Kłopoty Linkedin. Portal społecznościowy wykorzystał adresy e-mail osób niebędących członkami serwisu do kupowania ukierunkowanych reklam na Facebooku.

Business computer with email marketing.

Według raportu opublikowanego przez Helen Dixon, irlandzką DPC (Data Protection Commissioner – odpowiednik rodzimego PUODO), portal LinkedIn nielegalnie wykorzystał bazę około 18 mln adresów e-mail osób niebędących zarejestrowanych w tym serwisie na potrzeby ukierunkowanej kampanii reklamowej na Facebooku.

Kontrola przeprowadzona przez DPC była wynikiem skargi zgłoszonej przez osobę, która nie była zarejestrowanym użytkownikiem serwisu.

Według skarżącego, Linkedin nielegalnie wykorzystywał adresy e-mail osób nie będących członkami serwisu dla celów reklamowych. Na skutek skargi DPC przystąpiło do przeprowadzenia audytu, który miał na celu sprawdzić, w jaki sposób przetwarzane są dane osobowe przez amerykańskiego giganta.

W wyniku kontroli stwierdzono, iż LinkedIn użył blisko 18 mln adresów e-mail osób nie będących użytkownikami portalu w celu wyświetlania ukierunkowanych reklam na Facebooku, które miały zachęcić do rejestracji w ich serwisie. Adresy e-mail był przesyłane do Facebooka w postaci „zhashowanej” lub zakodowanej, która umożliwiała Facebookowi dostarczanie reklam do docelowych odbiorców, tj. osób nie posiadających konta na Linkedin “bez wymaganych instrukcji ze strony administratora danych” –którym w tym przypadku był LinkedIn Ireland.

Skarga została ostatecznie rozwiązana polubownie, a LinkedIn natychmiast wdrożył szereg działań mających na celu zaprzestanie przetwarzania danych użytkownika w celach, które doprowadziły do ​​złożenia skargi” – powiedziała Helen Dixon, irlandzka komisarz ds. ochrony danych osobowych.

Jednakże w następstwie skargi DPC wskazała, że ​​jest zaniepokojona zidentyfikowanymi „problemami systemowymi” i w następstwie rozpoczęła kolejny audyt w celu sprawdzenia, czy LinkedIn stosował odpowiednie środki zabezpieczenia, w szczególności w zakresie przetwarzania danych dotyczących osób niebędących członkami serwisu.

Audyt wykazał, że LinkedIn Corp dokonała wstępnej kalkulacji sugerowanej sieci zawodowej dla członków spoza LinkedIn” – czytamy w raporcie. Najprawdopodobniej założeniem tej funkcjonalności miało być to, że nowa osoba nie będzie musiała budować od zera swojej sieci kontaktów w serwisie. „W wyniku ustaleń naszego audytu firma LinkedIn Corp została poinstruowana przez LinkedIn Ireland, która jest administratorem danych użytkowników w UE, o zaprzestaniu tego rodzaju przetwarzania i usunięciu wszystkich danych osobowych związanych z takim przetwarzaniem przed 25 maja 2018 roku. 

Doceniamy dochodzenie DPC z 2017 r. w sprawie skargi dotyczącej kampanii reklamowej i w tym zakresie w pełni współpracowaliśmy z audytorami. Niestety, zastosowane przez nas procesy i procedury nie były właściwie przestrzegane i za to przepraszamy. – powiedział Denis Kelleher, dyrektor ds. ochrony prywatności LinkedIn na region EMEA (Europa, Bliski Wschód i Afryka).

„Podjęliśmy odpowiednie działania i udoskonaliliśmy sposób, w jaki działamy, aby upewnić się, że to już się nie powtórzy. Podczas audytu zidentyfikowaliśmy także jeden dodatkowy obszar, w którym moglibyśmy poprawić ochronę danych osób niebędących członkami serwisu, i w wyniku tego dobrowolnie zmieniliśmy nasze praktyki. ” – dodaje.

Warto zwrócić uwagę na fakt, że audyt był przeprowadzony przed 25 maja 2018 roku., czyli przed wejściem w życie przepisów RODO. Gdyby skarga na działania LinkedIn wpłynęła do DPC po 25 maja 2018 roku, to amerykańskiemu gigantowi mogłaby grozić wysoka kara, która zgodnie z obowiązującymi przepisami może wynieść do 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która jest wyższa.

https://www.irishtimes.com/news/ireland/irish-news/linkedin-processed-18-million-email-addresses-of-non-users-for-targeted-advertising-1.3708284

https://www.dataprotection.ie/docimages/documents/DPC%20Final%20Report%202018EN(1).pdf

https://zaufanatrzeciastrona.pl/post/linkedin-reklamowal-sie-na-facebooku-nielegalnie-wykorzystujac-e-maile/

Marcin Szewerniak

 

 

About Redakcja 320 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.