En opsigtsvækkende dom i det norske datatilsyn slår fast, at dataansvaret ikke blot kan videregives til tredjepart.
Datatilsynet i Norge har fundet datingappen Grindr skyldig i så grove overtrædelser af GDPR-lovgivningen, at det kan udløse en bøde på 100 millioner NOK.
Under GDPR-reglerne skal fire forudsætninger være opfyldt for, at et samtykke er gyldigt. Det skal være afgivet frivilligt, til et specifikt formål, og på et fuldt informeret og utvetydigt grundlag. Det norske datatilsyn skriver i sin afgørelse, at Grindr har overtrådt alle disse forudsætninger ved ulovligt at dele data med tredjeparterne Twitter, MoPub, AppNexus, OpenX, AdColony og Smaato fordi:
- De har bundled samtykke for deling af data med samtykket for nødvendig databehandling. Det betød, at brugerne var tvunget til at give samtykke til, at deres data må deles med tredjeparter, hvis de ønskede at benytte den gratis udgave af appen.
- Appen skulle have givet brugerne en mulighed for at afgive særskilte samtykker til henholdsvis datadeling og brug af data til marketingformål.
- Grindr informerede ikke brugerne grundigt nok om, hvilke data der blev delt med tredjeparter og hvorfor.
- Appen gjorde det for vanskeligt for brugerne at finde den relevante information om brug af persondata til markedsføring i Grindr’s privatlivspolitik.
Hvad betyder det for dig?
Danske annoncører bør studere sagen af to årsager. For det første er præcedens for overholdelse af GDPR først nu ved at blive fastlagt i en række afgørende domme rundt omkring i Europa, og den norske dom føjer endnu en sag til, hvor samtykkereglerne vejer mere end legitim interesse som behandlingsgrundlag for data.
Vigtigere er det dog, at det norske datatilsyn også giver Grindr ansvaret for tredjeparts-leverandørers brug af de delte data. Med den afgørelse er det endnu engang slået fast, at det er indsamleren af førstepartsdata, der sidder med dataansvaret, hvilket de færreste databehandlingsgrundlag og aftaler med tredjeparter i den digitale værdikæde lever op til i dag.
Det norske Forbrukerrådet, der indklagede sagen, skrev da også i sin oprindelige klage at, ”brands should take care not to funnel money into an industry that seems to be systematically breaching the law.” Med dommen er det tydeligt, at det ikke er en grundløs advarsel.
Vejen frem
Målrettet digital markedsføring er et uundværligt led i enhver virksomheds værdikæde. Det er med til at skabe sunde virksomheder og dermed også vækst og velstand for samfundet. Derfor skal der findes løsninger, som både sikrer borgernes privatliv og virksomheders muligheder for at markedsføre sig.
GDPR-forordningen skal til evaluering i EU, og den kommende ePrivacy-forordning lurer stadig i kulissen. Danske Annoncører og Markedsførere vil sammen med vores kolleger i Norge, Sverige og Finland samt vores samarbejdspartnere i Dansk Erhverv og World Federation of Advertisers arbejde for et regelsæt, der både er enklere og i højere grad vægter virksomheders legitime interesse som behandlingsgrundlag.
Indtil da opfordrer vi vores medlemmer til at se deres databehandlingsgrundlag med tredjepartsleverandører grundigt igennem og sikre sig, at de som annoncører lever op til deres dataansvar også efter data er blevet delt med samarbejdspartnere.