Miljonböter för LinkedIn – Otillräckligt samtycke och bristande transparens
Den 24 oktober meddelade den irländska dataskyddskommissionen (IDPC) sitt slutgiltiga beslut i en långdragen GDPR-granskning av LinkedIn Ireland Unlimited Company. Ärendet, som initierades 2018, startade efter ett klagomål från den franska digitala rättighetsorganisationen La Quadrature Du Net. Anklagelserna gällde LinkedIns användning av medlemsdata för riktad annonsering och beteendeanalys. Detta fick den franska dataskyddsmyndigheten att skicka ärendet vidare till IDPC, LinkedIns huvudansvariga myndighet inom EU. Syftet med IDPC:s utredning var att granska om LinkedIns metoder för datainsamling och hantering överensstämde med GDPR:S krav på laglighet, transparens och rättvisa. GDPR kräver att all databehandling grundas på tydligt godkända rättsliga grunder, såsom informerat samtycke, vilket IDPC ansåg att LinkedIn inte hade uppfyllt.
Vad har hänt?
Efter en djupgående utredning kom IDPC fram till att LinkedIn inte uppfyllt flera av de krav som ställs enligt GDPR. Bland de viktigaste punkterna nämndes följande:
- Brist på samtycke från användarna
IDPC fann att LinkedIn inte följde GDPR:s samtyckeskrav för insamling och användning av data i annonssyfte. För att ett samtycke ska vara giltigt enligt GDPR måste det vara frivilligt, specifikt, informerat och tydligt. IDPC bedömde att LinkedIns användare inte hade fått tillräcklig information om hur deras data skulle användas. - Felaktig hänvisning till “legitima intressen”
LinkedIn hävdade att deras användning av data för analyser och annonsering grundade sig på företagets legitima affärsintressen. GDPR tillåter detta, men endast om företagets intressen väger tyngre än individens rätt till dataskydd. IDPC ansåg att LinkedIns kommersiella intressen inte kunde sättas före användarnas rätt att skydda sin personliga data. - Otillräcklig transparens och rättvisa
GDPR kräver att databehandling ska vara transparent och rättvis, vilket innebär att användare tydligt måste få veta hur deras data hanteras och vilka konsekvenser det kan ha för dem. IDPC ansåg att LinkedIn inte hade varit tillräckligt tydliga med sina metoder, vilket försvårade för användarna att förstå och kontrollera sin egen data.
Som ett resultat av dessa brister har IDPC ålagt LinkedIn böter på 310 miljoner euro, motsvarande ungefär 3,5 miljarder kronor, och gett företaget en officiell anmärkning. Samtidigt har LinkedIn fått ett formellt krav på att anpassa sina databehandlingsmetoder för att överensstämma med GDPR.
Vad händer nu?
LinkedIn har nu en tidsfrist för att följa IDPC:s beslut och säkerställa att deras databehandling sker enligt GDPR:s krav på transparens, samtycke och rättvisa. Detta innebär att företaget måste förbättra informationen de ger sina användare, så att varje person som använder LinkedIn enkelt förstår hur deras data behandlas och ges möjligheten att fatta ett informerat beslut om sitt samtycke. IDPC:s beslut innebär också att LinkedIn snarast måste ändra sina interna dataprocesser för att följa det juridiska regelverket. LinkedIn har meddelat att de arbetar aktivt med att genomföra de förändringar som krävs och har förbundit sig att följa den tidsram som IDPC har satt.
Alla artiklar