İrlanda Veri Koruma Komisyonu (DPC), Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR) çerçevesinde söz konusu cezayı verdi. Komisyon, LinkedIn’in veri işleme süreçlerinde hukuka uygunluk, adillik ve şeffaflık gibi birçok ihlal tespit etti.
GDPR, kişisel bilgilerin kullanılabilmesi için uygun bir yasal dayanağın olmasını şart koşuyor. LinkedIn’in takip reklamları işini yürütmek için kullandığı gerekçelerin geçersiz olduğu belirlendi. Ayrıca, DPC’ye göre şirket, kullanıcıların bilgilerini nasıl kullandığı konusunda yeterince bilgilendirmedi.
Şeffaflık ve adalet ilkelerine uymadı
LinkedIn, kullanıcıların bilgilerini doğrudan ya da üçüncü taraflardan elde ederek takip ve profilleme amacıyla "rıza", "meşru menfaatler" ve "sözleşmesel gereklilik" gibi çeşitli yasal dayanaklar öne sürmüştü. Ancak DPC, bu gerekçelerin hiçbirinin geçerli olmadığına karar verdi. LinkedIn, GDPR'nın şeffaflık ve adalet ilkelerine de uymadı.
DPC Başkan Yardımcısı Graham Doyle, “Veri işleme hukuka uygunluğu, veri koruma yasalarının temel bir yönüdür. Uygun bir yasal dayanak olmaksızın kişisel verilerin işlenmesi, veri sahiplerinin veri koruma hakkının ciddi bir ihlalidir” dedi.
Cezanın büyüklüğü, LinkedIn’i büyük teknoloji firmaları arasında en büyük on GDPR cezası listesinde orta sıralara yerleştiriyor. Bu, LinkedIn’in daha önceki bölgesel veri koruma ihlalleri nedeniyle aldığı cezalar arasında en önemlisi.
Üç ay süre verildi
LinkedIn'e aleyhine açılan dava, 2018 yılında Fransa'da dijital haklar kuruluşu La Quadrature Du Net tarafından yapılan bir şikayetle başladı. Fransa’nın veri koruma otoritesi, Microsoft’un GDPR uyumluluğu konusundaki denetim yetkisi nedeniyle şikayeti DPC'ye iletti. DPC, Ağustos 2018'de şikayeti incelemeye aldı ve altı yıl sonra (Temmuz 2024) diğer ilgili veri koruma otoritelerine taslak kararını sundu. Hiçbir itiraz olmadığından karar kesinleşti ve yaptırım kamuoyuna duyuruldu.
LinkedIn'e, Avrupa operasyonlarını GDPR ile uyumlu hale getirmesi için üç ay süre verildi.
LinkedIn sözcüsü Jonny Wing, TechCrunch’a yaptığı açıklamada, “Bugün İrlanda Veri Koruma Komisyonu (IDPC), 2018'deki bazı dijital reklam çabalarımızla ilgili kesin bir karar aldı. Genel Veri Koruma Yönetmeliği (GDPR) ile uyum içinde olduğumuza inanıyoruz, ancak IDPC'nin son tarihine kadar reklam uygulamalarımızın bu karara uygun olmasını sağlamak için çalışıyoruz” dedi.