Lagmannsrettens vurderinger
Særlige kategorier («sensitive») personopplysninger
Lagmannsretten slår fast at opplysninger som indirekte kan avsløre en persons seksuelle orientering, er tilstrekkelig til at opplysningene er å anse særlige kategorier personopplysninger. At en person hadde tilknytning til Grindrs app var dermed tilstrekkelig til at opplysningene som ble delt med Grindrs annonsepartnere falt inn i denne kategorien. Dette gjaldt uavhengig av om formålet med utleveringen var et annet enn å dele opplysninger om seksuell orientering (her å legge til rette for annonsering).
Avgjørelsen innebærer at virksomheter må gjøre en grundig vurdering av kontekst og indirekte virkninger for å avgjøre om de behandler særlige kategorier personopplysninger.
Kravet til samtykke
Lagmannsrettens vurdering av kravene til samtykke har relevans for alle som baserer sin behandling av personopplysninger på samtykkegrunnlaget. Dette fordi lagmannsretten tok utgangspunkt i det generelle samtykkekravet i GDPR artikkel 6, og ikke det skjerpede samtykkekravet i artikkel 7.
I den konkrete saken, fant lagmannsretten at det verken var gitt noe aktivt samtykke eller at samtykkemekanismene Grindr praktiserte, oppfylte kravene til å være spesifikke og informerte. Avgjørelsen gir imidlertid også generell veiledning om hvilke krav som stilles til gyldige samtykker under GDPR
Lagmannsretten legger for eksempel til grunn at kravet til aktivt samtykke ikke kan oppfylles gjennom at brukeren gis mulighet til å velge mellom å bruke tjenesten eller la være. Lagmannsretten avviste også at brukers unnlatelse av å endre innstillingene i operativsystemet på enheten hvor app’en ble lastet ned slik at adferdsbasert markedsføring ble valgt bort, kunne anses som noe samtykke. Hvorvidt brukers unnlatelse av å velge en betal-versjon uten markedsføring kunne anses som aktivt samtykke, kom imidlertid ikke på spissen i denne saken, da lagmannsretten fant at personopplysninger ble delt med Grindrs annonsepartnere allerede før brukeren fikk valget om en betal-versjon.
Videre ble det å pakke samtykker inn i lange personvernerklæringer over flere sider, ikke ansett å tilfredsstille kravet til spesifikk viljeserklæring. Retten hadde også kritiske bemerkninger til bruk av IT-faglig terminologi i samtykkeerklæringen og pekte på at dette ikke var i samsvar med krav til bruk av klart og enkelt språk.
Retten la også til grunn når det var gitt ufullstendig informasjon om hvilke opplysninger som ble delt og omfanget av delingen var heller ikke kravet til at samtykket skulle være informert oppfylt. Verd å merke seg er at retten i den forbindelse presiserer at det ikke kunne kreves i et tilfelle som dette at den behandlingsansvarlige navngir den enkelte annonsepartner eller oppgir eksakt hvor mange annonsepartnere det var tale om.
Overtredelsesgebyr
Av generell interesse for administrative overtredelsesgebyr i sin alminnelighet, er lagmannsrettens vurderinger av graden intensitet i domstolenes overprøving av forvaltningens avgjørelser av om sanksjon bør ilegges og størrelsen på denne. Tingretten viste til at domstolene bør være tilbakeholdne med å overprøve forvaltningens skjønn i slik saker, men det var lagmannsretten ikke ubetinget enig i. Lagmannsretten fremhevet at der sanksjonshjemmelen gir vide rammer for utmåling og åpner for omfattende og inngripende reaksjoner, tilsier hensynet til rettssikkerhet og behovet for å utvikle klare retningslinjer for utmålingen at retten ikke bør vise særlig tilbakeholdenhet i sin prøving.
Det er også verdt å merke seg at selv om påvisning av uaktsomhet fra Grindrs side i denne saken var tilstrekkelig for å ilegge overtredelsesgebyr, går lagmannsretten forholdsvis grundig inn i vurderingen av graden av skyld. Dette begrunnes med at skyldgraden er et moment i vurderingen av om overtredelsesgebyr skal ilegges, samt størrelsen på gebyret. I motsetning til tingretten som til grunn at Grindr bare hadde opptrådt uaktsomt, konkluderer lagmannsretten også med at det var handlet med forsett med den begrunnelse at personer i ledelsen tok bevisste valg om både hvilke opplysninger som ble delt, omfanget av delingen og hvordan samtykkeløsningen var utformet. Retten uttaler imidlertid også at manglende kunnskap om disse forholdene uansett ville vært grovt uaktsomt.
Lagmannsretten avviste at det kunne være formildende at Grindr opptrådte i samsvar med det som eventuelt var bransjepraksis i overtredelsesperioden, men mente tvert om at dersom mange i bransjen overtrer loven understreker det behovet for et gebyr med avskrekkende effekt. Dette betyr at det er viktig å gjøre egne vurderinger i relasjon til GDPR og ikke bare følge det andre i bransjen eventuelt gjør.
Lagmannsretten la i skjerpende retning vekt på at formålet med den ulovlige delingen av personopplysninger var å oppnå inntekter fra annonsepartnerne. At Grindrs inntekter fra norske brukere var langt lavere enn gebyret, ble ikke tillagt særlig betydning.
