Forbrukerrådet mener det er problematisk at AdColony og Unacast kan spore appbrukere.

Forbrukerrådet har undersøkt ti populære apper og hvilke selskaper de sender persondata til.

Fagdirektør Finn Myrstad i Forbrukerrådet mener selskapet AdColony, som nevnes i rapporten, bryter personopplysningsloven (GDPR). Tirsdag ble en formell klage sendt til Datatilsynet. Det er foreløpig ukjent om AdColony vil etterforskes for brudd på personopplysningsloven (GDPR) i Norge.

AdColony har 20 kontorer i ulike land og eies av Otello Corporation, tidligere Opera Software.

– De opererer i det skjulte. Du som bruker har ingen anelse om at de spionerer på deg, sier Myrstad om AdColony, som ifølge deres undersøkelser mottok lokasjonsdata fra sjekkeappen Grindr.

Hvorfor mener dere det er problematisk å samle inn lokasjonsdata?

– Hvor du befinner deg til enhver tid og hvem du er sammen med kan avsløre ekstremt personlige detaljer som hvem du bor med, religiøs tilhørighet, ditt politiske ståsted, og din seksuelle legning, sier Myrstad.

Han kaller appene Perfect365 og Grindr «sporingsverstinger».

AdColony ikke alene om å motta data

Unacast, et oppstartsselskap ledet av de norske gründerprofilene Kjartan Slette og Thomas Walle, nevnes også i rapporten som mottakere av presise GPS-data. Disse dataene er samlet inn av sminkeappen Perfect365, som fikk mye oppmerksomhet i 2015 da det ble kjent at Kim Kardashian West brukte appen.

Appen har ifølge analyseselskapet Apptopia 900.000 daglige brukere og Forbrukerrådet mener det er problematisk at Unacast mottar data fra Perfect365 om hvor brukerne befinner seg.

Unacast: Partnere må dokumentere at de følger GDPR

Perfect365 er gratis, og rapporten beskriver at appen deler detaljerte data om brukerne med et høyt antall aktører. «Du kan nærmest si at appen virker å være bygget for å dele så mye brukerdata som mulig», skriver selskapet Mnemonic. De gjorde de tekniske undersøkelsene på vegne av Forbrukerrådet.

– Det deles helt klart med selskaper her som ikke skal gjøre tjenesten bedre, sier Finn Myrstad i Forbrukerrådet, om at en rekke selskaper fikk vite mobilens unike annonse-ID og GPS-posisjon.

I den tekniske rapporten nevnes det syv selskaper som Mnemonic med sikkerhet kan slå fast mottar presis GPS-posisjonen. I tillegg nevnes Unacast som en mulig mottaker:

«Perfect365 er en av våre partnere, og har dokumentert at de etterfølger GDPR», skriver daglig leder Kjartan Slette i Unacast til NRKbeta.

Han forklarer at dataene som hentes inn er en annonse-ID (som kan nullstilles av brukeren) og stedsdata tilknyttet denne ID-en.

Slette sier at deres partnere må signere Unacasts egne GDPR-kontrakt og sende skjermbilder av hvordan samtykke hentes inn. Partnere må også teknisk formidle hvem som ikke ønsker å bli sporet, og blokkere disse dataene for fremtidig bruk.

Lagrer data om norske brukere

Slette opplyser at Unacast ikke bruker lokasjonsdata samlet inn fra Perfect365 i Norge i dag, men de lagres likevel i seks måneder.

Til nå har selskapet hovedsakelig satset på det amerikanske markedet. Fremover skal de bygge opp produkter til både det norske og europeiske markedet.

«Unacast jobber mot å bli et globalt selskap for innsikt om den fysiske verden, og vi har som ambisjon om å lansere analyse-produkter i alle land hvor vårt etiske regelverk tillater det», skriver Slette.

– Underkommuniserer datainnsamlingen

– Lokasjonsdata er ikke sensitivt rent juridisk, men mange vil si at det er mer sensitivt enn for eksempel en e-postadresse eller telefonnummer, sier Jens Christian Gjesti.

Jens Christian Gjesti er partner i advokatfirmaet Kvale og har de siste ti årene jobbet med personvern. Han mener appen Perfect365 oppfyller «minimumskravene til informasjon», men at det ser ut til å være enkelte mangler.

Brukere kan bestemme om de vil ha på «personalisering» i Perfect365, innstillingen som fører til deling av lokasjonsdata. Gjesti mener appen «underkommuniserer» at den tilsynelatende henter inn mer data enn nødvendig.

Forbrukerrådet mener det er problematisk at brukere kanskje ikke har vært klar over at et «ja» ville føre til at Unacast mottok deres data.

Til dette svarer Slette følgende:

«Vi er helt i sync med både Forbrukerrådet og Gjesti i at Perfect365 og andre apper kan og må bli enda bedre i hvordan de informerer sine brukere. Det er et kontinuerlig arbeid – for appen, for oss, og for myndighetene.»

Han forteller at de fortløpende vurderer og kutter ut selskaper som ikke tilfredsstiller regelverket eller deres krav.

«Som Gjesti, så vurderer vi også Perfect365 som en app som aktivt jobber for å gjøre dette på rett måte og for å bli enda bedre enn de er i dag.»

Perfect365, Grindr, og AdColony er forelagt Forbrukerrådets rapport og uttalelser.

Alexis Roberts i Blast PR svarer på vegne av AdColony at de «normalt ikke kommenterer saker som venter juridisk behandling».

«AdColony respekterer brukernes personvern over hele verden og deres ønske om å håndheve sine rettigheter,» skriver Roberts, som henviser til selskapets personvernerklæring. Der kan brukere helt eller delvis stoppe at AdColony behandler deres data.

Grindr har ikke svart NRKbeta til denne artikkelen, men har tidligere uttalt at:

– Personvernet og sikkerheten til våre brukeres personlige data er og alltid vil være en kjerneverdi for Grindr.

De henviser til sin personvernerklæring for mer om hvordan de bruker persondata og hvilke valgmuligheter brukerne har.

Perfect365 har sålangt ikke svart på NRKbetas henvendelser.

Saken er oppdatert med en setning om hvorfor Forbrukerrådet mener det er problematisk at Unacast mottok data fra Perfect365.

Les også:

> Telia og Telenor selger analyser av hvor kundene befinner seg

> Kaller sjekkeapp «ute av kontroll» – Deler persondata med minst 20 selskaper

