De Ierse Gegevensbeschermingsautoriteit (DPC, naar haar Engelse afkorting) heeft een definitieve beslissing uitgevaardigd tegen LinkedIn Ireland Unlimited Company, waarbij een boete van 310 miljoen euro is opgelegd wegens inbreuken op de Algemene Verordening Gegevensbescherming (AVG). Deze beslissing markeert een mijlpaal in het toezicht op gerichte advertentiepraktijken en gedragsanalyse, door de legitimiteit van door LinkedIn gebruikte methoden voor het verwerken van persoonsgegevens van gebruikers in de Europese Unie in vraag te stellen.
Het onderzoek, dat begon in 2018 na een klacht van de Franse organisatie La Quadrature Du Net, beoordeelde de legaliteit, transparantie en eerlijkheid van het gebruik van persoonsgegevens op LinkedIn voor gerichte reclame en de gedragsanalyse van gebruikers met profielen op het platform.
Wat waren de bevindingen van de DPC?
De beslissing van de DPC, medegedeeld aan LinkedIn op 22 oktober 2024, wijst op verschillende schendingen van de AVG, waaronder:
- Schending van de legaliteit bij gegevensverwerking: Volgens Artikel 6 van de AVG moet gegevensverwerking gebaseerd zijn op een geldige juridische grondslag. LinkedIn slaagde er niet in om geïnformeerd, specifiek en ondubbelzinnig toestemming te verkrijgen om gegevens van derden te verwerken voor gerichte reclame. Bovendien kon het rechtmatig belang van het bedrijf niet zwaarder wegen dan de fundamentele rechten en vrijheden van de gebruikers, die, volgens de DPC, nadelig worden beïnvloed door overmatige gegevensverzamelingspraktijken.
- Gebrek aan transparantie en eerlijkheid: De DPC benadrukte dat LinkedIn gebruikers niet op adequate wijze heeft geïnformeerd over de juridische gronden die de gegevensverwerking rechtvaardigen, in strijd met de artikelen 13 en 14 van de AVG. Ook werd het gebrek aan transparantie gezien als een element dat de autonomie van gebruikers over hun persoonlijke informatie ondermijnt.
Boete en corrigerende maatregelen
De beslissing van de DPC legt LinkedIn drie administratieve sancties op die in totaal 310 miljoen euro bedragen en een formele waarschuwing. Bovendien wordt van het bedrijf verlangd dat het zijn gegevensverwerkingspraktijken in lijn brengt met de AVG, wat impliceert dat er veranderingen moeten worden aangebracht in het privacybeleid van het bedrijf en in de methoden om toestemming van haar Europese gebruikers te verkrijgen.
De adjunct-commissaris van de DPC, Graham Doyle, zei over de beslissing: “De legaliteit van de verwerking van persoonsgegevens is een fundamenteel aspect van de gegevensbeschermingswetgeving, en het verwerken van deze zonder een adequate juridische basis vormt een duidelijke schending van het fundamentele recht van de betrokkenen”.
Reactie van LinkedIn
In een verklaring gepubliceerd op 24 oktober 2024 verdedigde LinkedIn haar praktijken en beweerde dat deze reeds in overeenstemming waren met de AVG. Echter heeft het bedrijf uitgesproken bereid te zijn om de vereiste veranderingen te implementeren om zich aan te passen aan de beslissing van de DPC.
“Hoewel we geloven dat onze praktijken voldoen aan de AVG, zullen we werken om te verzekeren dat onze advertentie-inspanningen voldoen aan de deadline gesteld door de DPC”, verklaarde LinkedIn in haar publieke verklaring.
Een belangrijk precedent voor privacy in de EU
Deze beslissing is een waarschuwing voor platformen die gebruikersgegevens gebruiken voor gedragsanalyse en gerichte reclame. Door hun beslissingen te baseren op principes van transparantie, eerlijkheid en autonomie, toont de DPC haar inzet voor de bescherming van de privacyrechten van Europese burgers.