(网经社讯)爱尔兰数据保护委员会(DPC)今日宣布,对领英爱尔兰公司作出最终裁决,此前,根据法国数据保护机构最初提出的投诉,DPC作为领英的主要监管机构,启动了对领英的调查。
一、违法行为
调查重点在于领英处理个人数据的行为,这些数据被用于分析用户行为[1]以及向创建了领英账户的会员[2]提供定向广告。由数据保护专员德斯·霍根博士和戴尔·桑德兰做出的这一决定,于2024年10月22日通知了领英,涉及数据处理的合法性、公正性和透明度。该决定包括对领英的警告、要求其数据处理活动符合规定,并处以总计3.1亿欧元的行政罚款。
注1:行为分析是指利用个人提供的信息、从个人行为中推断出的信息或对个人观察到的信息,来决定向该个人展示哪些广告,或者将这些信息与其他数据聚合,用于进行定向广告投放的整个过程。
注2:定向广告是指根据个人提供的信息或对其行为的推断和/或观察,向特定个人展示特定广告的过程。
DPC于2024年7月根据《通用数据保护条例》(GDPR)第60条的规定,向GDPR合作机制提交了初步决定草案[3]。该草案未收到任何反对意见。DPC对于其欧盟/欧洲经济区同僚监管机构在此案中的合作与协助表示感谢。
注3:GDPR第60条规范了主要监督机构与其他相关监督机构之间的合作程序。
-未能有效依据GDPR第6条(1)(a)条(同意)处理其会员的第三方数据,用于行为分析和定向广告,因为领英获得的同意并非自愿、充分知情或具体明确。
-未能有效依据GDPR第6条(1)(f)条(合法利益)处理其会员的第一方个人数据,用于行为分析和定向广告,或处理第三方数据进行分析,因为领英的利益被数据主体的利益和基本权利及自由所超越。
-未能有效依据GDPR第6条(1)(b)条(合同必要性)处理其会员的第一方数据,用于行为分析和定向广告。
DPC副专员格雷厄姆·多伊尔表示:数据处理的合法性是数据保护法的一个核心要素,缺乏适当法律依据的个人数据处理是对数据主体基本数据保护权利的明显和严重侵犯。
DPC将在适当时候公布完整的决定和更多相关信息。
二、进一步信息
这一决定涉及一项基于投诉的调查,该调查始于2018年8月20日,起因是法国非营利组织“网络四方”(La Quadrature Du Net)提出的投诉。最初,该投诉提交给了法国数据保护机构,随后根据其作为领英主要监督机构的职责,转交给了DPC,领英作为处理争议个人数据的控制者。
这次调查审视了领英平台用户个人数据的处理是否合法、公正和透明,这些数据的处理目的在于行为分析和定向广告。所涉及的个人数据包括领英会员直接提供给领英的数据(第一方数据)以及通过第三方合作伙伴获得的与其会员相关的数据(第三方数据)。
GDPR要求处理个人数据必须基于第6条(1)款列出的法律依据之一,例如同意、合同必要性或合法利益。根据控制者选择的合法依据,必须满足特定条件。例如,任何获得的同意必须满足GDPR规定的标准,即同意必须是自愿给出的、具体的、知情的,并且是数据主体意愿的明确表示。
GDPR还要求处理必须以公正的方式进行。公正是一项总体原则,要求个人数据的处理方式不得对数据主体不利、歧视性、出人意料或误导。缺乏公正可能导致数据主体失去对其个人数据的自主权,使他们无法行使其他GDPR权利,并影响他们对隐私和个人数据保护的基本权利。
透明度是数据保护的另一个关键方面,它赋予数据主体对其个人数据的处理拥有控制权。控制者遵守透明度规定,确保数据主体能够充分了解其个人数据处理的范围和后果,并能够行使他们的权利。
DPC最终决定采取以下纠正措施:
-根据GDPR第58条(2)(b)款,发出警告;
-根据GDPR第58条(2)(i)款和第83条,处以总计3.1亿欧元的三项行政罚款;以及
-根据GDPR第58条(2)(d)款,命令领英使其处理行为符合GDPR的规定。