LinkedIn wykorzystał nielegalnie adresy e-mail osób niebędących jego użytkownikami, aby ukierunkować kampanię reklamową prowadzoną na Facebooku. Sprawie przyjrzał się bliżej DPC (irlandzki urząd ochrony danych osobowych).
Jak wynika z raportu opublikowanego przez The Data Protection Commissioner (DPC) LinkedIn przetwarzał nielegalnie adresy e-mail około 18 MLN osób niebędących członkami serwisu w celu nadania kierunku reklamie na Facebooku. Skarga do DPC została złożona przez użytkownika spoza LinkedIn, dotyczyła bezprawnego pozyskania i wykorzystania jego adresu e-mail.
Kontrola LinkedIn przeprowadzony przez DPC
W związku ze złożoną skargą przeprowadzana została kontrola, która trwała od 1 stycznia 2018 roku do 24 maja 2018 roku. Podczas niej wykazano, że LinkedIn Corporation (LinkedIn Corp) z siedzibą w USA, przetwarzający dane w imieniu LinkedIn Ireland, przekazał około 18 MLN adresów e-mail osób niebędących użytkownikami w postaci zahasztagowanej lub zakodowanej Facebookowi w celu spersonalizowania reklamy, zachęcającej do rejestracji w serwisie LinkedIn.
Polubowne rozwiązanie skargi
Ostatecznie skarga została polubownie rozwiązana, a LinkedIn wdrożył szereg rozwiązań mających na celu zapobieżenie podobnym sytuacjom poprzez zaprzestanie przetwarzania w powyższy sposób danych.
To jednak nie koniec sprawy. DPC zaniepokojony problemami przeprowadził kolejną kontrolę w celu ustalenia, czy LinkedIn wdrożył odpowiednie środki bezpieczeństwa, ze szczególną uwagą zwróconą w kierunku przetwarzania danych osób niebędących użytkownikami. W rezultacie LinkedIn Ireland poinstruował LinkedIn Corp w sprawie ochrony danych osobowych i zgodnie z ustaleniami kazał usunąć dane osobowe powiązane z takim przetwarzaniem.
Na aprobatę z pewnością zasługują działania, jakie zostały podjęte przez LinkedIn oraz ścisła współpraca z organem nadzoru. Dzięki tak sprawnemu działaniu doszło do zapobieżenia dalszym naruszeniom w zakresie ochrony danych osobowych. Na marginesie należy dodać, że na LinkedIn nie została nałożona kara, ponieważ skarga wpłynęła przed 25 maja 2018 roku, czyli przed rozpoczęciem stosowania RODO, w tym okresie DPC, zgodnie z obowiązującymi uregulowaniami, nie miała kompetencji do nakładania kar finansowych.