Irska: 310 miljionov EUR za LinkedIn
Irski nadzorni organ je LinkedIn Irska kaznoval zaradi nezakonitih obdelav podatkov uporabnikov za namen vedenjske analize in ciljanega oglaševanja.
Novica je bila objavljena 24.10.2024
Irska nadzorni organ (DPC) je objavil svojo končno odločitev po preiskavi družbe LinkedIn Ireland Unlimited Company (LinkedIn). To preiskavo je DPC sprožil v vlogi vodilnega nadzornega organa za LinkedIn po pritožbi, ki je bila prvotno vložena pri francoskem nadzornem organu.
Preiskava je proučevala obdelavo osebnih podatkov s strani LinkedIna za namene vedenjske analize in ciljanega oglaševanja uporabnikov.
Odločitev, ki sta jo sprejela pooblaščenca za varstvo podatkov, dr. Des Hogan in Dale Sunderland, in jo 22. oktobra 2024 posredovala LinkedInu, se nanaša na zakonitost, poštenost in preglednost teh obdelav. Odločitev vključuje opomin, odredbo LinkedInu o vzpostavitvi skladnosti svojih obdelav in izrek upravne globe v skupni višini 310 milijonov evrov.
DPC je julija 2024 predložil osnutek odločitve po mehanizmu sodelovanja GDPR, kot zahteva 60. člen GDPR. Na osnutek sklepa ni bilo nobenih ugovorov, DPC pa se je za sodelovanje in pomoč zahvalil drugim nacionalnim nadzornim organom.
V končni odločitvi DPC so zapisane ugotovljene kršitve GDPR:
Kršitve členov 5(1) in 6 GDPR, ki določata zakonitost obdelave podatkov:
LinkedIn se je pri obdelavi podatkov svojih uporabnikov prejetih od tretjih oseb za namen vedenjske analize in ciljanega oglaševanja neupravičeno skliceval na člen 6(1)(a) GDPR (soglasje). Soglasje, ki ga je za te namene pridobil LinkedIn, ni bilo dano prostovoljno, ni bilo informirano, specifično in nedvoumno.
Zakoniti interes po členu 6(1)(f) GDPR ni ustrezna pravna podlaga za tovrstno obdelavo, saj so interesi LinkedIna presegli interese ter temeljne pravice in svoboščine posameznikov.
Prav tako se je LinkedIn neupravičeno skliceval na člen 6(1)(b) GDPR za obdelavo podatkov zbranih neposredno od svojih uporabnikov za namen vedenjske analize in ciljanega oglaševanja.
Kršitev členov 13(1)(c) in 14(1)(c) GDPR v zvezi z informacijami, ki jih je LinkedIn posredoval posameznikom glede pravnih podlag po členih 6(1)(a), 6(1)(b) in 6(1)(f) GDPR.
Kršitev člena 5(1)(a) GDPR, ki določa načelo pravičnosti pri obdelavi osebnih podatkov.
Namestnik pooblaščenca DPC Graham Doyle je izjavil: "Zakonitost obdelave je temeljni vidik zakonodaje o varstvu podatkov, obdelava osebnih podatkov brez ustrezne pravne podlage je očitna in resna kršitev temeljne pravice posameznika do varstva podatkov."
DPC bo še objavil celotno odločitev in dodatne informacije, povezane z njo.
Vir: DPC
Naslovna slika: RawPixel