爱尔兰数据保护委员会(DPC)今日宣布,对领英爱尔兰公司作出最终裁决,此前,根据法国数据保护机构最初提出的投诉,DPC作为领英的主要监管机构,启动了对领英的调查。
一、违法行为
调查重点在于领英处理个人数据的行为,这些数据被用于分析用户行为[1]以及向创建了领英账户的会员[2]提供定向广告。由数据保护专员德斯·霍根博士和戴尔·桑德兰做出的这一决定,于2024年10月22日通知了领英,涉及数据处理的合法性、公正性和透明度。该决定包括对领英的警告、要求其数据处理活动符合规定,并处以总计3.1亿欧元的行政罚款。
注1:行为分析是指利用个人提供的信息、从个人行为中推断出的信息或对个人观察到的信息,来决定向该个人展示哪些广告,或者将这些信息与其他数据聚合,用于进行定向广告投放的整个过程。
注2:定向广告是指根据个人提供的信息或对其行为的推断和/或观察,向特定个人展示特定广告的过程。
DPC于2024年7月根据《通用数据保护条例》(GDPR)第60条的规定,向GDPR合作机制提交了初步决定草案[3]。该草案未收到任何反对意见。DPC对于其欧盟/欧洲经济区同僚监管机构在此案中的合作与协助表示感谢。
注3:GDPR第60条规范了主要监督机构与其他相关监督机构之间的合作程序。
-未能有效依据GDPR第6条(1)(a)条(同意)处理其会员的第三方数据,用于行为分析和定向广告,因为领英获得的同意并非自愿、充分知情或具体明确。
-未能有效依据GDPR第6条(1)(f)条(合法利益)处理其会员的第一方个人数据,用于行为分析和定向广告,或处理第三方数据进行分析,因为领英的利益被数据主体的利益和基本权利及自由所超越。
-未能有效依据GDPR第6条(1)(b)条(合同必要性)处理其会员的第一方数据,用于行为分析和定向广告。
DPC副专员格雷厄姆·多伊尔表示:
DPC将在适当时候公布完整的决定和更多相关信息。
二、进一步信息
这一决定涉及一项基于投诉的调查,该调查始于2018年8月20日,起因是法国非营利组织“网络四方”(La Quadrature Du Net)提出的投诉。最初,该投诉提交给了法国数据保护机构,随后根据其作为领英主要监督机构的职责,转交给了DPC,领英作为处理争议个人数据的控制者。
这次调查审视了领英平台用户个人数据的处理是否合法、公正和透明,这些数据的处理目的在于行为分析和定向广告。所涉及的个人数据包括领英会员直接提供给领英的数据(第一方数据)以及通过第三方合作伙伴获得的与其会员相关的数据(第三方数据)。
GDPR要求处理个人数据必须基于第6条(1)款列出的法律依据之一,例如同意、合同必要性或合法利益。根据控制者选择的合法依据,必须满足特定条件。例如,任何获得的同意必须满足GDPR规定的标准,即同意必须是自愿给出的、具体的、知情的,并且是数据主体意愿的明确表示。
GDPR还要求处理必须以公正的方式进行。公正是一项总体原则,要求个人数据的处理方式不得对数据主体不利、歧视性、出人意料或误导。缺乏公正可能导致数据主体失去对其个人数据的自主权,使他们无法行使其他GDPR权利,并影响他们对隐私和个人数据保护的基本权利。
透明度是数据保护的另一个关键方面,它赋予数据主体对其个人数据的处理拥有控制权。控制者遵守透明度规定,确保数据主体能够充分了解其个人数据处理的范围和后果,并能够行使他们的权利。
DPC最终决定采取以下纠正措施:
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...