İrlanda Veri Koruma Komisyonu (DPC), LinkedIn’in davranış analizi ve hedefli reklamcılık amaçları doğrultusunda kişisel verileri işlemesiyle ilgili yürüttüğü soruşturmanın nihai kararını açıkladı. Bu soruşturma, Fransız Veri Koruma Kurumu'na yapılan bir şikayet üzerine başlatılmıştı. Kararda LinkedIn’in, kullanıcıların verilerini yasal, adil ve şeffaf bir şekilde işleme şartlarını ihlal ettiği belirtildi. Karar, bu işlemin yasallığı, adil olması ve şeffaflığını ilgilendiriyor.
Ana Bulgular ve İhlaller:
1. Yasal Dayanakların Yetersizliği:
- Madde 6(1)(a) (Rıza): LinkedIn, kullanıcıların üçüncü taraf verilerini davranış analizi ve hedefli reklamcılık amacıyla işlemek için yetersiz rıza aldı. Rıza, GDPR gerekliliklerini karşılayacak şekilde özgürce verilmiş, yeterince bilgilendirilmiş, belirli veya net değildi.
- Madde 6(1)(f) (Meşru Menfaat): LinkedIn, kullanıcı verilerini davranış analizi ve reklamcılık amacıyla işlerken meşru menfaate dayandı, ancak bu menfaatler veri sahiplerinin hakları ve özgürlükleri tarafından geçersiz kılındı.
- Madde 6(1)(b) (Sözleşme Gerekliliği): LinkedIn, davranış analizi ve hedefli reklamcılık için birinci taraf verilerini işlemek adına sözleşme gerekliliği savunmasına geçerli şekilde dayanamadı.
2. Şeffaflık ve Adalet İlkelerinin İhlali:
- Madde 5(1)(a) (Adalet): LinkedIn, verilerin adil bir şekilde işlenmesi ilkesini ihlal etti. Adil işleme, verilerin veri sahiplerinin beklentilerine uygun ve yanıltıcı olmayan bir şekilde işlenmesini gerektirir.
- Madde 13 ve 14: LinkedIn, kullanıcılarını işlemeye dayanak olarak seçilen yasal temeller konusunda yeterince bilgilendirmedi.
Öne Çıkan İlkeler:
- Adalet ve Şeffaflık: GDPR, kişisel verilerin adil bir şekilde işlenmesini ve veri sahiplerinin işlemeyle ilgili tam olarak bilgilendirilmesini talep eder. Bu, veri sahiplerine veri işleme sürecinde kontrol sağlar.
- Yasal Dayanakların Önemi: Kişisel verilerin işlenmesi, GDPR’da belirtilen yasal dayanaklardan birine dayanmalıdır.
Çıkarımlar
- Kişisel verilerin, GDPR Madde 6(1)’de belirtilen uygun bir yasal dayanak olmaksızın işlenmesi, veri sahiplerinin temel veri koruma hakkının açık ve ciddi bir ihlalidir.
- GDPR, işlemenin, adalet ilkesi doğrultusunda yapılmasını gerektirir. Bu ilkeye göre, kişisel veriler, veri sahibine zarar verici, ayrımcı, beklenmedik veya yanıltıcı şekilde işlenemez.
- Şeffaflık hükümlerine uyum, veri sahiplerinin kişisel verilerinin işlenmesi konusunda kapsam ve sonuçlar hakkında tam olarak bilgilendirilmelerini ve haklarını kullanmalarını sağlar.
Bulunanlar
- LinkedIn, üyelerinin üçüncü taraf verilerini, davranış analizi ve hedefli reklam amaçları doğrultusunda işlemek için GDPR Madde 6(1)(a) (rıza) hükmüne geçerli bir şekilde güvenemedi. Çünkü LinkedIn’in aldığı rıza özgürce verilmiş, yeterince bilgilendirilmiş veya belirli ve açık değildi.
- LinkedIn, davranış analizi ve hedefli reklamcılık için üyelerinin birinci taraf kişisel verilerini ya da analitik için üçüncü taraf verilerini işlemek adına GDPR Madde 6(1)(f) (meşru menfaat) hükmüne geçerli bir şekilde güvenemedi, çünkü LinkedIn'in menfaatleri veri sahiplerinin çıkarları ve temel hakları tarafından geçersiz kılındı.
- LinkedIn, davranış analizi ve hedefli reklamcılık amacıyla üyelerinin birinci taraf verilerini işlemek için GDPR Madde 6(1)(b) (sözleşmeye dayalı gereklilik) hükmüne geçerli bir şekilde güvenemedi.
Bu nedenle, LinkedIn, GDPR Madde 6 ve Madde 5(1)(a)'yı ihlal etti; bu maddeler, kişisel verilerin işlenmesinin yasal olmasını gerektirir.
- LinkedIn, veri sahiplerine Madde 6(1)(a), Madde 6(1)(b) ve Madde 6(1)(f)’ye yasal dayanak olarak güvendiğine dair bilgi sağlama konusunda GDPR Madde 13(1)(c) ve Madde 14(1)(c)'yi ihlal etti.
- LinkedIn, GDPR Madde 5(1)(a)’deki adalet ilkesini ihlal etti.
DPC’nin Verdiği Yaptırımlar:
- LinkedIn’e resmi bir uyarı yapıldı.
- Toplam 310 milyon € para cezası verildi.
- LinkedIn'in veri işleme süreçlerini GDPR ile uyumlu hale getirmesi emredildi.