Szerző: Habók Lilla

2018. november 26. 12:49

Az ír adatvédelmi hivatal a LinkedIn adatkezelését is vizsgálta

Büntetés nélkül, még május 25-e előtt figyelmeztette az írországi adatvédelmi hatóság a LinkedInt néhány adatvédelmi problémára, főleg a közösségi oldalra még nem regisztrált tagok adatainak feldolgozásával kapcsolatban.

Kiderült az írországi adatvédelmi biztos jelentéséből, hogy a hatóság a Microsoft-tulajdonában álló LinkedIn adatvédelmet sértő gyakorlatával kapcsolatban is nyomozást folytatott a GDPR-előkészületei során. A jelentés a helyi adatvédelmi hatóság január és május végi munkájának eredményeit foglalja össze, amelyben több ismert adatvédelmi ügy is szerepel, köztük a Facebook arcfelismerő funkciójának vizsgálata, a Facebook és a WhatsApp közti adatmegosztás gyakorlata, valamint a Yahoo 500 millió felhasználót érintő adatszivárgása. A LinkedInnel kapcsolatban azonban eddig nem volt közismert a vizsgálat, amely a nem-LinkedIn felhasználóknak Facebookon megjelenített reklámokat és az ajánlórendszer működését foglalta magába.

A LinkedIn megkérdőjelezhető gyakorlatával kapcsolatos problémát 2017-ben jelentette egy meg nem nevezett felhasználó, melynek következtében az ír hatóság vizsgálatot indított. A megállapítás szerint a szakmai közösségi oldal 18 millió amerikai nem-LinkedIn felhasználó email-címeit kezelte helytelenül, miközben célzott reklámokat jelenített meg számukra Facebookon, azaz saját szolgáltatását népszerűsítette a tagság növelése érdekében. Eközben viszont az adatkezelő LinkedIn Ireland nem tüntette fel a megcélzott felhasználók számára a kitételeket, amelyeket az 1988-as és 2003-as írországi adatvédelmi törvény 2C(3) cikkelye elvár adatfeldolgozás során az adatkezelőtől, vagyis a felhasználók számára az email-címük megszerzése és kezelése egyáltalán nem volt átlátható - egyébként továbbra sem derült ki, hogy a LinkedIn hogyan jutott hozzá a 18 millió email-címhez.

irorszag_adatvedelmi_hivatal

Az írországi adatvédelmi hivatalba beérkezett panaszok száma 2017-ben megugrott

A jelentés szerint a Microsoft a figyelmeztetést követően számos azonnali intézkedést végrehajtott, hogy megszüntesse a panaszhoz vezető adatfeldolgozási gyakorlatot. Azonban az írországi adatvédelmi hivatal a bejelentés kapcsán megállapította, hogy LinkedIn vélhetően rendszerszinten sokkal szélesebb körű hibákat elkövet adatfeldolgozás során, ezért a hatóság ellenőrizte, hogy a LinkedIn mennyire megfelelő technikai biztonsági és szervezési intézkedéseket hozott, különös tekintettel a nem-tagok adatainak feldolgozása és tárolása során. A vizsgálat megállapította, hogy a LinkedIn a nem-tagok kapcsán előzetese számítást (pre-computation) végez, hogy kik tartozhatnak az illető szakmai hálózatába - ezzel próbálja a közösségi oldal népszerűsíteni számukra a szolgáltatást, és segíteni a hálózatuk gyors kiépítését az oldalon.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Az auditot követően a LinkedIn Ireland mint az európai uniós felhasználói adatok adatkezelője utasította a LinkedIn Corpot, hogy szüntesse meg a nem-tagok szakmai ismeretségi köréhez tartozó előzetes számítások folyamatát, továbbá törölje a számítások eredményeként 2018. május 25-e előtt feldolgozott személyes adatokat. A vizsgálatot tehát az írországi adatvédelmi hatóság a GDPR alkalmazásba lépését megelőzően folytatta le, hogy megállapítsa az adatvédelmi rendeletbe ütköző gyakorlatokat, és a jövőre nézve megakadályozza azokat.

Így a LinkedIn-anyacég Microsoft sem kapott büntetést a kérdéses adatvédelmi gyakorlat miatt, hanem a hatóság csak figyelmeztette, hogy változtasson a lehetséges ismerősöket megállapító rendszeren, továbbá törölje a szabálytalan adatfeldolgozáshoz kapcsolódó összes személyes adatot még a GDPR alkalmazásba lépése előtt. A LinkedIn a TechCrunch-nak küldött közleménye szerint értékeli az ír hatóság nyomozását egy 2017-es hirdetési kampánya kapcsán, amelyben "sajnos nem követte a szigorú folyamataikat és eljárásaikat" az adatkezelés során.

Azonban mint Denis Kelleher, az EMEA (Európa, Közel-Kelet, Afrika) régió adatvédelmi igazgatója írja, a cég megtette a szükséges intézkedéseket, és fejlesztette is a rendszert, hogy a későbbiekben ne fordulhasson elő az adatvédelmi probléma. Továbbá az audit során Kelleher szerint a vállalat "önkéntesen" változtatott a nem-tagokat érintő számítási gyakorlaton is, hogy jobban védje adataikat. Ezek a módosítások viszont inkább csak május 25-e előtt lehettek önkéntesek, hiszen most már az adatvédelmi rendelet megsértése a büntetést is magával vonná a cég számára.

a címlapról