LinkedIn, GDPR İhlalleri Nedeniyle 310 Milyon Avro Para Cezasına Çarptırıldı
Sosyal medya platformu, kararı kabul etti ve reklam takip süreçlerinde değişiklikler yapacak.
İrlanda Veri Koruma Komisyonu (DPC), kişisel verileri davranış analizi ve hedefli reklamlar için kötüye kullandığına karar vererek LinkedIn’e 310 milyon € ceza verdi.
Bu karar, 2018 yılında gizlilik odaklı La Quadrature Du Net adlı kar amacı gütmeyen kuruluşun Fransız veri koruma otoritesine yaptığı şikayetin ardından geldi ve LinkedIn için ana denetim otoritesi olan DPC’ye iletildi.
Kişisel veriler hem üyelerin kendilerinden alınan birinci taraf verileri hem de LinkedIn’in üçüncü taraf ortakları aracılığıyla elde edilen verileri kapsıyordu.
Bu tür verilerin işlenmesi için onay, sözleşme gerekliliği veya meşru menfaatler gibi birkaç yasal gerekçeden biri gerekli, ancak belirli koşullar geçerli olmalı; örneğin bilgilendirilmiş onay, adalet ve şeffaflık gibi.
DPC’ye göre, LinkedIn bu koşulları yerine getirmekte başarısız oldu.
Onay konusunda, düzenleyici kurum, bu onayın özgür iradeyle verilmediğini, yeterince bilgilendirici olmadığını, belirli ya da açık bir şekilde verilmediğini belirtti.
Bu arada, DPC’ye göre LinkedIn, meşru menfaatler gerekçesine de güvenemezdi, çünkü kullanıcıların temel hak ve özgürlükleri, LinkedIn’in kendi menfaatlerinden üstün tutulmalıydı; ayrıca sözleşme gerekliliği de geçerli değildi.
DPC Başkan Yardımcısı Graham Doyle, “Veri işlemenin yasallığı, veri koruma hukukunun temel bir yönüdür ve uygun bir yasal dayanak olmaksızın kişisel verilerin işlenmesi, veri sahibinin veri koruma hakkına yönelik açık ve ciddi bir ihlaldir,” dedi.
Kararla birlikte LinkedIn’e bir uyarı yapıldı ve uygulamalarını GDPR ile uyumlu hale getirmesi emredildi. LinkedIn bulguları kabul etti.
LinkedIn yaptığı açıklamada, “Bugün, İrlanda Veri Koruma Komisyonu (IDPC), AB’deki bazı dijital reklam faaliyetlerimiz hakkında 2018’den beri devam eden iddialarla ilgili nihai kararını verdi,” dedi.
“GDPR ile uyumlu olduğumuza inansak da, reklam uygulamalarımızın IDPC’nin belirlediği süreye kadar bu karara uygun olmasını sağlamak için çalışıyoruz.”
Meta’ya geçen yıl verilen 1,55 milyar €’luk cezaya kıyasla daha düşük olsa da LinkedIn’e kesilen bu ceza, DPC’nin GDPR ihlalleri nedeniyle bir teknoloji şirketine verdiği en büyük cezalar arasında yer alıyor.
KnowBe4’de siber güvenlik farkındalığı lideri olan Javvad Malik, düzenleyicilerin kullanıcı haklarını aktif olarak korumasını görmenin olumlu olduğunu belirtti. Malik, olayın güçlü veri yönetişimi çerçevelerinin önemini vurguladığını ekledi.
Malik, “Bu, yasal dayanak olarak ‘meşru menfaatlere’ güvenmenin riskli bir strateji olduğunu ve önemli cezalara ve itibar kaybına yol açabileceğini hatırlatıyor,” dedi.
“Sonuç olarak, bu karar, kuruluşların iş modellerini ve hedefli reklamcılıkla ilgili etik değerleri yeniden değerlendirmelerinin ne kadar önemli olduğunu gözler önüne seriyor. Kullanıcıların açıkça bilgilendirildiği ve kendileri için en iyi kararları verme yetisine sahip olduğu daha kullanıcı odaklı modellere geçiş yapılması gerekiyor.”
