Grindr bị phạt 6,5 triệu euro vì chia sẻ dữ liệu người dùng
Ứng dụng hẹn hò Grindr đã bị phạt 6,5 triệu euro vì chia dữ liệu người dùng cho các nhà quảng cáo mà không có sự đồng ý rõ ràng của họ.
Vi phạm "nghiêm trọng" các quy tắc GDPR
Datatilsynet - cơ quan bảo vệ dữ liệu của Na Uy (DPA) đã đưa ra án phạt đối với hành vi vi phạm "nghiêm trọng" các quy tắc GDPR (Quy định bảo vệ dữ liệu chung). Đây là quy định của luật EU về bảo vệ dữ liệu và quyền riêng tư cho tất cả các cá nhân trong Liên minh châu Âu (EU) và Khu vực kinh tế châu Âu (EEA). Nó cũng đề cập đến việc xuất dữ liệu cá nhân bên ngoài EU và EEA. Lý do là vì Grindr đã chia sẻ dữ liệu "danh mục đặc biệt" rất nhạy cảm với các bên thứ ba mà không có sự đồng ý rõ ràng của người dùng, đây là một yêu cầu bắt buộc theo quy định.
Theo DPA, các dữ liệu mà Grindr đã chia sẻ với bên thứ ba, bao gồm: vị trí GPS, địa chỉ IP, ID quảng cáo, tuổi và giới tính...
Người dùng buộc phải đồng ý với chính sách bảo mật của công ty mà không được hỏi cụ thể liệu họ có đồng ý với việc chia sẻ dữ liệu của họ cho các mục đích nào khác hay không.
Tobias Judin, người đứng đầu bộ phận quốc tế của DPA Na Uy giải thích: "Kết luận của chúng tôi là Grindr đã tiết lộ dữ liệu người dùng cho bên thứ ba với mục đích quảng cáo mà không có cơ sở pháp lý".
6,5 triệu euro là khoản tiền phạt lớn nhất do cơ quan bảo vệ dữ liệu Na Uy ban hành vì cơ quan này coi các hành vi mà Grindr vi phạm là "nghiêm trọng". Tuy nhiên, con số này cũng đã được giảm từ 8,6 triệu bảng Anh sau khi Grindr cung cấp thông tin chi tiết về tình hình tài chính và các cập nhật thay đổi quyền riêng tư trên ứng dụng của mình. Nhưng cơ quan quản lý lại cho biết, họ chưa đánh giá liệu cơ chế "đồng ý" mới này có tuân thủ GDPR hay không.
Theo DPA: "Mặc dù bản thân những dữ liệu được Grindr chia sẻ cho bên thứ 3 không được định nghĩa là các danh mục dữ liệu cá nhân đặc biệt, nhưng dữ liệu vị trí là nhạy cảm và mang tính cá nhân. Việc Grindr cũng đã chia sẻ dữ liệu này một cách bất hợp pháp càng làm tăng thêm mức độ nghiêm trọng của vụ việc."
DPA cho biết, mức phạt mà họ đề xuất có được sau khi nhận được một khiếu nại cho rằng thông tin cá nhân người dùng đã được chia sẻ với các nhà quảng cáo cho mục đích tiếp thị mà không có sự đồng ý của người dùng.
Theo trang news.sky.com, năm ngoái, Hội đồng Người tiêu dùng Na Uy (NCC) cũng đã cáo buộc Grindr và 5 công ty đối tác đã vi phạm các quy tắc về quyền riêng tư GDPR của EU mà Nauy là một thành viên.
Người phát ngôn của Grindr tại Na Uy nói với đài truyền hình NRK (tại Na Uy) rằng, công ty mong muốn được đối thoại với chính quyền. Trong khi Shane Wiley, giám đốc quyền riêng tư tại Grindr, cho biết: "Chúng tôi hoàn toàn không đồng ý với lập luận của Datatilsynet, liên quan đến các thông lệ đồng ý (của người dùng) từ nhiều năm trước, chứ không phải các thông lệ đồng ý hiện tại hoặc Chính sách quyền riêng tư của chúng tôi".
"Datatilsynet dựa trên một loạt các phát hiện sai sót, đưa ra nhiều quan điểm pháp lý chưa được kiểm chứng, và do đó, mức phạt được đề xuất vẫn hoàn toàn không phù hợp với những phát hiện thiếu sót đó. Chúng tôi vừa nhận được một bản sao cáo buộc từ Datatilsynet và đang phân tích. Công ty đang xem xét các lựa chọn của mình bao gồm quyền khiếu nại các phát hiện lên Personvernnemnda (PVN - Ban phúc thẩm)", ông nói thêm.
Theo quy định của Nauy, Grindr có thời hạn đến ngày 15/02/2022 để đưa ra phản hồi chính thức về cáo buộc trước khi các cơ quan quản lý nhà nước có những quyết định pháp lý cuối cùng.
Grindr có ba tuần để quyết định có kháng nghị hay không
Quyết định của DPA Na Uy đã được Tổ chức Người tiêu dùng châu Âu (BEUC) hoan nghênh. Ursula Pachl, Phó tổng giám đốc BEUC, nêu rõ: "Grindr đã khai thác và chia sẻ bất hợp pháp thông tin cá nhân của người dùng để quảng cáo có mục tiêu, bao gồm cả thông tin nhạy cảm về giới của họ. Đã đến lúc ngành quảng cáo hành vi ngừng theo dõi và lập hồ sơ người tiêu dùng 24/7. Đây là một mô hình kinh doanh vi phạm rõ ràng các quy tắc bảo vệ dữ liệu của EU và gây hại cho người tiêu dùng. Giờ đây chúng ta hãy hy vọng rằng quân cờ domino đầu tiên đổ xuống và các nhà chức trách bắt đầu xử phạt các công ty khác vì các hành vi vi phạm được xác định trong quyết định của DPA Na Uy, đây sẽ là thông lệ tiêu chuẩn của ngành công nghệ quảng cáo".
Trường hợp này là một ví dụ khác về cách tiếp cận chặt chẽ và nghiêm khắc hơn mà các cơ quan quản lý đang áp dụng để thực thi GDPR trong năm qua. Vào tháng 9, WhatsApp đã bị Ủy ban Bảo vệ Dữ liệu của Ireland (DPC) phạt 225 triệu euro vì không thực hiện nghĩa vụ minh bạch GDPR, trong khi vào tháng 7, Amazon đã bị phạt 886,6 triệu USD vì bị cáo buộc không xử lý dữ liệu cá nhân theo luật.
Bình luận về sự kiện nói trên, Jamie Akhtar, Giám đốc điều hành và đồng sáng lập của CyberSmart, cho biết: "Mặc dù GDPR đã được ban hành trong một thời gian, nhưng chỉ trong vài năm gần đây, chúng tôi mới thấy các cơ quan quản lý thực hiện cách tiếp cận cứng rắn. Với việc các nhà lập pháp trên toàn thế giới bắt đầu tuân theo EU và soạn thảo các quy định của riêng họ, đây là thời điểm tốt nhất để đảm bảo rằng doanh nghiệp của bạn đang xử lý dữ liệu một cách có trách nhiệm".
Jonathan Armstrong, đối tác tại công ty pháp lý Cordery Compliance cho biết: "Tôi nghĩ vụ việc này đã xác nhận một số xu hướng mà chúng tôi đang thấy. Thứ nhất, các cơ quan quản lý đang tích cực hơn trong việc thực thi luật bảo vệ dữ liệu. Chỉ riêng tiền phạt GDPR hiện đã hơn 1,3 tỷ euro. Và chúng tôi biết rằng có ít nhất 100 triệu euro nữa sẽ được xử lý trong vài tuần tới. Thứ hai, tính minh bạch là chủ đề chính của việc thực thi bảo vệ dữ liệu. Các tổ chức cần phải rõ ràng về dữ liệu mà họ đang thu thập, cách họ đang sử dụng và chia sẻ nó với ai. Thứ ba, nó cũng cho thấy quyền lực của các nhà hoạt động".
"Một trong những người đứng sau khiếu nại ban đầu, Max Schrems đã có hồ sơ thực tế về các chiến dịch bảo mật. Các nhà hoạt động và những người tham gia tố tụng đang trở nên nổi bật hơn và xu hướng này cũng sẽ tiếp tục gia tăng trong thời gian tới", Jonathan Armstrong cho biết thêm.