LONDON — Gay dating-appen Grindr risikerer en bot på over 10 millioner dollar fra norske tilsynsmyndigheter for å ha unnlatt å innhente brukernes samtykke før de har delt deres personlige opplysninger med reklameselskaper, i strid med EUs strenge personvernregler.

Norges datavernvakt sa tirsdag at den hadde varslet Grindr LLC om sin foreslåtte beslutning om å bøtelegge 100 millioner norske kroner (11,7 millioner dollar), eller 10 prosent av tallet.

Datatilsynet tok affære etter en klage fra Forbrukerrådet om at personopplysninger var ulovlig delt for markedsføringsformål. Rådet hadde i en rapport i fjor beskrevet hvordan Grindr og andre datingapper hadde avslørt personlig informasjon til annonseteknologiselskaper for å bruke den til målrettede annonser på en måte som rådet sa brøt med de strenge personvernreglene i EUs GDPR.

Norge er ikke medlem av EU, men reflekterer tett blokkens regler og forskrifter.

– Datatilsynet anser dette som en alvorlig sak, sier direktør Bjørn Erik Thon. «Brukere var ikke i stand til å utøve reell og effektiv kontroll over deling av dataene deres.»

Grindr svarte ikke umiddelbart på en e-postforespørsel om kommentar fra AP. Dets talsperson i Norge, Bjørn Richard Johansen, bekreftet overfor kringkaster NRK at de har mottatt et brev fra tilsynsmyndighetene med beskjed om boten.

Selskapet har frist til 15. februar til å komme med kommentarer, som vaktbikkje vil ta hensyn til i sin endelige avgjørelse.

– Grindr ser frem til å starte en dialog med datatilsynet, sier Johansen til NRK, men sier at selskapet ikke har flere kommentarer.

Vakthunden kom til den foreløpige konklusjonen at Grindr delte brukerdata med en rekke tredjeparter uten rettslig grunnlag. Dataene inkluderte GPS-posisjon, brukerprofilinformasjon samt om brukere er på Grindr, noe som kan indikere deres seksuelle legning.

Deling av slik informasjon kan sette noen i fare for å bli målrettet, sa myndigheten i sitt råd til Grindr.

Det faktum at en person «er en Grindr-bruker kan føre til skjevhet og diskriminering selv uten å avsløre sin spesifikke seksuelle legning,» legger den til.

Datatilsynet sa at måten Grindr ba brukere om tillatelse til å bruke informasjonen deres, var i strid med GDPR-kravene for «gyldig samtykke». Brukere ble ikke gitt muligheten til å velge bort deling av data med tredjeparter og ble tvunget til å akseptere Grindrs personvernpolicy i sin helhet, legger den til, og legger til at brukerne ikke ble ordentlig informert om datadeling.

Vakthunden etterforsker fortsatt fem «ad tech»-selskaper som mottok data fra Grindr, inkludert Twitters annonseringsplattform for mobilapper MoPub, som har mer enn 160 partnere.

Forbrukerrådet ønsket boten velkommen.

«Vi håper dette vil markere utgangspunktet for mange lignende beslutninger mot selskaper som driver med kjøp og salg av personopplysninger,» sa Finn Myrstad, konsernets direktør for digital policy.

——

Jan M. Olsen i København bidro til denne rapporten