LinkedIn nielegalnie wykorzystał bazę około 18 mln adresów e-mail osób niebędących zarejestrowanych w tym serwisie na potrzeby ukierunkowanej kampanii reklamowej na Facebooku – wynika z opublikowanego raportu irlandzkiego urzędu ochrony danych osobowych.
Skarga na LinkedIn
Sprawą wykorzystania bazy e-mail zainteresowała się irlandzka Data Protection Commission (DPC, odpowiednik UODO), po tym jak jedna z osób, która nie była użytkownikiem tego serwisu, złożyła skargę dotyczącą nielegalnego wykorzystania przez LinkedIn adresu jej poczty elektronicznej dla celów reklamowych na Facebooku.
Po otrzymaniu skargi DPC przystąpiło do przeprowadzenia audytu, który miał na celu sprawdzić, w jaki sposób w serwisie przetwarzane są dane osobowe. Przedstawiony raport obejmuje okres od 1 stycznia do 24 maja 2018 r. W wyniku kontroli stwierdzono m.in., że LinkedIn (z siedzibą w USA) użył blisko 18 mln zahaszowanych adresów e-mail w celu wyświetlania targetowanych reklam na Facebooku, zachęcających użytkowników do rejestracji w ich serwisie “bez wymaganych instrukcji ze strony administratora danych” – w tym przypadku LinkedIn Ireland.
LinkedIn przyznał się do błędu
Według DPC ostatecznie “skarga została polubownie rozwiązana”, a LinkedIn zobowiązał się do wdrożenia natychmiastowych działań w celu zaprzestania niezgodnego z prawem przetwarzania danych osobowych użytkowników “do celów, które doprowadziły do złożenia tej skargi”.
DPC nakazał również, aby serwis usunął wszystkie dane osobowe, które były przetwarzane w czasie odnoszącym się do złożonej skargi.
Następnie irlandzki organ (który od stycznia do maja wykonał w sumie 23 audyty) przeprowadził kolejną kontrolę, po tym jak we wstępnym dochodzeniu okazało się, że zidentyfikowano więcej “systemowych problemów”. Według DPC LinkedIn wykorzystywał swoje algorytmy społecznościowe , aby zasugerować użytkownikom zbudowanie sieci zawodowych. W zamyśle twórców miało to sprawić, że nowa osoba nie będzie budowała od zera swojej sieci kontaktów.
Do całej sprawy odniósł się dyrektor ds. ochrony prywatności LinkedIn na region EMEA (Europa, Bliski Wschód i Afryka) Denis Kelleher, oświadczając, że jego firma w pełni docenia przeprowadzony przez DPC audyt. Podkreślił przy tym, że obie strony podczas dochodzenia cały czas ze sobą ściśle współpracowały. Według Kellehera serwis posiada odpowiednie procedury zabezpieczające przed tego typu incydentami, jednak w tym przypadku nie były one należycie przestrzegane.
“Niestety, obowiązujące u nas silne procesy i procedury nie zostały zastosowane i za to przepraszamy. Podjęliśmy odpowiednie kroki i poprawiliśmy sposób, w jaki pracujemy, aby zapewnić, że taka sytuacja już nigdy się nie powtórzy” – zaznaczył Kelleher, dodając, że podczas audytu zidentyfikowano również jeszcze jeden “obszar, w którym moglibyśmy poprawić prawo do prywatności osób niezarejestrowanych (…) w rezultacie dobrowolnie zmieniliśmy nasze praktyki”.
Opublikowany przez irlandzki urząd raport tylko w małej części odnosi się do opisywanej sprawy LinkedIna. Dużo miejsca poświęcono w nim również kwestii rozpoznawania twarzy przez Facebooka i tego, w jaki sposób należy takie dane biometryczne traktować, oraz zasadom współdzielenia między Facebookiem a WhatsAppem danych osobowych użytkownika.
Déjà vu?
To nie pierwszy raz, kiedy portal społecznościowy stara się dotrzeć do nowych użytkowników wątpliwymi pod względem prawnym metodami. Pod koniec września pisałam już, że Facebook wykorzystuje numery telefonów używane podczas weryfikacji dwuetapowej, aby ściśle spersonalizować reklamę pod konkretnego użytkownika. Rzeczniczka portalu, odnosząc się do całej sytuacji, poinformowała wówczas, że Facebook “wykorzystuje informacje dostarczone przez osoby, aby zaoferować bardziej spersonalizowane doświadczenie, w tym pokazywanie lepiej skrojonych pod użytkownika reklam”.
Irlandzki regulator nie nałożył kary finansowej na serwis LinkedIn, gdyż skarga została złożona przez użytkownika przed wdrożeniem Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Poprzednie regulacje w zakresie prywatności przyjęte przez Irlandię (z roku 1988 i 2003) nie pozwalały – w opinii samej DPC – na nakładanie kar finansowych. Odrębną kwestią jest oczywiście fakt, czy rzeczywiście organ był pozbawiony możliwości ukarania, gdyż jak zauważa Daragh O’Brien, jeden z członków irlandzkiej organizacji Castlebridge zajmującej się prywatnością, urząd mógł nałożyć grzywnę w wysokości nawet do 100 tys. euro, opierając się na będących w mocy aktach prawnych.
Gdyby skarga na działania LinkedIn wpłynęła do DPC po 25 maja 2018 r. (czyli już po wdrożeniu przepisów RODO), należącemu do Microsoftu serwisowi mogłaby grozić wysoka kara, która zgodnie z obowiązującymi przepisami może wynieść do 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która jest wyższa.
Komentarze
Ciekawia mnie dwie rzeczy:
1. Co to znaczy, że „użył blisko 18 mln zahaszowanych adresów e-mail”? Hash z emaila != email
2. W jaki sposób ktoś odkrył, że reklama którą widzi na FB targetowana jest właśnie na jego adres e-mail, a nie w inny sposób?
hash z maila pasowal do hasha z maila na ktorym byl zalogowany?
No dobra, ale załóżmy że nawet jakimś cudem ten hash wyświetlił się pod reklamą na fb. Jakim cudem ktoś skojarzył „ej ten hash wygląda jakby ktoś zahaszował mojego maila jakimś algorytmem”