Miljonböter för LinkedIn – otillräckligt samtycke och bristande transparens
LinkedIn fälls för GDPR-brister i annonsering och beteendeanalys
Den 24 oktober 2024 offentliggjorde den irländska dataskyddsmyndigheten Data Protection Commission (DPC) sitt slutliga beslut mot LinkedIn Ireland Unlimited Company efter en långvarig GDPR-granskning. Ärendet rörde LinkedIns behandling av personuppgifter för beteendeanalys och riktad annonsering och resulterade i böter på 310 miljoner euro, tillsammans med en reprimand och ett krav på att bolaget ska anpassa sin databehandling till GDPR.
Granskningen inleddes efter ett klagomål som lämnades in 2018 till den franska dataskyddsmyndigheten av den digitala rättighetsorganisationen La Quadrature du Net. Eftersom LinkedIns huvudkontor inom EU ligger i Irland blev den irländska myndigheten ansvarig för tillsynen enligt GDPR:s samarbetsmekanism. Utredningen fokuserade på om LinkedIns användning av medlemsdata uppfyllde kraven på laglighet, rättvisa och transparens.
Bristande samtycke och otillräcklig information låg bakom beslutet
Efter sin utredning slog DPC fast att LinkedIn brutit mot flera centrala bestämmelser i GDPR. Myndigheten ansåg att företaget inte hade en giltig rättslig grund för delar av behandlingen av personuppgifter för annonsering och analys. DPC konstaterade också att LinkedIn inte hade gett användarna tillräckligt tydlig information om hur deras data användes, vilket innebar brister i både transparens och rättvis behandling. Beslutet omfattade överträdelser av artiklarna 5, 6, 13 och 14 i GDPR.
Ett viktigt inslag i beslutet var att LinkedIns hänvisning till berättigat intresse inte godtogs för den aktuella behandlingen. DPC bedömde att bolagets kommersiella intressen i detta fall inte vägde tyngre än användarnas rätt till skydd för sina personuppgifter. Myndigheten accepterade inte heller att behandlingen kunde motiveras med andra rättsliga grunder på det sätt LinkedIn hade gjort gällande.
Böter på 310 miljoner euro och krav på ändrade dataprocesser
Som följd av beslutet ålades LinkedIn tre administrativa sanktionsavgifter som tillsammans uppgår till 310 miljoner euro. DPC utfärdade också en officiell reprimand och beordrade företaget att bringa sin behandling av personuppgifter i överensstämmelse med GDPR inom den tidsram myndigheten satt upp.
LinkedIn har efter beslutet uppgett att bolaget arbetar med att säkerställa att dess annonspraktik uppfyller myndighetens krav. Samtidigt visar beslutet hur höga krav som ställs på företag som arbetar med personuppgifter, digital annonsering och beteendebaserad marknadsföring inom EU.
Vad LinkedIn-fallet betyder för företag som arbetar med persondata
Beslutet mot LinkedIn visar tydligt att företag som använder personuppgifter för marknadsföring, annonsering och analys måste kunna visa att behandlingen har en korrekt rättslig grund och att användarna får tydlig och begriplig information om hur deras data används. Fallet understryker också att samtycke enligt GDPR måste vara frivilligt, specifikt, informerat och otvetydigt för att vara giltigt.
För företag som verkar i den digitala ekonomin är detta ännu ett exempel på att dataskydd, transparens och ansvarsfull personuppgiftsbehandling inte bara är juridiska krav, utan också centrala frågor för förtroende, varumärke och långsiktig affärsutveckling.
