2024 年 10 月 24 日
爱尔兰数据保护委员会 (DPC) 今天宣布了对 LinkedIn Ireland Unlimited Company (LinkedIn) 进行调查后的最终决定。此次调查由 DPC 发起,作为 LinkedIn 的主要监管机构,此前该公司最初向法国数据保护局提出了投诉。
调查调查了 LinkedIn 处理个人数据的情况,这些个人数据用于行为分析[1]和针对创建 LinkedIn 个人资料的用户(会员)投放定向广告[2]。该决定由数据保护专员 Des Hogan 博士和 Dale Sunderland 做出,并于 2024 年 10 月 22 日通知 LinkedIn,涉及此类处理的合法性、公平性和透明度。该决定包括谴责、要求 LinkedIn 使其处理合规以及总计 3.1 亿欧元的行政罚款。
根据 GDPR 第 60 条的要求,DPC 于 2024 年 7 月向 GDPR 合作机制提交了一份决议草案。DPC 的决议草案无人提出异议。DPC 感谢欧盟/欧洲经济区同行监管机构在本案中的合作与协助。
DPC 的最终决定记录了以下违反 GDPR 的调查结果:
1.GDPR 第 6 条和第 5(1)(a) 条规定,处理个人数据必须合法,例如 LinkedIn:
*由于 LinkedIn 获得的同意不是自愿给出的、信息充分或具体的,或明确的,因此,不能有效地依据 GDPR 第 6(1)(a) 条(同意)来处理其成员的第三方数据以进行行为分析和定向广告。
* 未能有效依赖 GDPR 第 6(1)(f) 条(合法利益)来处理其会员的第一方个人数据以进行行为分析和定向广告,或处理第三方数据以进行分析,因为 LinkedIn 的利益被数据主体的利益和基本权利和自由所取代。
*没有有效地依赖 GDPR 第 6(1)(b) 条(合同必要性)来处理其成员的第一方数据以进行行为分析和定向广告。
2.GDPR 第 13(1)(c) 条和第 14(1)(c) 条,关于 LinkedIn 向数据主体提供的有关其依赖 GDPR 第 6(1)(a) 条、第 6(1)(b) 条和第 6(1)(f) 条作为合法依据的信息。
3.GDPR 第 5(1)(a) 条,公平原则。
DPC 副专员 Graham Doyle 评论道:“处理的合法性是数据保护法的一个基本方面,在没有适当法律依据的情况下处理个人数据明显严重侵犯了数据主体的基本数据保护权利。”
DPC 将适时公布完整的决定和进一步的相关信息。
背景资料
该决定与一项基于投诉的调查有关,该调查于 2018 年 8 月 20 日启动,起因是法国非营利组织 La Quadrature Du Net 提出投诉。该投诉最初是向法国数据保护局提出的,随后提交给 DPC,DPC 是 LinkedIn 的主要监管机构,而 LinkedIn 是相关个人数据处理的控制者。
此次调查旨在审查 LinkedIn 平台用户个人数据处理是否合法、公平和透明,以用于行为分析和定向广告。涉及的个人数据包括 LinkedIn 会员直接提供给 LinkedIn 的数据(第一方数据)以及通过其第三方合作伙伴获得的与其会员相关的数据(第三方数据)。
GDPR 要求个人数据的处理必须基于 GDPR 第 6(1) 条概述的法律基础之一,例如同意、合同必要性或合法利益。根据控制者选择的合法基础,必须满足某些条件。例如,获得的任何同意都必须符合 GPDR 要求的标准,即是数据主体自愿给予的、具体的、知情的和明确表明其意愿。
GDPR 还要求以公平的方式进行处理。公平是一项总体原则,要求不得以对数据主体有害、歧视、意外或误导的方式处理个人数据。缺乏公平可能导致数据主体对其个人数据失去自主权,使他们无法行使其他 GDPR 权利,并影响他们的基本隐私权和个人数据保护权。
透明度是数据保护的另一个重要方面,它使数据主体能够控制其个人数据的处理。控制者遵守透明度规定可确保数据主体事先充分了解其个人数据处理的范围和后果,并能够行使其权利。
DPC的最终决定行使了以下纠正权力:
根据《GDPR》第 58(2)(b) 条进行谴责;
根据《GDPR》第 58(2)(i) 条和第 83 条,处以三项行政罚款,总额为 3.1 亿欧元;以及
命令 LinkedIn 根据第 58(2)(d) 条使其处理符合 GDPR 的规定。
