De Ierse gegevensbeschermingswaakhond heeft LinkedIn donderdag een boete van 310 miljoen euro opgelegd wegens het schenden van de privacy van zijn gebruikers door gedragsanalyses van persoonlijke gegevens uit te voeren voor gerichte reclame.
“Het onderzoek onderzocht de verwerking van persoonlijke gegevens door LinkedIn met het oog op gedragsanalyse en gerichte reclame voor gebruikers die LinkedIn-profielen hebben aangemaakt (leden)”, aldus de Data Protection Commission (DPC). “Het besluit (…) gaat over de rechtmatigheid, eerlijkheid en transparantie van deze verwerking.”
De boete is uitgevaardigd op grond van de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie (EU), een wet op de privacy van informatie die een kader schept voor de verzameling, verwerking, opslag en overdracht van persoonlijke gegevens in de EU en de Europese Economische Ruimte ( EER). Het trad in werking op 25 mei 2018.
Uit het onderzoek, dat werd gestart naar aanleiding van een klacht die in 2018 bij de Franse gegevensbeschermingsautoriteit was ingediend, bleek dat LinkedIn inbreuk maakte op drie verschillende AVG-beginselen met betrekking tot transparantie en eerlijkheid: artikel 6 AVG en artikel 5, lid 1, onder a), artikel 13, lid 1. )(c) en 14, lid 1, onder c), en artikel 5, lid 1, onder a).
Dit omvat onder meer het niet vragen van de uitdrukkelijke toestemming van gebruikers of het niet voldoende informeren van gebruikers voorafgaand aan de verwerking van gegevens van derden van haar leden en het gebruiken van legitieme belangen als wettelijke basis voor het verwerken van gegevens van eigen partijen voor doelgerichte reclame. Naast de boete heeft LinkedIn drie maanden de tijd gekregen om zijn Europese activiteiten in overeenstemming te brengen met de AVG.
De DPC zei dat de toestemming verkregen op een manier die in overeenstemming is met de AVG vrijelijk moet worden gegeven, specifiek, geïnformeerd en een ondubbelzinnige indicatie van de wensen van de betrokkene. Ook wordt gesteld dat de verwerking op een eerlijke en transparante wijze moet plaatsvinden.
“De rechtmatigheid van de verwerking is een fundamenteel aspect van de wetgeving inzake gegevensbescherming en de verwerking van persoonsgegevens zonder een passende rechtsgrondslag is een duidelijke en ernstige schending van het fundamentele recht van een betrokkene op gegevensbescherming”, zei DPC-adjunct-commissaris Graham Doyle in een verklaring. .
In een reactie op de ontwikkeling zei het professionele netwerkplatform van Microsoft: “Hoewel we van mening zijn dat we de Algemene Verordening Gegevensbescherming (AVG) hebben nageleefd, werken we eraan om ervoor te zorgen dat onze advertentiepraktijken binnen de deadline van de IDPC aan deze beslissing voldoen.”
In gerelateerd nieuws heeft de Oostenrijkse privacy-non-profit noyb (afkorting van None Of Your Business) een klacht ingediend bij de Franse gegevensbeschermingsautoriteit tegen het sociale-mediabedrijf Pinterest omdat het zijn toevlucht nam tot ‘legitieme belangen’ om de activiteiten van gebruikers standaard te volgen om gerichte advertenties weer te geven zonder hun toestemming.
“In plaats van opt-in toestemming te vragen op grond van artikel 6(1)(a) AVG, beweert het ten onrechte een ‘legitiem belang’ te hebben bij het verwerken van de persoonlijke gegevens van mensen op grond van artikel 6(1)(f) AVG”, aldus noyb. “Tracking is standaard ingeschakeld en vereist een bezwaar (opt-out) van elke gebruiker om te stoppen.”
Een woordvoerder van Pinterest vertelde TechCrunch dat zijn “aanpak van gepersonaliseerde advertenties voldoet aan de AVG.”
