LinkedIn עיבדה והעבירה מידע אישי של משתמשים לצדדים שלישיים ללא בסיס חוקי הולם. כך נקבע במסגרת חקירה של רגולטור הפרטיות האירי (ה-DPC), במסגרתה החליט להטיל על החברה קנס בגובה 310 מיליון אירו.

החקירה בעניינה של לינקדאין נבעה מתלונה שהוגשה על ידי עמותת הפרטיות הצרפתית La Quadrature Du Net והועברה על ידי הרגולטור הצרפתי אל ה-DPC האירי, שם נמצא מטה לינקדאין.

החקירה העלתה שהבסיסים החוקיים עליהם טענה לינקדאין שהיא מסתמכת בפעולות עיבוד המידע שלה, בייחוד ביחס לניתוח התנהגותי ולפרסום ממוקד, אינם הולמים את דרישת סעיף 6 ל-GDPR שקובע שישה בסיסים חוקיים אפשריים לעיבוד מידע. ראשית, לינקדאין טענה כי היא מסתמכת על הסכמת המשתמשים כבסיס חוקי להעברת המידע לצדדים שלישיים. ואולם, ממצאי החקירה הצביעו על כך שמנגנוני ההסכמה שלינקדאין מעמידים לרשות המשתמשים אינם מאפשרים מתן הסכמה חופשית, מיודעת וספציפית, כך שאין בסיס חוקי ממשי להעברת המידע. בנוסף, לינקדאין טענה כי היא מבצעת שורה של פעולות עיבוד בהתבסס על האינטרס העסקי הלגיטימי שלה, אך הרגולטור האירי קבע כי משקלו של האינטרס של לינקדאין ביחס לאותן פעולות עיבוד נמוך ממשקלן של זכויות וחירויות היסוד של המשתמשים – ולפיכך הוא לא יכול לשמש כבסיס חוקי לעיבוד. עוד העלתה החקירה, כי לינקדאין ביצעה הפרות מסוימות של חובת ההודעה לנושאי המידע הקבועה בסעיפים 13 ו-14 לחוק.

לאור ממצאי החקירה, ה-DPC הטיל על לינקדאין קנס בגובה 310 מיליון אירו וצו עשה לתיקון הליקויים. מקור: Cyber Express (מאת: מיהיר באגווה).