LinkedIn ontvangt hoge AVG-boete na gericht adverteren

Aanleiding voor het onderzoek

Het onderzoek naar de praktijken van LinkedIn werd gestart na een klacht vanuit Frankrijk. De focus lag op de vraag of het platform onder de GDPR (ofwel AVG) een geldige rechtsgrond had voor het verwerken van gegevens van eigen leden in de EU (first-party data) en gegevens van derde partijen (third party data).

Gebrek aan geldige rechtsgrond

Geldige rechtsgronden voor verwerking van persoonsgegevens kunnen bijvoorbeeld toestemming, gerechtvaardigd belang of uitvoering van een overeenkomst zijn. Volgens DPC voldeed LinkedIn niet aan de vereisten voor deze grondslagen, omdat:

• De gebruikers van het platform te weinig informatie ontvingen om daadwerkelijk ‘vrije’ toestemming te geven. De toestemming was niet op een vrije, voldoende geïnformeerde en specifieke manier verkregen door LinkedIn.
• Gerechtvaardigd belang voor de verwerking van persoonsgegevens niet voldoende was, aangezien LinkedIn’s belangen werden overschreven door de belangen en fundamentele rechten en vrijheden van de gebruikers. De DPC maakte hier dus een belangenafweging: de zorgvuldige afweging tussen de belangen van de betrokkenen en de verwerkingsdoeleinden. 
• Er geen sprake van contractuele noodzaak was om first party data van haar leden te verwerken voor gedragsanalyse en gerichte advertenties.

Kortom, de DPC concludeerde dat een geldige grondslag voor deze verwerking ontbrak.

Een recordboete voor LinkedIn

De gegeven boete staat in de top vijf van hoogste boetes die ooit zijn opgelegd onder de GDPR. Deze kwam voor LinkedIn overigens niet geheel onverwachts: het platform had in juni 2023 al bijna 400 miljoen euro opzijgezet. Verder heeft de DPC LinkedIn opgedragen om de gegevensverwerkingspraktijken in overeenstemming te brengen met de GDPR.

In reactie op de uitspraak verklaarde LinkedIn dat ze ervan overtuigd zijn te voldoen aan de GDPR. Wel gaat het platform direct maatregelen nemen om ervoor te zorgen dat de advertentiepraktijken voor de deadline in overeenstemming zijn met het besluit van de DPC.

Breder toezicht in de EU op privacy en persoonsgegevens

De uitspraak is onderdeel van een grotere beweging in de EU. Privacywaakhonden, zoals de DPC, handhaven streng op het naleven van de GDPR en het juist verwerken van persoonsgegevens door platformen en techbedrijven, zoals op het vlak van gepersonaliseerd adverteren. Hieruit blijkt ook weer hoe belangrijk de belangenafweging is bij de beoordeling van gerechtvaardigd belang.

Als je wilt weten welke rechtsgrond het meest geschikt is voor jouw verwerkingsactiviteiten, stuur ons dan gerust een e-mail via legal@ddma.nl.

• Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
• Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
• Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Allisha Hosli

Junior Legal Counsel