Data Protection Commission (DPC) har utfärdat en sanktionsavgift på 310 miljoner euro mot LinkedIn Ireland Unlimited Company för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den franska icke-vinstdrivande organisationen La Quadrature du Net under 2018 lämnat in ett klagomål mot LinkedIn för olaglig behandling av personuppgifter. Klagomålet hade ursprungligen lämnats in till den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) och togs senare över av den irländska dataskyddsmyndigheten Data Protection Commission (DPC) som ansvarig tillsynsmyndighet för LinkedIn.
Utredningen analyserade LinkedIns behandling av personuppgifter för beteendeanalys och riktad reklam till sina användare, och fokuserade på skyldigheten att tillhandahålla information till registrerade och huruvida LinkedIn kunde förlita sig på en rättslig grund enligt artikel 6 GDPR för denna behandling.
DPC:s utredning visade att ingen av de rättsliga grunder som LinkedIn åberopat motiverade den aktuella behandlingen. I synnerhet hade användarnas samtycke till denna behandling inte varit frivilligt, tillräckligt informerat, specifikt eller otvetydigt. Vidare åsidosattes LinkedIns berättigade intressen av de registrerades intressen och grundläggande rättigheter och friheter och LinkedIn kunde inte åberopa att behandlingen var nödvändig för att fullgöra avtalet mellan parterna enligt artikel 6.1 (b) GDPR.
Dessutom visade DPC:s utredning att den information som LinkedIn lämnat till de registrerade om den rättsliga grund som LinkedIn hävdade att man stödde sig på, nämligen artikel 6.1 (a), 6.1 (b) och 6.1 (f) GDPR, var otillräcklig.
DPC konstaterade därför att LinkedIn inte kunde åberopa samtycke enligt artikel 6.1 (a) GDPR, berättigade intresse enligt artikel 6.1 (f) GDPR eller avtalsenlig nödvändighet enligt artikel 6.1 (b) GDPR för sin behandling. DPC konstaterade även att LinkedIn agerat i strid med principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR, och att den information som lämnats till de registrerade stred mot informationskraven enligt artiklarna 13.1 (c) och 14.1 (c) GDPR.
Genom tre administrativa sanktionsavgifter får LinkedIn totalt 310 000 000 euro för överträdelser av artiklarna 5.1 (a), 6.1 (a), 6.1 (f), 6.1 (b), 13.1 (c)och 14.1 (c) GDPR. Utöver sanktionsavgifterna utfärdade DPC en reprimand enligt artikel 58.2 (b) GDPR och förelade LinkedIn att se till att företagets behandling av personuppgifter överensstämde med kraven i GDPR.