W dniu 24 października 2024 roku Irlandzka Komisja Ochrony Danych (DPC) wydała ostateczną decyzję, w ramach której, na mocy art. 58 ust. 2 pkt. i oraz art. 83 RODO, nałożyła na platformę LinkedIn karę w wysokości 310 mln euro za naruszenie prywatności danych użytkowników platformy i wykorzystywanie tych danych w celach reklamowych. Poza grzywną – pierwszą taką w historii LinkedIn – DPC nakazało platformie dostosowanie swoich działań do przepisów RODO w ciągu trzech miesięcy. Organ odkrył szereg nieprawidłowości, takich jak naruszenia zgodności z prawem, uczciwości czy przejrzystości przetwarzania danych.
Irlandzki komisarz ds. ochrony danych jest w praktyce głównym organem w Unii Europejskiej zajmującym się kontrolą stosowania przepisów przez czołowe amerykańskie firmy technologiczne. Ma to związek z lokalizacją ich siedzib na terenie UE właśnie w Irlandii [1].
Wspomniana decyzja została wydana w wyniku rozpoczętego w 2018 roku dochodzenia w sprawie przetwarzania przez LinkedIn danych osobowych użytkowników do analizy behawioralnej i ukierunkowanej reklamy.
Jako pierwsze skargę na łamanie prywatności przez LinkedIn złożyło francuskie stowarzyszenie La Quadrature du Net, promujące „prawa i wolności cyfrowe obywateli”. Organizacja zarzuciła platformie, że zgoda uzyskiwana przez LinkedIn od użytkowników na wykorzystanie ich danych nie była udzielana dobrowolnie, ani nie była wystarczająco świadoma, a powiadomienia na ten temat nie były wystarczająco konkretne i jednoznaczne. Podobne skargi La Quadrature du Net skierowało wówczas przeciwko Google, Apple, Facebookowi i Amazonowi [2].
Zgodnie z RODO przetwarzanie danych osobowych powinno mieć odpowiednią podstawę prawną. DPC poinformowała, że przeprowadzone dochodzenie wykazało, że LinkedIn nie miał podstawy prawnej do gromadzenia danych i wykorzystywania ich do tego, żeby na ich podstawie kierować do użytkowników spersonalizowane reklamy. Chodzi o przekazy reklamowe trafiające do internautów m.in. na bazie ich zainteresowań lub historii wyszukiwania, do której dostęp ma platforma. LinkedIn naruszył RODO, nie zapewniając odpowiedniej zgody, uzasadnionego interesu lub umownej konieczności przetwarzania danych zebranych przez siebie i strony trzecie. Co prawda platforma powoływała się na wiele podstaw prawnych, w tym na „zgodę”, „uzasadniony interes” czy „konieczności umowne” do przetwarzania danych o ludziach, które zostały uzyskane bezpośrednio i/lub od stron trzecich, aby śledzić i profilować swoich użytkowników w celu podsuwania reklam spersonalizowanych. DPC uważa jednak, że żadna z przywołanych przez platformę podstaw nie jest ważna, a serwis dodatkowo nie przestrzegał zasad RODO dotyczących przejrzystości i uczciwości [3].
„Zgodność z prawem przetwarzania jest podstawowym aspektem prawa o ochronie danych, a przetwarzanie danych osobowych bez odpowiedniej podstawy prawnej jest wyraźnym i poważnym naruszeniem podstawowego prawa osób, których dane dotyczą” – wskazał Graham Doyle, zastępca komisarza w Irlandzkiej Komisji Ochrony Danych.
[1] https://tvn24.pl/biznes/
[2] https://tvn24.pl/biznes/
[3] https://www.proto.pl/
