Złe wieści dla LinkedIn należącego do Microsoftu w Europie, gdzie otrzymał on reprymendę i karę w wysokości 310 milionów euro za naruszenia prywatności związane z działalnością w zakresie reklam śledzących.
Kary administracyjne, których wartość według obecnego kursu wymiany wynosi około 356 milionów dolarów, zostały nałożone przez Irlandię Komisja Ochrony Danych (DPC) na mocy ogólnego rozporządzenia o ochronie danych Unii Europejskiej (RODO), które stwierdziło szereg naruszeń – w tym zgodności z prawem, uczciwości i przejrzystości przetwarzania danych w tym obszarze.
RODO wymaga, aby wykorzystanie danych osobowych miało odpowiednią podstawę prawną. W tym przypadku uzasadnienia, na których opierał się LinkedIn, prowadząc działalność związaną z reklamami śledzącymi, okazały się nieważne. Zgodnie z decyzją DPC nie informowała również odpowiednio użytkowników o sposobie wykorzystania ich informacji.
LinkedIn próbował powołać się na (różne) podstawy prawne oparte na „zgodzie”, „uzasadnionych interesach” i „konieczności umownej” do przetwarzania danych osobowych – uzyskanych bezpośrednio i/lub od stron trzecich – w celu śledzenia i profilowania użytkowników pod kątem zachowań reklama. Jednakże DPC stwierdził, że żadne z nich nie było ważne. LinkedIn nie przestrzegał także zasad przejrzystości i uczciwości wynikających z RODO.
Komentując w oświadczeniu, zastępca komisarza DPC Graham Doyle powiedział: „Zgodność przetwarzania z prawem jest podstawowym aspektem prawa o ochronie danych, a przetwarzanie danych osobowych bez odpowiedniej podstawy prawnej stanowi wyraźne i poważne naruszenie podstawowego prawa osób, których dane dotyczą, do ochrona danych.”
Rozmiar sankcji katapultuje profesjonalną sieć społecznościową na pozycję środkową tabeli dziesięć największych kar RODO nałożonych na Big Tech. I podczas gdy to jest nie pierwszy raz LinkedIn został uderzony w przypadku regionalnych naruszeń ochrony danych jest to z pewnością najważniejsza jak dotąd kara. (Chociaż firma chciała zaznaczyć, że wysokość grzywny była mniejsza niż kwota, którą Microsoft nałożył we wcześniejszym ujawnieniu 10-K, ostrzegającym inwestorów, że spodziewa się sankcji).
Sprawa przeciwko LinkedIn rozpoczęła się od skargi złożonej we Francji w 2018 r. przez organizację non-profit La Quadrature Du Net zajmującą się prawami cyfrowymi. Krajowy organ ochrony danych przekazał następnie skargę do DPC ze względu na jego rolę wiodącego organu nadzorczego ds. zgodności firmy Microsoft z RODO.
DPC wszczął dochodzenie oparte na skargach w sierpniu 2018 r., a prawie sześć lat później (w lipcu 2024 r.) ostatecznie przedłożył projekt decyzji innym zainteresowanym organom ochrony danych. Ponieważ nie zgłoszono żadnych zastrzeżeń, decyzja została sfinalizowana, a jej wykonanie zostało podane do wiadomości publicznej.
Oprócz kary pieniężnej LinkedIn otrzymał trzy miesiące na dostosowanie swojej działalności w Europie do przepisów RODO.
Rzecznik LinkedIn, Jonny Wing, wskazał TechCrunchowi na oświadczenie zamieszczone na stronie firmy pokój prasowy w sprawie sankcji, w którym napisał: „Dzisiaj irlandzka Komisja Ochrony Danych (IDPC) podjęła ostateczną decyzję w sprawie roszczeń z 2018 r. dotyczących niektórych naszych działań w zakresie reklamy cyfrowej w UE. Chociaż uważamy, że postępowaliśmy zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO), pracujemy nad tym, aby nasze praktyki reklamowe spełniły tę decyzję w terminie określonym przez IDPC”.
