Την επιβολή προστίμου ύψους 310 εκατομμυρίων ευρώ στο LinkedIn ανακοίνωσε η ιρλανδική αρχή προστασίας δεδομένων DPC για την παραβίαση απαιτήσεων νομιμότητας του Γενικού Κανονισμού Προστασίας Δεδομένων. Η DPC ενήργησε ως επικεφαλής εποπτική αρχή, δεδομένου πως η LinkedIn έχει έδρα στην Ιρλανδία, μετά από καταγγελία που υποβλήθηκε στη γαλλική αρχή προστασίας δεδομένων CNIL.

Η ιρλανδική αρχή διεξήγαγε έλεγχο ως προς το κατά πόσον η επεξεργασία προσωπικών δεδομένων των χρηστών του δημοφιλούς μέσου κοινωνικής δικτύωσης για τους σκοπούς της συμπεριφορικής ανάλυσης και της στοχευμένης διαφήμισης ήταν σύμφωνη με τις απαιτήσεις νομιμότητας του ΓΚΠΔ. Με την απόφασή της, η οποία κοινοποιήθηκε στην αμερικανική εταιρεία στις 22 Οκτωβρίου, η DPC διαπίστωσε πως το LinkedIn παραβίασε τη θεμελιώδη αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας του άρθρου 5 παρ.1α ΓΚΠΔ και της επέβαλε πρόστιμο, δίδοντάς της παράλληλα την εντολή όπως διορθώσει τις πρακτικές της.

Η απόφαση της ιρλανδικής αρχής υποβλήθηκε σε σχέδιο στις υπόλοιπες εποπτικές αρχές του Γενικού Κανονισμού, στο πλαίσιο του μηχανισμού συνεργασίας του άρθρου 60 ΓΚΠΔ, χωρίς την υποβολή από πλευράς τους ενστάσεων, όπως είχε συμβεί σε άλλες διασυνοριακές υποθέσεις που έχει χειριστεί στο πρόσφατο παρελθόν.

Αναλυτικά, οι παραβάσεις που διαπιστώθηκαν ήταν:

α. Της νομιμότητας των άρθρων 5 παρ.1α και 6 ΓΚΠΔ, καθώς το LinkedIn:

– Βασίστηκε μη νόμιμα στη συγκατάθεση (άρθρο 6 παρ.1α’ ΓΚΠΔ) για την επεξεργασία δεδομένων τρίτου μέρους των χρηστών του προς τον σκοπό της συμπεριφορικής ανάλυσης και στοχευμένης διαφήμισης, καθώς η συγκατάθεση αυτή δεν πληρούσε τις απαιτήσεις του Γενικού Κανονισμού.

– Βασίστηκε μη νόμιμα στο έννομο συμφέρον της (άρθρο 6 παρ.1στ’ ΓΚΠΔ) για την επεξεργασία δεδομένων πρώτου μέρους των χρηστών της για τον σκοπό της συμπεριφορικής ανάλυσης και στοχευμένης διαφήμισης και δεδομένων τρίτου μέρους για σκοπούς analytics, καθώς τα έννομα συμφέροντά της δεν υπερείχαν των συμφερόντων, δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων.

– Βασίστηκε μη νόμιμα στην εκτέλεση σύμβασης (άρθρο 6 παρ.1β’ ΓΚΠΔ) για την επεξεργασία δεδομένων πρώτου μέρους των χρηστών της για τον σκοπό της συμπεριφορικής ανάλυσης και στοχευμένης διαφήμισης.

β. Των άρθρων 13 παρ.1γ’ και 14 παρ.1γ’ ΓΚΠΔ, ως προς την ενημέρωση που παρείχε η εταιρεία στα υποκείμενα των δεδομένων σχετικά με τις νομικές βάσεις της επεξεργασίας της.

γ. Της αρχής της θεμιτής επεξεργασίας του άρθρου 5 παρ.1α’ ΓΚΠΔ.

Το πλήρες κείμενο της απόφασης δεν δημοσιεύτηκε, με την ιρλανδική αρχή να επιφυλάσσεται να το κάνει σε δεύτερο χρόνο.

Με πληροφορίες από το δελτίο τύπου της DPC και lawspot.gr