西班牙數據保護局 (AEPD) 已傳達了針對 Google LLC 公司發起的程序的解決方案,其中聲明存在嚴重違反數據保護法規的行為,並對向其傳輸數據處以 10 萬歐元的製裁不合法的第三方這樣做,並妨礙公民的刪除權(《通用數據保護條例》第 6 條和第 17 條)。
Google LLC 負責在美國進行的分析和處理。 在向第三方傳輸數據的情況下,該機構已核實 Google LLC 向 Lumen 項目發送了有關公民提出的請求的信息,包括公民的身份、電子郵件地址、所稱原因和 URL 請求。 該項目的任務是收集並提供內容刪除請求,因此該機構認為,由於公民請求中包含的所有信息都被發送到另一個可供公眾訪問的數據庫中,並通過網站進行披露,“實際上意味著挫敗行使刪除權的目的”。
該決議承認,谷歌有限責任公司向 Lumen 項目進行的數據通信是強加給打算使用此表格的用戶的,而無需選擇它,因此,如果有對此通信的有效同意。 在海角。 《通用數據保護條例》不涵蓋在行使利益相關方承認的權利時確立這一條件,因為它會“在將刪除請求所涉及的數據傳送給第三方時對數據進行額外處理”。 同樣,在 Google LLC 的隱私政策中,沒有提及對用戶個人數據的這種處理,也沒有出現在與 Lumen 項目溝通的目的中。
AEPD 還在其決議中指出,在提交刪除內容請求並遵守權利後,即一旦同意刪除個人數據,“以後就不可能對其進行處理,因為Google LLC 與 Project Lumen 進行的溝通”。
關於公民權利的行使,AEPD在其決議中詳細說明,“很難推斷是否援引個人數據保護條例提出請求,僅僅因為該條例沒有以任何形式提及,無論出於何種原因利益相關方從提議的選項中進行選擇,但“根據歐盟隱私法撤回”的形式除外,這是唯一包含明確提及本法規的形式”。
由 Google LLC 設計的系統,通過幾個頁面引起興趣,了解如何完成您的請求,迫使您事先標記它提供的選項,“它可以通過標記適合其認為適合您的原因的選項來使這一點變得更好。有已知的興趣,但這使您偏離了您的初衷,這可能與保護您的個人數據明確相關,而沒有意識到這些選項將您置於不同的監管制度中,因為 Google LLC 希望如此,或者您的請求將被根據該實體制定的內部政策解決”。 該機構的決議承認,該系統相當於“谷歌有限責任公司在適用而非 GDPR 時做出的清醒決定,這意味著接受該實體可以逃避個人數據保護法規的適用,並且更多特別針對這種情況,接受刪除個人數據的權利受到責任實體設計的內容消除系統的限制”。
除了決議中實施的經濟制裁外,該機構還要求谷歌有限責任公司將流明項目的數據通信調整為個人數據保護法規,以及刪除權的行使和注意流程。涉及從其產品和服務中刪除內容的請求,以及他們向用戶提供的信息。 同樣,Google LLC 必須刪除已向 Lumen 項目傳達的刪除權請求的所有個人數據,並且有義務對後者這樣做,以便刪除並停止使用這些個人數據已收到。釋放
