Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 240 000 euro mot Kaspr för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Kaspr driver ett webbläsartillägg i Chrome som gör det möjligt för användare att få företagsuppgifter om personer vars LinkedIn-profil de har besökt. I juli 2022 genomförde CNIL en tillsyn av efterlevnaden av GDPR hos Kaspr. Tillsynen visade att cirka 160 miljoner kontakter ingick i Kasprs databas. Posterna omfattade efternamn, förnamn, e-postadress, telefonnummer, URL till LinkedIn-profil eller andra sociala nätverk, arbetsgivare, företag, befattning, kompetens, yrkesintresse, karriär, anställningsdatum och slutdatum för befattningen, utbildning, arbetsplats, uppgiftskälla och insamlingsdatum.
På LinkedIn kan användarna välja mellan fyra olika synlighetsalternativ: Endast synlig för mig, Alla på LinkedIn, 1:a gradens kontakter och 1:a och 2:a gradens kontakter. Kaspr samlade in kontaktuppgifter om LinkedIn-användare som gjort sina uppgifter synliga för Alla På LinkedIn och för de användare som begränsat synligheten till 1:a och 2:a gradens kontakter.
Fyra år efter införandet av Kaspr-verktyget underrättade Kaspr de registrerade genom att skicka ett e-postmeddelande där de informerades om förfarandet och gavs möjlighet att invända mot behandlingen genom att klicka på en länk i e-postmeddelandet. När de registrerade lämnade in en begäran om tillgång enligt artikel 15 GDPR svarade Kaspr endast att deras personuppgifter hämtades från allmänt tillgängliga källor.
Kaspr hävdade att behandlingen grundar sig på företagets berättigade intresse av att underlätta kontakter mellan yrkesverksamma personer, vilket överensstämmer med avsikterna hos de registrerade som är aktiva på LinkedIn. Vidare anfördes att identitetsverifiering rimligen bör förväntas av användare av en professionell nätverkstjänst och att uppgifter samlades in i enlighet med de valda alternativen på LinkedIn.
CNIL konstaterade att behandlingen av personuppgifter från LinkedIn-användare som begränsat sin synlighet saknade rättslig grund enligt artikel 6 GDPR. CNIL framhöll att de användare som valt alternativen synligt för 1:a gradens kontakter och 1:a och 2:a gradens kontakter uttryckligen har begränsat synligheten för sina kontaktuppgifter. Enbart det faktum att användarna begränsat och inte helt nekat tillgång till sina kontaktuppgifter gav inte Kaspr tillstånd att samla in dessa uppgifter eftersom användarna inte rimligen kunde förvänta sig att denna behandling skulle ske.
CNIL konstaterade vidare att Kasprs policy för lagring av personuppgifter innebar en automatisk förlängning av lagringsperioden och potentiellt ledde till en obegränsad lagring av personuppgifter utan en tydligt angiven lagringsbegränsning. Enligt CNIL var detta inte proportionerligt och uppfyllde inte kraven på principen om lagringsminimering enligt artikel 5.1 (e) GDPR.
Utöver det faktum att Kaspr informerat de registrerade först fyra år efter att ha börjat behandla deras personuppgifter, konstaterade CNIL att Kaspr skickat e-postmeddelandet uteslutande på engelska. Vidare konstaterade CNIL att Kaspr inte lämnat all tillgänglig information om personuppgifternas källa. Även om Kaspr inte kunde spåra den specifika källan till uppgifterna för varje registrerad, konstaterades att Kaspr känt till vissa källor och borde ha upplyst om dessa. CNIL konstaterade även att dessa källor inte angavs i integritetspolicyn. Enligt CNIL innebar detta en underlåtenhet att tillhandahålla adekvat insyn enligt artikel 12 GDPR och information enligt artikel 14 GDPR.
För ovanstående överträdelser utfärdade CNIL sanktionsavgifter på 240 000 euro. CNIL förelade även Kaspr att korrigera sin behandling av personuppgifter inom en sexmånadersperiod. CNIL beordrade särskilt Kaspr att sluta samla in uppgifter om LinkedIn-användare som har valt att begränsa synligheten för sina kontaktuppgifter och radera dessa uppgifter. Om Kaspr inte kan identifiera vilka användare som har begränsat synligheten av sina uppgifter, ska Kaspr informera alla registrerade om behandlingen och möjligheten att invända mot den inom tre månader. CNIL specificerade att de insamlade uppgifterna endast får användas för detta ändamål.
Vidare beordrade CNIL Kaspr att upphöra med den automatiska förnyelsen av lagringsperioden i avvaktan på en uppdatering av personuppgifter, informera de registrerade om behandlingen på ett språk som de förstår, samt svara på begäran om tillgång på lämpligt sätt och inkludera all tillgänglig information om källan till de insamlade personuppgifterna.