LinkedIn го загази с европейските регулаторни органи за защита на личните данни. Професионалната социална мрежа, която има около 600 млн. потребители, работи по любопитен начин. Веднага щом се регистрирате, започвате да получавате предложения за професионални връзки, но така и не става ясно как или защо LinkedIn знае достатъчно, че да ви прави тези предложения. И именно това предизвика вниманието на Ирландската комисия за защита на личните данни (DPC).
Разследване на европейския регулаторен орган разкри, че в месеците преди имплементацията на GDPR LinkedIn не просто е използвала необичайни методи за събирането на информация за своите потребители. Тя е нарушила правилата за защита на личните данни, като в случая е осъществена злоупотреба с 18 млн. мейл адреси.
Разследването е подтикнато от оплакване на потребител на LinkedIn през 2017 г. във връзка с политиките на LinkedIn за хора, които не са членове на социалната мрежа.
Ирландският регулатор е открил, че LinkedIn се е сдобила с 18 млн. мейл адреси на щатски граждани, които не са били членове на социалната мрежа, която е собственост на Microsoft. После платформата е използвала тези мейли в хеширана форма за таргетирани реклами във Facbook “с липса на инструкции от местния регулатор на информация” на компанията, който е LinkedIn Ireland, “както е изисквано”.
Тук е моментът да напомня, че когато активирането на GDPR наближи, LinkedIn, Facebook и други социални мрежи преместиха центровете си за обработване на данни от Ирландия към САЩ. Компаниите твърдяха, че това ще “забърза” операциите им, но много критици отбелязаха, че преместването ще защити компаниите от отговорност по GDPR при обработка на данни на потребители извън Европейския съюз. Както и стана.
След като ирландската комисия прави разкритията за злоупотребата, LinkedIn бързо прекратява практиката си за таргетирана реклама. Случаят на оплакалият се потребител е приключен, но регулаторът решава да продължи с разследването си и да направи одит на работата на социалната мрежа. Причината? “Притеснения за идентифицирани по-големи систематични проблеми”, разкрити по време на първоначалното разследване.
Одитът показва, че LinkedIn използва социални graph-building алгоритми (подобни на тези във Facebook), за да създава мрежите от препоръчани контакти за потребителите си. Т.е. социалната мрежа прави предварителни изчисления, за да препоръча цели мрежи от контакти на нови потребители.
Идеята на пръв поглед не изглежда лоша. Спестява времето за изграждането на професионална мрежа от нулата. Проблемът идва по отношение на “социалното изграждане”, което осъществява алгоритъма на LinkedIn. То не е съвместимо нито с GDPR, нито с предхождащите регулацията правила за защита на личните данни в интернет.
След това разкритие на Ирландската комисия LinkedIn Corp “е инструктирал LinkedIn Ireland, центъра за обработване на данни на европейски потребители, да спре процеса на предварително изчисление и да изтрие всички лични данни, асоциирани с процеса, придобити преди 25 май 2018 г.”, когато GDPR влезе в сила.
Във връзка с разследването на Ирландския регулатор LinkedIn направи следното изявление:
“Оценяваме разследването на DPC за оплакването от 2017 г. за нашата рекламна кампания и кооперирахме с тях”, казва Денис Келер, Head of Privacy, EMEA, LinkedIn. “За съжаление силните процеси и процедури, които имаме, не бяха следвани и се извиняваме. Предприели сме нужните действия и сме подобрили начина си на работа, за да сме сигурни, че това няма да се случи отново. По време на одита също така идентифицирахме още един сегмент от работата ни (предварителните изчисления), в който може да подобрим поверителността на данните за не-членове, и в резултат доброволно променихме практиките си.”
LinkedIn изглежда иска да покаже, че действа от добрина, като дори прави повече, отколкото Ирландският регулатор иска от нея. От друга страна обаче LinkedIn няма да е първата компания, която иска прошка, а не разрешение за използването на личните данни на потребителите ѝ (или на хората, които все още не са в мрежата, какъвто е случаят).
И ако се чудите защо LinkedIn ще избегне глоба по GDPR - всички открития важат за обработката на данни от социалната мрежа отпреди 25 май. Съответно - тя няма да бъде санкционирана, тъй като не е хваната в нарушение след нея. Поне по отношение на потребителите от Европейския съюз.
Целият доклад на Ирландския регулатор може да видите тук. Той покрива първите 6 месеца от 2018 г., водещи към приемането на GDPR. В него влизат и изводи от разследванията при пробивите на сигурността на Facebook, WhatsApp и Yahoo, като тези разследвания продължават и до днес.