De Ierse Data Protection Commission (DPC) heeft LinkedIn een boete opgelegd van €310 miljoen wegens inbreuken op de Algemene Verordening Gegevensbescherming (AVG). De beslissing kwam na een uitgebreid onderzoek naar de verwerking van persoonsgegevens voor gedragsanalyse en gerichte advertenties op het platform. Dit onderzoek volgde op een klacht van de Franse non-profitorganisatie La Quadrature Du Net, welke werd ingediend bij de Franse gegevensbeschermingsautoriteit en vervolgens doorgeleid naar de DPC. Als leidende toezichthouder onderzocht de DPC de rechtmatigheid, behoorlijkheid en transparantie van deze verwerkingspraktijken, zoals vereist onder artikel 5 AVG.
Dit artikel onderzoekt hoe de beslissing van de DPC de naleving van de AVG door LinkedIn heeft beoordeeld, met specifieke aandacht voor de verwerking van persoonsgegevens ten behoeve van gedragsanalyse en gerichte advertenties. Allereerst worden de verwerkingspraktijken van LinkedIn geanalyseerd, waarbij de rechtsgronden die het platform hanteerde, zoals toestemming, contractuele noodzaak en gerechtvaardigd belang centraal staan. Daarna wordt beoordeeld in hoeverre deze rechtsgronden voldoen aan de hierboven genoemde vereisten van artikel 5 AVG. Vervolgens gaat het artikel in op de kernpunten van het besluit van de DPC, waarbij de ontoereikende informatieverstrekking aan gebruikers en de onduidelijkheid over verwerkingsdoeleinden centraal staan. Tot slot wordt besproken hoe deze tekortkomingen in lijn liggen met de recente zaak van het Europees Hof van Justitie (het Hof) in de zaak Koninklijke Nederlandse Lawn Tennisbond t. AP, waarin strikte eisen worden gesteld aan het gebruik van gerechtvaardigd belang als rechtsgrondslag. Arrest HvJEU 4 oktober 2024, C-621/22 (Koninklijke Nederlandse Law Tennisbond t. Autoriteit Persoonsgegevens) (Hierna: KNLTB t. AP)
Onderzoek naar LinkedIn’s verwerkingspraktijken
Het onderzoek richt zich op de manier waarop LinkedIn persoonsgegevens van gebruikers verwerkt, specifiek voor twee doeleinden: gedragsanalyse en gerichte advertenties. Het platform verwerkt zowel gegevens die gebruikers direct verstrekken (eerste-partij gegevens) als gegevens die het van derden verkrijgt.
LinkedIn creëert gebruikersprofielen door gegevens te verzamelen en te analyseren op basis van verstrekte gegevens (bijvoorbeeld naam, functie, en werkervaring) als gegevens die het platform afleidt uit interacties van gebruikers. Het doel van deze profielen is het personaliseren van het platform en het voorspellen van gebruikersvoorkeuren, zodat relevantere inhoud en advertenties kunnen worden getoond. LinkedIn combineert gebruikersgegevens zoals werkervaring en interesses met gegevens verkregen via activiteiten op het platform teneinde deze analyses te versterken.
Essentie van de klacht en de kernvragen van het onderzoek
De klacht van La Quadrature Du Net betreft mogelijke schendingen van de AVG door LinkedIn, waaronder het ontbreken van een geldige rechtsgrond voor de verwerking van persoonsgegevens voor gedragsanalyse en gerichte advertenties. De DPC onderzoekt of LinkedIn een geldige rechtsgrond heeft, zoals toestemming, een contractuele noodzaak of een gerechtvaardigd belang, en of gebruikers voldoende worden geïnformeerd over het doel van de verwerking. De DPC oordeelt dat LinkedIn hierin faalt.
Besluit van de DPC: onrechtmatige, onbehoorlijke en niet-transparante verwerking
De DPC stelt dat LinkedIn geen geldige rechtsgrond heeft voor de verwerking van persoonsgegevens voor gedragsanalyse en gerichte advertenties:
LinkedIn vraagt om toestemming, maar de DPC oordeelt dat deze niet voldoet aan de eisen aan een geldige toestemming, te weten: vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig. Gebruikers worden bijvoorbeeld onvoldoende geïnformeerd over het doel van de gegevensverwerking. Artikel 6 lid 1 sub a jo. artikel 4 lid 11 AVG.
LinkedIn beroept zich op het gerechtvaardigd belang om gegevens van gebruikers te verwerken voor gedragsanalyses en advertenties. De DPC vindt echter dat de belangen en de rechten van de gebruikers prevaleren boven de commerciële belangen van LinkedIn. Artikel 6 lid 1 sub f AVG.
LinkedIn claimt dat de verwerking noodzakelijk is voor de uitvoering van de dienst die aan gebruikers werd aangeboden, maar de DPC vindt dat de noodzaak niet duidelijk of overtuigend is aangetoond. De DPC is van mening dat deze verwerkingsactiviteiten niet strikt noodzakelijk zijn om de kernfunctionaliteit van LinkedIn te bieden. Artikel 6 lid 1 sub b AVG.
Daarnaast stelt de DPC dat LinkedIn zijn gebruikers onvoldoende informeert over de redenen waarom hun gegevens worden verzameld en verwerkt. Volgens de toezichthouder mist LinkedIn cruciale informatie over de rechtsgronden voor deze verwerking, wat een schending is van artikel 13 en 14 AVG. Artikel 13 lid 1 sub c en artikel 14 lid 1 sub c AVG.
Tot slot concludeert de toezichthouder dat LinkedIn op een onbehoorlijke manier gegevens verwerkt. Artikel 5 lid 1 sub a AVG. Artikel 5 lid 1 sub a AVG.
LinkedIn ontving een berisping wegens het niet naleven van de vereisten van de verordening. Artikel 58 lid 2 sub b AVG. Artikel 58 lid 2 sub i jo. artikel 83 AVG. Artikel 58 lid 2 sub d AVG.
De KNLTB-zaak en gerechtvaardigd belang
KNLTB t. AP, rechtsoverwegingen 37 – 40. KNLTB t. AP, rechtsoverwegingen 47 – 49.
De recente uitspraak van het Hof in de zaak Koninklijke Nederlandse Lawn Tennisbond t. AP bevestigt de bevindingen van de DPC over specifiek de grondslag ‘gerechtvaardigd belang’ op verschillende punten. Ten eerste stelt het Hof dat de verwerkingsverantwoordelijke een gerechtvaardigd belang moet nastreven dat niet bij wet hoeft te zijn vastgelegd, maar wel rechtmatig moet zijn. Het Hof erkent een breed scala aan gerechtvaardigde belangen, waarvan commerciële belangen deel uitmaken.
Ten tweede moet de verwerking noodzakelijk zijn om het gerechtvaardigd belang te behartigen. Het Hof benadrukt dat alternatieven die minder ingrijpend zijn voor de rechten van de betrokkenen moeten worden overwogen. KNLTB t. AP, rechtsoverwegingen 42 – 43.
Ten derde mogen de belangen van de betrokkenen niet zwaarder wegen dan het gerechtvaardigde belang van de verwerkingsverantwoordelijke. Hierbij moet rekening worden gehouden met de redelijke verwachtingen van betrokkenen. De belangen van de betrokkenen wegen nadrukkelijk zwaarder dan het belang van de verwerkingsverantwoordelijke wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen een dergelijke verwerking redelijkerwijs niet verwachten. KNLTB t. AP, rechtsoverwegingen 44 – 45.
De bevindingen van de DPC sluiten nauw aan bij bovenstaande overwegingen. De DPC stelt namelijk vast dat LinkedIn zijn verwerkingsactiviteiten baseert op onder andere de grondslag gerechtvaardigd belang, maar daarbij verzuimt om betrokkenen duidelijke informatie te verschaffen over de doeleinden van de verwerking. Door geen transparantie te verschaffen hebben betrokkenen geen realistische verwachtingen over hoe en waarom hun gegevens worden verwerkt. Het ontbreken van duidelijke en specifieke informatie vergroot de discrepantie tussen de verwachtingen van gebruikers en de werkelijke verwerkingspraktijken. Daarom wegen de belangen van de betrokkenen volgens de DPC zwaarder dan die van LinkedIn.
Conclusie
De beslissing van de DPC in de zaak tegen LinkedIn benadrukt dat het platform niet voldoet aan de verplichtingen uit de AVG bij de verwerking van persoonsgegevens voor gedragsanalyse en het inzetten van gerichte advertenties. De DPC oordeelt dat LinkedIn niet voldoet aan de vereisten van een geldige rechtsgrond, waaronder toestemming, een contractuele noodzaak of een gerechtvaardigd belang. Het beroep op het gerechtvaardigd belang faalt omdat de belangen en verwachtingen van betrokkenen zwaarder wegen dan de commerciële belangen van LinkedIn.
Daarnaast ontbreekt het aan voldoende transparantie, aangezien LinkedIn zijn gebruikers niet duidelijk informeert over de doeleinden en rechtsgronden van de verwerking. Dit vormt een schending van de artikelen 13 en 14 van de AVG.
Tot slot leidt het gebrek aan een rechtsgrond en het gebrek aan transparantie ertoe dat LinkedIn een inbreuk maakt op de beginselen van rechtmatigheid, behoorlijkheid en transparantie uit artikel 5 AVG. Zonder een geldige rechtsgrond worden persoonsgegevens niet verwerkt op een wijze die ten aanzien van de betrokkenen rechtmatig is. Ook worden persoonsgegevens verwerkt op een wijze die ten aanzien van de betrokkenen niet behoorlijk is. Door de transparantieverplichtingen niet na te komen, creëert LinkedIn een situatie waarin betrokkenen onvoldoende worden geïnformeerd om te begrijpen wat er met hun persoonsgegevens gebeurt en welke gevolgen dit voor hen heeft. Dat tast de mogelijkheid om controle uit te oefenen over hun persoonsgegevens aan.
De boete weerspiegelt het belang van transparantie naar betrokkenen over verwerkingsdoeleinden, zoals tevens wordt bevestigd door het Hof in de zaak Koninklijke Nederlandse Lawn Tennisbond t. AP. Zonder adequate transparantie kan de rechtmatigheid van de verwerking niet worden vastgesteld. Deze beslissing dient als waarschuwing voor platforms die vergelijkbare verwerkingsactiviteiten uitvoeren, en benadrukt de noodzaak om een strikte naleving van de verplichtingen uit de AVG te waarborgen.
