Ірландський регулятор оштрафував LinkedIn на €310 млн

25 жовтня 2024 139 IT комiтет, Data privacy комiтет

Автор: Едуард Голодницький, Президент International Advisers Association, CEO Firm24

Ірландський регулятор захисту даних наклав штраф у розмірі 310 мільйонів євро на LinkedIn Ireland Unlimited Company (LinkedIn) - дочірню компанію Microsoft.

Irish Data Protection Commission (DPC) є провідним регулятором конфіденційності в Європейському Союзі для більшості провідних американських інтернет-компаній через те, що їхні операції в ЄС здійснюються в цій країні.

«Обробка персональних даних без відповідної правової бази є явним і серйозним порушенням фундаментального права суб'єктів даних на захист даних», - йдеться в заяві заступника комісара DPC Грема Дойла.

Минулого року компанія Microsoft заявила, що очікує, що її підрозділ LinkedIn заплатить близько 425 мільйонів доларів США за потенційний штраф від ірландського регулятора.
LinkedIn у своїй заяві сказав: «Хоча ми вважаємо, що дотримувалися Загального регламенту про захист даних (GDPR), ми працюємо над тим, щоб наші рекламні практики відповідали цьому рішенню до кінцевого терміну, встановленого IDPC».

Це розслідування було розпочато DPC, як головним наглядовим органом за діяльністю LinkedIn, після скарги французької неприбуткової організації La Quadrature Du Net, поданої в 2018 році спочатку до Французького органу захисту даних.

Розслідування стосувалося обробки LinkedIn персональних даних з метою поведінкового аналізу та таргетованої реклами користувачів, які створили профілі учасників LinkedIn. Рішення, яке було ухвалене комісарами із захисту даних  та повідомлене LinkedIn 22 жовтня 2024 року, стосується законності, справедливості та прозорості цієї обробки. Рішення включає догану, наказ для LinkedIn привести свою обробку у відповідність, а також адміністративні штрафи на загальну суму 310 мільйонів євро.

DPC подав проект рішення до механізму співпраці GDPR ще у липні 2024 року згідно ст. 60 GDPR. Жодних заперечень щодо проєкту рішення не було висловлено.

В остаточному рішенні зафіксовані наступні висновки щодо порушення GDPR:

1) Стаття 6 GDPR та стаття 5(1)(a) GDPR, оскільки вони вимагають, щоб обробка персональних даних була законною, як у випадку з LinkedIn:

  • Неправомірно покладався на статтю 6(1)(а) GDPR (згода) на обробку даних третіх осіб про своїх членів з метою аналізу поведінки та таргетованої реклами на підставі того, що згода, отримана LinkedIn, не була вільно надана, достатньо поінформована, конкретна або однозначна.
  • Неправомірно покладався на статтю 6(1)(f) GDPR (законні інтереси) при обробці персональних даних своїх членів з метою поведінкового аналізу та таргетованої реклами або даних третіх осіб для аналітики, оскільки інтереси LinkedIn переважали над інтересами та основоположними правами і свободами суб'єктів даних.
  • Неправомірно покладався на статтю 6(1)(b) GDPR (договірна необхідність) для обробки даних третіх осіб про своїх членів з метою поведінкового аналізу та таргетованої реклами.

2) Статті 13(1)(c) та 14(1)(c) GDPR щодо інформації, яку LinkedIn надав суб'єктам даних про те, що він покладається на статтю 6(1)(a), статтю 6(1)(b) та статтю 6(1)(f) GDPR як на законні підстави.

3) Стаття 5(1)(а) GDPR, принцип справедливості.

DPC ще аз зазначає, що GDPR вимагає, щоб обробка персональних даних ґрунтувалася на одній із правових підстав, зазначених у статті 6(1) GDPR, таких як згода, договірна необхідність або законні інтереси. Залежно від обраної контролерами законної підстави, мають бути дотримані певні умови. Наприклад, будь-яка отримана згода повинна відповідати стандарту, передбаченому GPDR, а саме бути вільно наданою, конкретною, поінформованою та недвозначно вказувати на бажання суб'єкта даних. GDPR також вимагає, щоб обробка здійснювалася у справедливий спосіб. Справедливість - це всеосяжний принцип, який вимагає, щоб персональні дані не оброблялися у спосіб, який завдає шкоди, є дискримінаційним, несподіваним або вводить в оману суб'єкта даних. Відсутність справедливості може призвести до втрати автономії суб'єктів даних щодо їхніх персональних даних, поставити їх у становище, коли вони можуть бути не в змозі реалізувати інші права, передбачені GDPR, і вплинути на їхні фундаментальні права на недоторканність приватного життя та захист персональних даних.