Az ír adatvédelmi hivatal a LinkedIn adatkezelését is vizsgálta
Büntetés nélkül, még május 25-e előtt figyelmeztette az írországi adatvédelmi hatóság a LinkedInt néhány adatvédelmi problémára, főleg a közösségi oldalra még nem regisztrált tagok adatainak feldolgozásával kapcsolatban.
Kiderült az írországi adatvédelmi biztos jelentéséből, hogy a hatóság a Microsoft-tulajdonában álló LinkedIn adatvédelmet sértő gyakorlatával kapcsolatban is nyomozást folytatott a GDPR-előkészületei során. A jelentés a helyi adatvédelmi hatóság január és május végi munkájának eredményeit foglalja össze, amelyben több ismert adatvédelmi ügy is szerepel, köztük a Facebook arcfelismerő funkciójának vizsgálata, a Facebook és a WhatsApp közti adatmegosztás gyakorlata, valamint a Yahoo 500 millió felhasználót érintő adatszivárgása. A LinkedInnel kapcsolatban azonban eddig nem volt közismert a vizsgálat, amely a nem-LinkedIn felhasználóknak Facebookon megjelenített reklámokat és az ajánlórendszer működését foglalta magába.
A LinkedIn megkérdőjelezhető gyakorlatával kapcsolatos problémát 2017-ben jelentette egy meg nem nevezett felhasználó, melynek következtében az ír hatóság vizsgálatot indított. A megállapítás szerint a szakmai közösségi oldal 18 millió amerikai nem-LinkedIn felhasználó email-címeit kezelte helytelenül, miközben célzott reklámokat jelenített meg számukra Facebookon, azaz saját szolgáltatását népszerűsítette a tagság növelése érdekében. Eközben viszont az adatkezelő LinkedIn Ireland nem tüntette fel a megcélzott felhasználók számára a kitételeket, amelyeket az 1988-as és 2003-as írországi adatvédelmi törvény 2C(3) cikkelye elvár adatfeldolgozás során az adatkezelőtől, vagyis a felhasználók számára az email-címük megszerzése és kezelése egyáltalán nem volt átlátható - egyébként továbbra sem derült ki, hogy a LinkedIn hogyan jutott hozzá a 18 millió email-címhez.
Az írországi adatvédelmi hivatalba beérkezett panaszok száma 2017-ben megugrott
A jelentés szerint a Microsoft a figyelmeztetést követően számos azonnali intézkedést végrehajtott, hogy megszüntesse a panaszhoz vezető adatfeldolgozási gyakorlatot. Azonban az írországi adatvédelmi hivatal a bejelentés kapcsán megállapította, hogy LinkedIn vélhetően rendszerszinten sokkal szélesebb körű hibákat elkövet adatfeldolgozás során, ezért a hatóság ellenőrizte, hogy a LinkedIn mennyire megfelelő technikai biztonsági és szervezési intézkedéseket hozott, különös tekintettel a nem-tagok adatainak feldolgozása és tárolása során. A vizsgálat megállapította, hogy a LinkedIn a nem-tagok kapcsán előzetese számítást (pre-computation) végez, hogy kik tartozhatnak az illető szakmai hálózatába - ezzel próbálja a közösségi oldal népszerűsíteni számukra a szolgáltatást, és segíteni a hálózatuk gyors kiépítését az oldalon.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Az auditot követően a LinkedIn Ireland mint az európai uniós felhasználói adatok adatkezelője utasította a LinkedIn Corpot, hogy szüntesse meg a nem-tagok szakmai ismeretségi köréhez tartozó előzetes számítások folyamatát, továbbá törölje a számítások eredményeként 2018. május 25-e előtt feldolgozott személyes adatokat. A vizsgálatot tehát az írországi adatvédelmi hatóság a GDPR alkalmazásba lépését megelőzően folytatta le, hogy megállapítsa az adatvédelmi rendeletbe ütköző gyakorlatokat, és a jövőre nézve megakadályozza azokat.
Így a LinkedIn-anyacég Microsoft sem kapott büntetést a kérdéses adatvédelmi gyakorlat miatt, hanem a hatóság csak figyelmeztette, hogy változtasson a lehetséges ismerősöket megállapító rendszeren, továbbá törölje a szabálytalan adatfeldolgozáshoz kapcsolódó összes személyes adatot még a GDPR alkalmazásba lépése előtt. A LinkedIn a TechCrunch-nak küldött közleménye szerint értékeli az ír hatóság nyomozását egy 2017-es hirdetési kampánya kapcsán, amelyben "sajnos nem követte a szigorú folyamataikat és eljárásaikat" az adatkezelés során.
Azonban mint Denis Kelleher, az EMEA (Európa, Közel-Kelet, Afrika) régió adatvédelmi igazgatója írja, a cég megtette a szükséges intézkedéseket, és fejlesztette is a rendszert, hogy a későbbiekben ne fordulhasson elő az adatvédelmi probléma. Továbbá az audit során Kelleher szerint a vállalat "önkéntesen" változtatott a nem-tagokat érintő számítási gyakorlaton is, hogy jobban védje adataikat. Ezek a módosítások viszont inkább csak május 25-e előtt lehettek önkéntesek, hiszen most már az adatvédelmi rendelet megsértése a büntetést is magával vonná a cég számára.