydning for denne saken, finner nemnda det hensiktsmessig å si noe om Forbrukerrådets rolle i saken. Datatilsynet har lagt til grunn at Forbrukerrådet opptrer på vegne av en Grindr-bruker som har henvendt seg til Forbrukerrådet, men som selv ikke ønsker å fremme saken. Det er vist til personvernforordningen artikkel 80 som grunnlag for denne representasjonen.
Personvernforordningen artikkel 80 lyder:
1. Den registrerte skal ha rett til å gi et ideelt organ eller en ideell organisasjon eller sammenslutning som er opprettet i samsvar med nasjonal rett i en medlemsstat, som har vedtektsfestede formål som er i allmennhetens interesse, og som er aktiv på området vern av registrertes rettigheter og friheter med hensyn til vern av deres personopplysninger, fullmakt til å klage på vedkommendes vegne, utøve rettighetene nevnt i artikkel 77, 78 og 79 på vedkommendes vegne og utøve retten til å motta erstatning nevnt i artikkel 82 på vedkommendes vegne dersom det er fastsatt i medlemsstatenes nasjonale rett.
2. Medlemsstatene kan fastsette at ethvert organ eller enhver organisasjon eller sammenslutning nevnt i nr. 1 i denne artikkel, uavhengig av en registrerts fullmakt, i nevnte medlemsstat har rett til å klage til tilsynsmyndigheten som har kompetanse i henhold til artikkel 77, og til å utøve rettighetene nevnt i artikkel 78 og 79 dersom den/det anser at den registrertes rettigheter i henhold til denne forordning er blitt krenket som følge av behandlingen".
Forbrukerrådet er ikke en ideell organisasjon, men et forvaltningsorgan som ifølge egen nettside skal «veilede forbrukere og påvirke samfunnet i en forbrukervennlig retning». Forbrukerrådet faller derfor ikke inn under den typen organisasjoner som etter nemndas vurdering kan gis representasjonsrett etter artikkel 80.
Uansett legger nemnda til grunn at artikkel 80 henviser til medlemsstatenes nasjonale rett når det gjelder den registrertes rett til å la seg representere av andre, jf. avslutningsvis «dersom det er fastsatt i medlemsstatenes nasjonale rett». Det er i norsk rett gitt regler om dette i forvaltningsloven når det gjelder forvaltningssaker og i tvisteloven når det gjelder saker for domstolene.
I saker for domstolen følger det av tvisteloven § 1-4, jf. § 1-3 at offentlige organer med oppgave å fremme særskilte interesser kan reise søksmål i eget navn om forhold som det ligger innenfor den offentlige myndighetens formål og naturlige virkeområde å ivareta. Når det gjelder hvem som kan klage en sak inn til Datatilsynet, så er det den registrerte selv. Den registrertes rett til å la seg bistå av en fullmektig er regulert i forvaltningsloven § 12 som i annet ledd første punktum bestemmer:
«Som fullmektig kan brukes enhver myndig person eller en organisasjon som vedkommende er medlem av.»
Forvaltningsloven åpner dermed ikke for at Forbrukerrådet kan opptre som fullmektig på vegne av en registrert. Nemnda legger derfor til grunn at Forbrukerrådet ikke er part i denne saken.
En annen sak er at Forbrukerrådet, som en offentlig myndighet med oppdrag om særlig å ivareta forbrukernes rettigheter, står fritt til å henvende seg til Datatilsynet om saker de mener er viktige og som de mener Datatilsynet bør se nærmere på. Datatilsynet er videre ikke avhengig av å ha en klager eller en representant for en klager for å åpne en tilsynssak mot noen som behandler personopplysninger. Nemnda har, uavhengig av Forbrukerrådets manglende partsstilling, sett det som hensiktsmessig å innhente synspunkter og innspill fra Forbrukerrådet som ledd i arbeidet med å opplyse saken, jf. forvaltningsloven § 17.
Nemnda går etter dette over til å vurdere de materielle spørsmålene i saken. Nemnda vil først vurdere hvorvidt Grindrs utlevering av opplysninger til annonsepartnere innebærer en utlevering av særlig kategorier av opplysninger. Deretter vurderer nemnda om Grindr har gyldig behandlingsgrunnlag for sin utlevering av opplysninger, før spørsmålet om overtredelsesgebyr og størrelsen på dette vurderes.
Utleverer Grindr særlig kategorier av opplysninger, jf. personvernforordningen artikkel 9?
Det er ingen tvil om at Grindrs utlevering av opplysninger, herunder utlevering av App-ID og IP-adresse, representerer utlevering av personopplysninger, jf. artikkel 4 nr. 1. Hvilke opplysninger som utgjør en særlig kategori av opplysninger, og som dermed er underlagt et særlig vern etter personvernforordningen, følger av artikkel 9 nr. 1. Bestemmelsen lyder:
«Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er forbudt.»
I denne saken er spørsmålet om Grindrs utlevering av opplysninger om sine brukere til sine annonsepartnere innebærer en utlevering av «en fysisk persons seksuelle forhold eller seksuelle orientering». Hvilke opplysninger Grindr utleverer er redegjort for ovenfor under «Sakens faktum». Det utleveres ingen opplysninger om seksuelle forhold utover opplysningen om at vedkommende person er en registrert Grindr-bruker.
Spørsmålet for nemnda er om dette representerer en opplysning omfattet av artikkel 9 nr. 1.
Nemnda har kommet til at opplysningen om at en person er en registrert bruker av dating-appen Grindr i seg selv er en opplysning om en «persons seksuelle forhold eller seksuelle orientering», og at Grindrs utlevering av nevnte type opplysninger dermed innebærer en behandling av opplysninger som er omfattet av forbudet i artikkel 9 nr. 1. Nemnda vil begrunne sitt standpunkt nærmere i det følgende.
Nemnda vil først peke på at personvernforordningen har som formål å sikre vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger, jf. artikkel 1 nr. 2. Personopplysninger som omfattes av særlige kategorier av opplysninger i artikkel 9 nr. 1, er gitt et særskilt vern. Det framgår av forordningens fortalepunkt 51 at dette er personopplysninger som av natur er særlig sensitive med hensyn til grunnleggende rettigheter og friheter, og som fortjener et særskilt vern, ettersom sammenhengen de behandles i kan skape betydelige risikoer for de grunnleggende rettigheter og friheter. Det er imidlertid ikke sammenhengen eller formålet med behandlingen som avgjør om opplysningene er av særlig kategori. Det er de utvalgte opplysningstypene i seg selv som avgjør dette.
Nemnda har funnet støtte for denne vurderingen i storkammerdommen fra EU-domstolen i sak OT v Vyriausioji tarnybinės etikos komisija, C- 184/20 fra 1. august 2022. Saken gjaldt et litauisk forvaltningsorgans publisering av erklæringer på nettet knyttet til private interesser for offentlige tjenestemenn. Publiseringen ble gjort som ledd i åpenhetsforpliktelser etter nasjonal lov for bekjempelse av korrupsjon. I lister/erklæringer som ble offentliggjort ble det fjernet en del informasjon av åpenbar/antatt sensitiv karakter. Listene inneholdt likevel fortsatt informasjon om navn på samboer, ektefelle eller partner. Spørsmålet i saken var om offentliggjøring av slike opplysninger, var egnet til indirekte å avsløre seksuell legning mv., og derfor utgjøre en behandling av særlige kategorier av opplysninger.
EU-domstolen la til grunn at begrepet «særlige kategorier av personopplysninger» i artikkel 9 nr. 1 må tolkes vidt og konkluderte med at det er tilstrekkelig for å bli omfattet av begrepet at opplysninger om en fysisk persons seksuelle orientering indirekte kan utledes av informasjonen, se avsnittene 119-128. Domstolen mener at en vid tolkning av bestemmelsen har støtte i formålet med personvernforordningen som er å «sikre et højt niveau for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred», se avsnittene 125 til 126.
I avsnitt 127-128 uttaler EU-domstolen:
«Følgelig kan disse bestemmelser ikke fortolkes således, at behandling af personoplysninger, der indirekte kan afsløre følsomme oplysninger om en fysisk person, er undtaget fra den skærpede beskyttelsesordning, der er fastsat i de nævnte bestemmelser, idet den effektive virkning af denne ordning og den beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, som den tilsigter at sikre, ellers ville blive bragt i fare.
Henset til samtlige ovenfor anførte betragtninger skal det andet spørgsmål besvares med, at artikel 8, stk. 1, i direktiv 95/46 og databeskyttelsesforordningens artikel 9, stk. 1, skal fortolkes således, at offentliggørelse af personoplysninger på webstedet for den offentlige myndighed, der har til opgave at indsamle og kontrollere indholdet af erklæringer om private interesser, som indirekte kan medføre videregivelse af oplysninger om en fysisk persons seksuelle orientering, udgør en behandling af særlige kategorier af personoplysninger i disse bestemmelsers forstand.»
Grindr er et sosialt nettverk og en mobilapplikasjon for nettdating rettet mot homofile, bifile, transpersoner og skeive. Grindr markedsfører seg som verdens største sosiale nettverksapplikasjon for «gay, bi, trans and queer people», og applikasjonen markedsføres som «Grindr – Gay Dating & Chat» på App Store og som «Grindr – Gay chat» på Google Play. Selv om brukere på Grindr har mange ulike seksuelle orienteringer, herunder også heterofil orientering, vil man ved å registrere en profil på Grindr bli assosiert med LHBTQ+-fellesskapet. Selv om den konkrete orienteringen ikke framkommer, sier opplysningen om at du er bruker på Grindr, at du med stor sannsynlighet har en seksuell orientering som er annerledes enn flertallet. Etter nemndas syn er det tilstrekkelig til at opplysningen omfattes av artikkel 9 nr. 1.
Nemnda ser ikke at Ebab-saken, som Grindr har vist til, er relevant for spørsmålet i denne saken. Ebab-saken gjaldt utlevering av personopplysninger om homofilvennlige utleiere som ønsket å leie ut boliger til homofile. Domstolen la til grunn at det ikke var grunnlag for en slutning om at utleierne var homofile selv om de betegnet seg som homofilvennlige. Ved å registrere seg som bruker på et datingnettsted for homofile, bifile, transpersoner og skeive, signaliserer man sterkere tilknytning til et miljø som sier noe om seksuell orientering enn om man betegner seg som homofilvennlig. I og med at faktum var annerledes anses saken ikke relevant, og det er ikke nødvendig å gå nærmere inn på rettskildevekten av denne avgjørelsen.
Nemnda understreker at forbudet i artikkel 9 nr. 1 mot behandling av opplysninger om en «fysisk persons seksuelle forhold eller seksuelle orientering» ikke bare gjelder seksuelle minoriteter, men favner alle seksuelle forhold og orienteringer. Bestemmelsens ordlyd er nøytral og gir ikke holdepunkter for å skille mellom minoritet og majoritet. Nemnda legger etter dette til grunn at en datingside eksplisitt for heterofile derfor også vil falle inn under de samme reglene.
Nemnda finner støtte for sitt standpunkt i EU-domstolens storkammeravgjørelse C- 252/21 av 4. juli 2023 (Meta-saken). Saken gjaldt Meta Platforms Ireland sin innsamling og sammenstilling av opplysninger om brukernes besøk på andre nettsteder og apper, for eksempel datingnettsteder for homofile, samt opplysninger som brukerne selv har inntastet på slike nettsteder og apper. Ett av spørsmålene som EU-domstolen tok stilling til var hvorvidt innsamling og videre sammenstilling av opplysninger som omhandler brukernes besøk og inntasting på nettstedene/appene utgjør behandling av særlige kategorier av opplysninger fordi nettstedene inneholder opplysninger omfattet av artikkel 9 nr. 1. EU-domstolen la til grunn at de aktuelle datingnettstedene, som brukerne hadde besøkt og registrert seg på, inneholdt opplysninger omfattet av artikkel 9 nr. 1.
I avsnitt 73 konkluderer EU-domstolen med at:
«Henset til det ovenstående skal det andet spørgsmål, litra a), besvares med, at databeskyttelsesforordningens artikel 9, stk. 1, skal fortolkes således, at såfremt en bruger af et socialt onlinenetværk besøger websteder eller anvender applikationer i forbindelse med en eller flere af de i denne bestemmelse omhandlede kategorier, og eventuelt indtaster oplysninger heri ved at oprette en profil eller foretage onlinebestillinger, skal den behandling af personoplysninger, som operatøren af dette sociale onlinenetværk foretager, og som består i indsamling af oplysninger fra besøg på disse websteder eller anvendelse af disse applikationer samt de af brugeren indtastede oplysninger gennem grænseflader, cookies eller lignende lagringsteknologier, sammenstilling af samtlige disse oplysninger med brugerens konto på det sociale netværk og operatørens anvendelse af nævnte oplysninger, anses for at udgøre »behandling af særlige kategorier af personoplysninger« som omhandlet i denne bestemmelse, hvilket principielt er forbudt med forbehold for undtagelserne i denne forordnings artikel 9, stk. 2, når denne behandling af oplysninger kan afsløre oplysninger, der er omfattet af en af disse kategorier, uanset om oplysningerne vedrører en bruger af dette netværk eller enhver anden fysisk person.»
Etter nemndas syn er EU-domstolens uttalelser i Meta-saken relevant for spørsmålet i denne saken til tross for at den ikke omhandlet spørsmålet om utlevering av særlige kategorier personopplysninger, men derimot spørsmålet om innsamling og videre sammenstilling av slike opplysninger. Som redegjort for over mener nemnda at personer som registrerer en profil på Grindr vil assosieres med LHBTQ+-fellesskapet og nemnda legger derfor til grunn at opplysninger om bruk av Grindr-appen omfattes av artikkel 9 nr. 1. Når EU-domstolen i Meta-saken konkluderer med at Meta Platforms Ireland sin innsamling og sammenstilling av opplysninger om besøkende på datingnettsteder for homofile utgjør en behandling av særlige kategorier personopplysninger, mener nemnda at også slike nettsteders – i dette tilfellet Grindrs - utlevering av samme type informasjon for lignende sammenstillingsformål utgjør en behandling av opplysninger som er omfattet av personvernforordningen artikkel 9 nr. 1.
Nemnda legger etter dette til grunn at Grindr har utlevert særlige kategorier av opplysninger til sine annonsepartnere. Nemnda deler ikke Grindrs bekymringer for eventuelle negative ringvirkninger av denne konklusjonen idet lovlig behandling av slike opplysninger kan skje ved å sørge for gode og informative prosesser for innhenting av samtykke i tråd med lovens krav.
Har Grindr innhentet gyldig samtykke for sin utlevering av opplysninger?
For at en behandling av personopplysninger skal være lovlig, må den ha et rettslig grunnlag. De rettslige grunnlagene for behandling av personopplysninger framgår av personvernforordningen artikkel 6 nr. 1. Det følger av artikkel 6 nr. 1 bokstav a at samtykke er ett av flere mulige behandlingsgrunnlag.
Legaldefinisjonen av samtykke i artikkel 4 nr. 11 lyder slik:
«… enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende.»
Siden nemnda ovenfor er kommet til at Grindr ved utleveringen av personopplysninger til annonsepartnere har behandlet særlige kategorier av personopplysninger, følger det av artikkel 9 nr. 2 at behandlingen – for å være lovlig – må oppfylle vilkårene i ett av alternativene i artikkel 9 nr. 2. Det følger av artikkel 9 nr. 2 bokstav a at den registrerte må ha gitt et «uttrykkelig» samtykke til behandling av slike opplysninger.
Forordningen forklarer ikke nærmere hva som ligger i kravet om at den registrerte har gitt et «uttrykkelig samtykke». Nemnda legger til grunn at formuleringen «uttrykkelig» ikke innebærer et skjerpet samtykkekrav sammenlignet med kravet i artikkel 6 nr. 1 om at samtykket må være en «utvetydig viljesytring». Det sentrale for begge kravene er at det ikke må være tvil om at det er avgitt et samtykke.
Når det gjelder kravet i artikkel 4 nr. 11 om at viljesytringen må være «utvetydig», gir fortalepunkt 32 en viss veiledning. Samtykket vil være utvetydig dersom det er gitt:
«… f.eks. i form av en skriftlig, herunder elektronisk, eller en muntlig erklæring. Dette kan innebære å krysse av i en boks under et besøk på et nettsted, velge tekniske innstillinger for informasjonssamfunnstjenester eller en annen erklæring eller handling som i denne forbindelse tydelig viser at den registrerte godtar den foreslåtte behandlingen av vedkommendes personopplysninger. Taushet, forhåndsavkryssede bokser eller inaktivitet bør derfor ikke utgjøre et samtykke.»
Det sentrale er at den registrerte har handlet på en måte som tydelig viser at vedkommende godtar behandlingen. Nemnda antar at dette også utgjør kjernen i kravet om «uttrykkelig samtykke» i artikkel 9 nr. 2 bokstav a. En slik tolkning harmonerer også best med den behandlingsansvarliges plikt etter forordningen artikkel 7 nr. 1 til å påvise at det er gitt samtykke.
Personvernrådets retningslinjer om samtykke (Guidelines 05/2020 on consent under Regulation 2016/679) tilsier også at det er selve viljesytringen til den registrerte som er det sentrale i kravet om utvetydighet/uttrykkelighet. I avsnitt 75, som gjelder det nærmere innholdet i kravet om at viljesytringen må være «utvetydig», heter det bl.a. at «…samtykke kræver en erklæring eller klar bekræftelse fra den registrerede, hvilket betyder, at samtykke altid skal gives ved en aktiv handling …», og i avsnitt 77 presiseres det videre at:
«En "klar bekræftelse" indebærer, at den registrerede skal have handlet bevidst for at give samtykke til den pågældende behandling. Der findes yderligere retningslinjer herom i betragtning 32. Samtykke kan indhentes ved skriftlig eller (optaget) mundtlig erklæring, herunder elektronisk.»
Og i avsnitt 93, som gjelder det nærmere innholdet i kravet i artikkel 9 nr. 2 bokstav a om at samtykket må være «uttrykkelig», uttaler Personvernrådet følgende:
«Termen udtrykkeligt betegner den måde, hvorpå den registrerede giver samtykket. Det betyder, at den registrerede skal afgive en udtrykkelig samtykkeerklæring. Det ville være logisk at få samtykket udtrykkeligt bekræftet i en skriftlig erklæring. Når det er hensigtsmæssigt, kan den dataansvarlige sørge for, at den skriftlige erklæring bliver underskrevet af den registrerede, så der fremadrettet ikke hersker nogen tvivl om og ikke er nogen risiko for, at der ikke foreligger noget bevis.» [Kursiv i original]
Nemnda er av den oppfatning at dersom kravet om utvetydighet/uttrykkelighet skal ha en selvstendig betydning, så kan ikke andre mangler ved samtykkemekanisen – om denne er utformet slik at samtykket ikke kan sies å være frivillig, spesifikt og informert – være til hinder for å komme til at selve viljesytringen oppfyller kravet om utvetydighet/uttrykkelighet.
Det er under «Sakens faktum» innledningsvis redegjort for Grindrs samtykkemekanisme i det aktuelle tidsrommet. Tilsynet har i sitt vedtak gitt uttrykk for at formuleringen «I accept the Privacy Policy» ikke nødvendigvis kan forstås som et utvetydig eller uttrykkelig samtykke, men like godt kan forstås som at den registrerte bare vedkjenner at informasjonen er gitt. Etter nemndas syn framstår dette som en nokså anstrengt tolkning av formuleringen, og nemnda ser det slik at formuleringen i kombinasjon med at brukeren har klikket på svaralternativet «Accept», utgjør et uttrykkelig samtykke som oppfyller forordningens krav på dette punktet.
I fortsettelsen av dette vil nemnda for ordens skyld knytte en kommentar til den delen av samtykkemekanismen som går ut på at brukeren ved å gjøre endringer i enhetens operativsystem, både gis mulighet til å velge bort atferdsbasert markedsføring og til å hindre at Grindr får tilgang til lokasjonsdata. Nemnda er av den oppfatning at det er mest nærliggende å inkludere disse sidene ved samtykkemekanismen i vurderingen av om samtykket er gitt frivillig.
Nemnda går etter dette over til å vurdere de øvrige tre kravene som inngår i vurderingen av om det er gitt et gyldig samtykke til utlevering av personopplysninger til annonsepartnere, nemlig om samtykket er frivillig, spesifikt og informert. Som allerede påpekt ovenfor, er det tette bånd og delvis overlapp mellom disse tre kravene. Nemnda er kommet til at samtykkemekanismen til Grindr i den perioden som denne saken gjelder, ikke oppfylte forordningens krav til gyldig samtykke, og vil i det følgende gjøre nærmere rede for sin vurdering av de sentrale manglene ved samtykkemekanismen knyttet til disse tre kravene.
Nemnda legger til grunn at kjernen i kravet om at samtykket skal være frivillig er den personlige autonomien. Samtykkemekanismen må utformes på en slik måte at vedkommende som skal gi sitt samtykke gis reelle valg med tanke på hvordan personopplysningene skal behandles. I fortalepunkt 42 slås det fast at samtykket:
«… skal ikke anses som frivillig dersom den registrerte ikke har en reell valgfrihet, eller ikke er i stand til å nekte å gi eller trekke tilbake et samtykke uten at det er til skade for vedkommende.»
Mye av det samme påpekes også av Personvernrådet i avsnitt 13 i retningslinjene om samtykke:
«Elementet "frit" indebærer, at de registrerede har et reelt valg og kontrol. Generelt fastslås det i databeskyttelsesforordningen, at et samtykke er ugyldigt, hvis ikke den registrerede er i stand til at foretage et reelt valg, hvis den registrerede føler sig tvunget til at give sit samtykke, eller hvis det vil få negative konsekvenser, hvis den registrerede ikke samtykker. …»
Samtykkemekanismen til Grindr, slik den er redegjort for under «Sakens faktum», er etter nemndas vurdering ikke utformet på en slik måte at brukeren fritt kan ta stilling til spørsmålet om personopplysninger skal eller ikke skal utleveres til annonsepartnere.
Samtykkemekanismen innebar at brukere som ønsket å velge bort den atferdsbaserte markedsføringen måtte gjøre endringer i enhetens operativsystem som ikke bare hadde virkning for Grindr-appen, men som hadde tilsvarende konsekvenser for alle apper som var lastet ned på brukerens enhet. En slik innretning av samtykkemekanismen plasserte brukeren i en tvangssituasjon hvor vedkommende enten måtte akseptere at personopplysningene ble utlevert til Grindrs annonsepartnere, eller måtte gjøre endringer i enhetens operativsystem som hadde konsekvenser for alle apper som var lastet ned på enheten. Dette tilsier etter nemndas vurdering at det ikke kan legges til grunn at brukeren frivillig hadde samtykket til utlevering av personopplysninger til annonsepartnere.
Når det derimot gjelder utlevering av lokasjonsdata til annonsepartnere, kunne brukeren velge å skjule denne personopplysningen for Grindr ved å endre innstillingene i enhetens operativsystem som bare hadde konsekvenser for bruken av Grindr. Dersom brukeren valgte å ikke dele lokasjonsdata med Grindr, fikk også appen redusert funksjonalitet. Selv om appen ikke lenger kunne brukes for å komme i kontakt homofile, bifile, transpersoner og skeive som befant seg i nærheten, er det nemndas vurdering at appen fortsatt gjorde det mulig for brukerne å komme i kontakt med andre homofile, bifile, transpersoner og skeive. Det valget som brukeren her ble stilt overfor når det gjaldt utlevering av lokasjonsdata, er etter nemndas syn ikke egnet til å frata disposisjonen preget av frivillighet.
Samtykkemekanismen til Grindr i den aktuelle perioden var utformet slik at det først var etter at registreringen var fullført at den registrerte fikk tilbud om å kjøpe abonnement på en av betalingsversjonene. At brukeren etter at registreringen er fullført, gis muligheten til å kjøpe et abonnement, har slik nemnda vurderer det, ingen innvirkning på spørsmålet om det samtykket som allerede ble gitt i forbindelse med at brukeren aksepterte personvernerklæringen, var frivillig. Nemnda er enig med Grindr i at de ikke har en plikt til å tilby en gratis datingapp, og nemnda anerkjenner at et sentralt trekk ved forretningsmodellen for sosiale medier og applikasjoner er at de registrerte «betaler» for bruken av sosiale medier og applikasjoner ved å akseptere at deres personopplysninger blir brukt kommersielt, for eksempel ved at de utleveres til annonsepartnere. Hadde brukeren før registreringsprosessen var avsluttet blitt gitt valget mellom å bruke gratisversjonen av appen eller å kjøpe en av de to betalingsversjonene av appen, hadde dette trukket i retning av at kravet om frivillighet var oppfylt. Brukeren hadde da hatt et reelt valg om vedkommende ville betale penger for å bruke applikasjonen, eller om vedkommende heller ville «betale» med sine personopplysninger.
Etter nemndas vurdering er det uten betydning for vurderingen av om samtykket er frivillig, om utleveringen av personopplysninger skjer umiddelbart etter at registreringen er fullført, eller om det skjer noe senere. Vurderingen må knytte seg til forholdene slik de var på tidspunktet da registreringen ble fullført. Det er kvaliteten ved viljesytringen på dette tidspunktet som er avgjørende for spørsmålet om det er gitt et gyldig samtykke i forordningens forstand.
Det framgår av fortalepunkt 43 bl.a. at samtykket «antas å ikke være gitt frivillig dersom det ikke er mulig å gi separat samtykke for forskjellige behandlingsaktiviteter». Noe av det samme kommer fram i fortalepunkt 32. Personvernrådet omtaler dette som et krav om granularitet, jf. avsnitt 42-45 i retningslinjene om samtykke. Denne klagesaken gjelder bare spørsmålet om Grindr har innhentet et gyldig samtykke fra brukerne til utlevering av personopplysninger til annonsepartnere. Med en slik tilskjæring av saken, er nemnda av den oppfatning at faktum ikke gir grunnlag for en selvstendig vurdering av dette elementet i kravet om frivillighet.
Nemnda går så over til å vurdere om samtykkemekanismen er utformet slik at samtykket er spesifikt og informert. Et sentralt utgangspunkt for denne vurderingen finnes i artikkel 7 nr. 2, som lyder slik:
«Dersom den registrertes samtykke gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold, skal anmodningen om samtykke framlegges på en måte som gjør at den tydelig kan skilles fra nevnte andre forhold, i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. …»
Denne bestemmelsen må tolkes og anvendes i lys av prinsippet om åpenhet og transparens i artikkel 5 nr. 1 bokstav a, og den registrertes rett til gjennomsiktighet og informasjon i artiklene 12 og 13.
Under overskriften «How We Use Your Information» i personvernerklæringen informeres brukeren bl.a. om hvilke personopplysninger som utleveres til annonsepartnere. Kulepunkt 12 lyder slik:
«Third Party Advertising Companies. We share your hashed Device ID, your device’s advertising identifier, a portion of your Profile Information, Distance Information, and some of your demographic information with our advertising partners. … Note that we do not sell your personal user information to third parties for advertising purposes. Also note that we do not share information about your Tribe, or about your HIV status, with any advertising companies.»
Nemnda er i sterk tvil om denne måten å informere om hvilke personopplysninger som utleveres til annonsepartnere, er tilstrekkelig spesifikk til at samtykket fra brukeren kan anses for å være informert. Noen av ordene er tekniske begreper som for å være forståelige forutsetter en innsikt som det ikke kan forutsettes at den alminnelige bruker har. Andre ord har et nokså uklart innhold. Det gis for eksempel ikke nærmere informasjon om hva slags profilinformasjon som blir utlevert, bare hvilke personopplysninger som ikke blir utlevert.
Nemnda mener videre at det er en mangel ved Grindrs samtykkemekanisme at samtykket til utlevering av personopplysninger til annonsepartnere er inntatt i personvernerklæringen. Denne erklæringen redegjør i detalj for hvordan Grindr behandler personopplysninger, og har til formål å oppfylle den behandlingsansvarliges plikter etter forordningens artikkel 13. En personvernerklæring er ikke et dokument som det i utgangspunktet skal samtykkes til. Det er et dokument av informerende karakter, og skiller seg slik sett fra brukervilkårene, som brukerne må samtykke til.
Begge personvernerklæringene er strukturert med overskrifter etter ulike tema. Personvernerklæringen som gjaldt fram til 31. desember 2019, var strukturert med utgangspunkt i følgende overskrifter:
·What we Collect
·How We Use Your Information
·Where We Share
·Your Choices
·How We Protect Personal Information
·Miscellaneous Information
Personvernerklæringen som gjaldt fra 1. januar 2020 var utbygget med noen flere overskrifter, men denne forskjellen er uten betydning for nemndas vurdering her. En bruker uten kjennskap til selve teksten i personvernerklæringen, vil få det inntrykk at teksten er av informerende karakter. Formuleringene i personvernerklæringen som beskriver hvilke opplysninger som utleveres til annonsepartnere, kan etter nemndas vurdering derfor ikke skilles klart fra annen informasjon som gis den som registrerer seg som bruker.
De aktuelle formuleringene om hvilke opplysninger som utleveres til annonsepartnerne er etter nemndas vurdering heller ikke utformet som en anmodning om et samtykke. At formuleringen er inntatt under overskriften «Your Choices», endrer ikke på dette. Nemnda har for øvrig merket seg at Grindr i personvernerklæringen som gjaldt fra 1. januar 2020, under overskriften «How and Why We Use Your Personal Data», har utarbeidet en tabell som lister opp alle de 25 ulike behandlingsformålene, og som til hvert av formålene angir behandlingens rettslige grunnlag. Behandlingsformål 21 gjelder «Share your Personal Data with our advertising partners», og det sies eksplisitt at det rettslige grunnlaget for denne behandlingen av personopplysninger er samtykke («Consent»). Selv om dette velvillig lest og isolert sett muligens kan tolkes som en anmodning om et samtykke, er nemnda likevel ikke i tvil om at disse formuleringene lest i sin kontekst, ikke kan tolkes på denne måten. Nemnda viser til at tabellen med alle behandlingsformålene er plassert under en overskrift som ikke gir noen indikasjoner om at brukeren her vil finne anmodninger om behandling av personopplysninger som det må samtykkes til. Formuleringene i de to personvernerklæringene oppfyller derfor ikke det kravet som kan utledes fra artikkel 7 nr. 2.
Grindr har også anført at betalingsversjonene av appen var presentert for brukeren på en slik måte at kravet om spesifikt og informert samtykke var oppfylt. Det vises til at brukeren blir informert om at betalingsversjonene er reklamefrie, bl.a. med formuleringer som «No banner ads», «No more ads», No 3rd party ads» og «ZERO third-party ads». Nemnda har ovenfor lagt til grunn at den nærmere utformingen av betalingsversjonene av appen er uten betydning for vurderingen av om samtykket var frivillig, siden den registrerte først fikk tilbud om å kjøpe abonnement på en av disse etter at registreringen var fullført. Det samme gjelder selvsagt for vurderingen av om samtykket var spesifikt og informert; den nærmere utformingen av betalingsversjonene har ingen relevans for denne vurderingen. Nemnda vil likevel kort bemerke at de formuleringene som Grindr viser til, bare på en nokså indirekte måte er egnet til å kommunisere til brukeren at ved å velge å kjøpe et abonnement på en av betalingsversjonene, så vil ikke brukerens personopplysninger bli utlevert til annonsepartnere. Denne informasjonen forutsetter teknisk innsikt som det ikke kan legges til grunn at den alminnelige bruker besitter.
Nemnda har på dette grunnlaget kommet til at Grindrs samtykkemekanisme, i den perioden som denne saken gjelder, var innrettet på en slik måte at brukerens samtykke verken var frivillig, spesifikt eller informert. Selv om nemnda ovenfor er kommet til at samtykket var uttrykkelig, blir nemndas konklusjon likevel at Grindr ikke hadde gyldig samtykke fra de registrerte for utlevering av personopplysninger til annonsepartnere, jf. artikkel 6 nr. 1 og artikkel 9 nr. 2.
Overtredelsesgebyr
Etter personopplysningsloven § 26 kan Datatilsynet ilegge et behandlingsansvarlig overtredelsesgebyr etter personvernforordningen artikkel 83. Det følger videre av artikkel 83 nr. 5 bokstav a at foretak som bryter bestemmelsene i artikkel 6 og artikkel 9 kan ilegges et overtredelsesgebyr på opptil 20 000 000 euro eller inntil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes.
Nemnda har ovenfor konkludert med at Grindr har handlet i strid med artikkel 6 nr. 1 og artikkel 9. De objektive vilkårene for å kunne ilegge overtredelsesgebyr er dermed i utgangspunktet oppfylt.
Forbudet mot tilbakevirkende lovgivning og kravet til klar lovhjemmel for ileggelse av gebyr
Personvernnemnda finner grunn til å kommentere særskilt Grindrs anførsel om at Datatilsynets gebyrvedtak er i strid med forbudet mot tilbakevirkende lovgivning. Det er særlig vist til at tilsynet har bygget vedtaket på Personvernrådets retningslinjer om samtykke. Disse ble først vedtatt 4. mai 2020, og Grindr har anført at disse ikke kan legges til grunn for vurderingen av behandlingen av personopplysninger som fant sted i den perioden som denne klagesaken gjelder, nemlig fra forordningen trådte i kraft 20. juli 2018 og fram til samtykkemekanismen ble endret 8. april 2020.
Etter nemndas vurdering er det ikke holdepunkter i vedtakets begrunnelse for at tilsynet har bygget dette på rettsregler som er utledet fra disse retningslinjene. Nemnda har i sin praksis gitt uttrykk for at slike retningslinjer har begrenset verdi som rettskilde, men har lagt til grunn at de gir nyttig veiledning siden de gir uttrykk for forvaltningspraksis hos tilsynene i EU og EØS, jf. PVN-2020-14 og PVN-2019-02. Slik nemnda leser tilsynets begrunnelse i foreliggende sak, bygger denne på et tilsvarende syn på den rettslige betydningen av retningslinjene. Tilsynets vedtak bygger på forordningens bestemmelser.
Videre anfører Grindr at tilsynets tolkning av forordningens samtykkebestemmelser ikke kommer klart nok til uttrykk i ordlyden, og følgelig ikke i tilstrekkelig grad ivaretar kravet om forutberegnelighet. Praksis fra menneskerettighetsdomstolen i Strasbourg (EMD) gir gode holdepunkter for hva som nærmere ligger i kravet til klar lovhjemmel og forutberegnelighet i den europeiske menneskerettighetskonvensjonen (EMK).
Nemnda nøyer seg med å vise til Sanchez v. France, Grand Chamber judgment of 15 May 2023 (application no. 45581/15). I avsnittene 125-127 oppsummeres – med henvisning til tidligere dommer fra EMD – de sentrale elementene i kravet til klar lovhjemmel i EMK:
«… That person must be able to – if need be with appropriate advice – to foresee, to a degree that is reasonable in the circumstances, the consequences which a given action may entail. … Accordingly, many laws are inevitably couched in terms which, to a greater or lesser extent, are vague, and whose interpretation and application are questions of practice … The level of precision required of domestic legislation – which cannot provide for every eventuality – depends to a considerable degree on the content of the law in question, the field it is designed to cover and the number and status of those to whom it is addressed …
… A margin of doubt in relation to borderline facts does not therefore by itself make a legal provision unforeseeable in its application. Nor does the mere fact that a provision is capable of more than one construction mean that it fails to meet the requirement of “foreseeability” for the purposes of the Convention.
… The novel character of a legal question that has not hitherto been raised, particularly with regard to previous decisions, is not in itself incompatible with the requirements of accessibility and foreseeability of the law, provided the solution adopted is consistent with one of the possible and reasonably foreseeable interpretations …»
Det ligger i dette at EMD aksepterer at det nærmere innholdet i vagt formulerte lovbestemmelser må finne sin avklaring i praksis, og at dette ikke er i strid med EMKs krav om klar lovhjemmel og forutberegnelighet.
Det er nemndas vurdering at Personvernrådets retningslinjer om samtykke ligger godt innenfor det som kan utledes av fortalen og de aktuelle bestemmelsene i forordningen tolket i sin kontekst og med utgangspunkt forordningens formål om å styrke de registrertes vern av egne personopplysninger. I fortsettelsen av dette vil nemnda peke på at disse retningslinjene, som ble vedtatt 4. mai 2020, for alle praktiske formål innebærer en uendret videreføring av Artikkel 29-gruppens retningslinjer om samtykke (Guidelines on consent under Regulation 2016/679 (WP259.01)) fra 10. april 2018. Retningslinjene for samtykke har med andre ord ligget fast i hele den perioden som denne klagesaken gjelder.
Etter nemndas vurdering gjelder det samme for hva som utgjør en særlig kategori av opplysninger, jf. artikkel i artikkel 9 nr. 1. Datatilsynets avgjørelse representerer heller ingen ny eller endret tolkning av de vedtatte reglene på dette punktet. Personopplysningsloven trådte i kraft 20. juli 2018, samme dag som beslutningen som innlemmer forordningen i EØS-avtalen trådte i kraft. Personvernforordningen ble vedtatt i EU i april 2016 og begynte å gjelde i EUs medlemsland fra 25. mai 2018. Etterfølgende rettskilder, som Datatilsynet viser til i sitt vedtak, presiserer og klargjør hva som var gjeldende rett på tidspunktet for Grindrs utlevering av personopplysninger om sine brukere til annonsepartnere. En slik rettslig klargjøring er en sentral oppgave for domstolene og representerer ingen endring av rettstilstanden.
Særlig om kravet til subjektiv skyld
Høyesterett har i HR-2021-797-A, avsnitt 23 uttalt at det ikke er forenlig med EMK artikkel 6 nr. 2 og artikkel 7 å straffe et foretak dersom ingen har utvist skyld. Høyesterett viser til nyere praksis fra Den europeiske menneskerettsdomstolen (EMD) hvor det kreves en «mental link» mellom handlingen og de faktiske omstendighetene som statuerer straffansvaret, jf. særlig EMDs storkammerdom 28. juni 2018 G.I.E.M. S.r.l. med flere mot Italia (EMD-2006-1828) og EMDs dom 20. januar 2009 Sud Fondi S.r.l. med flere mot Italia (EMD-2001-75909).
Som en følge av denne rettsutviklingen, og at overtredelsesgebyr anses å ha karakter av straff, jf. Rt-2012-1556, ble forvaltningsloven § 46 endret i 2022 slik at det nå også oppstilles et krav om subjektiv skyld (uaktsomhet) ved ileggelse av overtredelsesgebyr for foretak og offentlige myndigheter, med mindre noe annet er bestemt. Nemnda legger til grunn for vurderingen i denne saken at forordningen oppstilte et krav om subjektiv skyld (i det minste uaktsomhet) hos den eller de som har opptrådt på vegne av foretaket for at overtredelsesgebyr kunne ilegges også i den perioden denne saken gjelder.
Nemnda kan ikke peke ut hvem hos Grindr som har hatt ansvaret for å velge den tidligere etablerte løsningen for innhenting av samtykke, og som etter nemndas vurdering representerer brudd på både artikkel og 6 nr. 1 og artikkel 9 nr. 1. Det er etter rettspraksis heller ikke et krav om at skylden individualiseres. Både anonyme og kumulative feil kan utgjøre grunnlag for ansvar ved ileggelse av foretaksstraff, jf. HR-2022-1271-A, avsnitt 46-50.
Valg av teknisk løsning og prosedyre for innhenting av brukersamtykke var uten tvil et bevisst valg hos Grindr, hvilket innebærer en forsettlig overtredelse av personvernforordningen. Dersom dette, slik det er anført, skyldtes uvitenhet hos Grindr om hvilke krav personvernforordningen stilte til innhenting av samtykke for utlevering av brukernes personopplysninger til annonsepartnere, dreier det seg uansett om en uvitenhet som ikke er unnskyldelig og dermed uten betydning for nemndas vurdering av om de subjektive vilkårene er oppfylt.
Det foreligger dermed en forsettlig overtredelse og både subjektive og objektive vilkår for å ilegge overtredelsesgebyr er oppfylt.
Vurdering av om overtredelsesgebyr skal ilegges og utmåling av gebyret
Spørsmålet for nemnda er etter dette om det etter personvernforordningen artikkel 83 nr. 2 skal ilegges et overtredelsesgebyr, og dersom det ilegges, hvor stort gebyret skal være.
Det følger av artikkel 83 nr. 1 at ileggelse av overtredelsesgebyr i hvert enkelt tilfelle skal være virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Både ved vurderingen av om det skal ilegges gebyr og ved utmålingen av gebyret, skal det tas hensyn til momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k.
Det er for denne vurderingen sentralt å se på overtredelsens karakter, alvorlighetsgrad og varighet, jf. artikkel 83 nr. 2 bokstav a. Det følger av bestemmelsen at det skal tas hensyn til den aktuelle behandlingens art, omfang eller formål, samt antall registrerte som er berørt og omfanget av den skade de har lidd.
I dette tilfellet dreier det seg om utlevering av særlige kategorier av opplysninger om et stort antall brukere uten at det har blitt innhentet gyldig samtykke for dette. Det dreier seg om en forsettlig overtredelse som pågikk over nesten to år, i perioden fra 20. juli 2018 til 7. april 2020. Den ulovlige utleveringen av personopplysninger var begrunnet i et ønske om økonomisk vinning hos Grindr. Nemnda legger til grunn at salg av personopplysninger til bruk for atferdsbasert markedsføring har bidratt til finansiering av tjenesten og bidratt til Grindrs inntekter. Nemnda er enig med Datatilsynet i at profilering for målrettet markedsføring er en form for behandling av personopplysninger som kan oppfattes påtrengende og ofte virker ugjennomsiktig og uoversiktlig for de registrerte. Det er skjerpende at Grindr var klar over at deres utlevering av opplysninger til ulike annonsepartnere også innebar en ytterligere spredning av opplysningene utenfor Grindrs kontroll.
Nemnda er enig med Datatilsynet i at det lave antallet klager på appen ikke er et forhold som skal tilleggs vekt i formildende retning. Manglende klager kan dels skyldes manglende kunnskap hos de registrerte om hvilke rettigheter de har og dels manglende kunnskap om hva som skjer med deres personopplysninger dersom de velger å registrere seg som bruker hos Grindr. Nemnda viser til det som er sagt ovenfor om hvilken informasjon som ble gitt til brukerne og tilgjengeligheten av denne informasjonen.
Når det gjelder betydningen av eventuelle tekniske og organisatoriske tiltak etter artikkel 25 og 32, jf. artikkel 83 andre ledd bokstav d, har dette etter nemndas vurdering liten betydning når det dreier seg om en forsettlig utlevering av personopplysninger uten gyldig rettslig grunnlag.
I tillegg til at Grindr utleverer opplysninger omfattet av artikkel 9 nr. 1 (opplysninger om en persons seksuelle forhold eller seksuell orientering), utleveres også opplysninger om den registrertes geografiske lokasjon. Nemnda er enig med Datatilsynet i at også behandling av denne kategorien av opplysninger krever nøye overveielse. GPS-lokasjon kan være særlig avslørende for livet og vanene til de registrerte, og kan bli brukt for å utlede store mengder informasjon. For eksempel kan lokasjonsdata avsløre hvor den registrerte jobber og hvor han eller hun bor. Dataene kan også brukes for å avsløre potensielt sensitive opplysninger som religion gjennom religiøse forsamlingshus, eller seksuell orientering gjennom stedene som er besøkt. Nemnda deler Datatilsynets vurdering av at behandlingen av den registrertes geografiske lokasjon, etter omstendighetene, kan være svært inngripende og har et potensiale for misbruk dersom opplysningene deles med behandlingsansvarlige som har slike ønsker.
Nemnda har etter dette kommet til at det er riktig å ilegge Grindr et overtredelsesgebyr, jf. personopplysningsloven § 26, jf. personvernforordningen artikkel 83.
Både ved vurderingen av om det skal ilegges gebyr og ved utmålingen av gebyret, skal det som påpekt ovenfor tas hensyn til momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k. Nemnda viser derfor til sin vurdering ovenfor.
Det følger av personvernforordningen artikkel 83 nr. 5 at overtredelse av artikkel 5, 6, 7 og 9 i samsvar med artikkel 83 nr. 2 skal ilegges overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4 % a den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes. Grindr har i sine merknader til varsel om vedtak opplyst at den globale omsetningen i 2020 var på USD [………………] Det blir dermed 20 000 000 euro som utgjør det øvre taket i dette tilfellet.
Datatilsynet varslet opprinnelig 100 000 000 kroner i overtredelsesgebyr, men reduserte dette til 65 000 000 kroner i sitt endelige vedtak. Reduksjonen fra opprinnelig varsel om 100 000 000 kroner til 65 000 000 kroner var i vedtaket begrunnet med at Grindrs omsetning var i nedre sjikt av det tilsynet la til grunn i varselet, samt at Grindrs iverksatte tiltak for å utbedre manglene ved deres tidligere samtykkemekanisme ble vektlagt i formildende retning.
Personvernnemnda har ikke funnet noen grunn til å endre størrelsen på det fastsatte gebyret.
Datatilsynet har i sitt vedtak drøftet de innvendingene Grindr har hatt til det utmålte gebyret og gitt sin redegjørelse for hvorfor gebyret er satt høyere i dette tilfellet enn i andre saker pekt på av Grindr. Nemnda er enig i de vurderingene tilsynet der gir uttrykk for. Det utmålte gebyret utgjør mindre enn 30 % av det maksimale beløpet personvernforordningen åpner for i dette tilfellet. Overtredelsens alvor, særlig antallet registrerte som er berørt, kategorien av opplysninger som det gjelder, at overtredelsen har pågått over nesten to år, samt at det dreier seg om en forsettlig handling hvor man bevisst har valgt en teknisk løsning som ikke gjør det mulig å registrere seg uten at man samtidig «godkjenner» utlevering av opplysninger for bruk i atferdsbasert markedsføring, tilsier at overtredelsesgebyret ikke anses uforholdsmessig. At den tekniske løsningen åpner for opt-out etter registrering, endrer ikke nemndas vurdering av dette. Et gebyr på 65 000 000 kroner anses nødvendig for å ha tilstrekkelig avskrekkende effekt.
Nemnda bemerker at den ved utmålingen ikke har lagt vekt på at samtykkemekanismen er endret, ettersom den nye tekniske løsningen ikke er vurdert av Datatilsynet og nemnda. Nemnda forutsetter at Grindr innretter seg i tråd med de kravene personvernforordningen stiller og som nemnda har redegjort for i denne saken.
Grindr får ikke medhold i klagen.
Konklusjon
Datatilsynets vedtak opprettholdes.
Vedtaket er enstemmig.
Oslo, 27. september 2023
Mari Bø Haugstad
Leder