Wat is er gebeurd?
Grindr deelde advertising ID’s, IP-adressen, technische informatie, leeftijd, geslacht, locatiegegevens en informatie over seksuele voorkeuren (vanwege het gebruik van de LGBTQI dating app) met honderden potentiële advertentiepartijen op basis van toestemming, terwijl deze toestemming niet rechtmatig was verkregen.
Toestemming
Op basis van de AVG moet toestemming een “vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting” zijn. Aan deze voorwaarden werd door Grindr echter niet voldaan. Zo bleek dat:
- Gebruikers onvoldoende informatie werd gegeven;
- De toestemming onvoldoende specifiek was (gebruikers moesten akkoord gaan met de gehele privacyverklaring, en dus in één keer toestemming geven voor alle verwerkingen die daarin stonden en die op basis van toestemming plaatsvonden);
- Gebruikers niet vrij waren om toestemming te weigeren (het enige alternatief was in dat geval om gebruik te maken van een betaalde versie van de app).
Verzwarende omstandigheden
De hoogte van de boete, was mede gelegen in de verzwarende omstandigheden die de Noorse privacytoezichthouder aanwezig achtte nu:
- Grindr financiële voordelen uit het onrechtmatig delen van de data had verkregen; en
- Het bijzondere persoonsgegevens betrof (qua privacygevoeligheid de hoogste categorie).
Rechtmatige toestemming
Het delen van data voor commerciële doeleinden op basis van toestemming kan op een rechtmatige wijze plaatsvinden. Voorwaarde hiervoor is echter wel dat aan de vereisten voor rechtmatige toestemming wordt voldaan, hetgeen betekent dat:
- Vrij: de gebruiker, zonder negatieve consequenties, toestemming moet kunnen weigeren;
- Specifiek: de toestemming op een specifieke verwerking ziet (dus het enkel delen van de data voor specifieke doeleinden);
- Geïnformeerd: duidelijk is waarop de toestemming ziet (welke persoonsgegevens betreft het, hoe worden die verzameld, met wie worden ze gedeeld en voor welke doeleinden) waarbij aanvullende informatie evt. via een privacyverklaring kan worden gegeven (hoe lang worden de gegevens bewaard, welke rechten heeft de gebruiker en hoe kunnen deze worden uitgeoefend, of sprake is van internationale doorgifte en hoe toestemming kan worden ingetrokken);
- Ondubbelzinnige wilsuiting: de gebruiker een actieve handeling moet verrichten die duidelijk op het geven van toestemming is gericht (dus door bijvoorbeeld op een ‘toestemming’-button te klikken).
Daarbij moet de gebruiker eenmaal gegeven toestemming net zo makkelijk kunnen intrekken als deze is gegeven. Tevens moet alle informatie in duidelijke en begrijpelijke taal zijn verstrekt. En als laatste, ligt de bewijslast ten aanzien van de verkrijging van de rechtmatige toestemming bij de verantwoordelijke.
Vragen?
Wilt u meer weten over het delen van data of verkrijgen van rechtmatige toestemming? Neem dan gerust contact op.
Michelle Wijnant, Legal Counsel IT, Privacy & Cybersecurity