Amerykański koncern Google został ukarany w Hiszpanii grzywną w wysokości 10 mln euro za poważne naruszenie rozporządzenia o ochronie danych (GDPR) Unii Europejskiej. Stwierdzono, że firma przekazała informacje, które mogą być wykorzystane do identyfikacji obywateli żądających usunięcia ich danych osobowych zgodnie z prawem UE, w tym adres e-mail, stronie trzeciej z siedzibą w USA bez ważnej podstawy prawnej do dalszego przetwarzania – donosi serwis Techcrunch.
Stroną trzecią, której platforma miała przekazywać dane to Lumen Project, jest amerykański projekt akademicki prowadzony przez Berkman Klein Center for Internet & Society na Uniwersytecie Harvarda, którego celem jest gromadzenie i badanie wniosków o usunięcie informacji z sieci poprzez tworzenie bazy danych wniosków o usunięcie treści.
Oprócz grzywny, Google otrzymał nakaz zmiany procedur w celu dostosowania ich do GDPR oraz usunięcia wszelkich danych osobowych, które nadal przechowuje w związku z tą sprawą.
Hiszpański organ ds. ochrony danych (AEPD) podkreślił, że ukarał Google za „dwa bardzo poważne naruszenia” – związane z przekazywaniem danych obywateli UE stronie trzeciej bez podstawy prawnej, a także z utrudnianie ludziom korzystania z prawa do usunięcia ich danych osobowych na mocy GDPR.
AEPD stwierdziło, że przekazując dane osobowe obywateli europejskich, którzy domagali się usunięcia swoich danych do Projektu Lumen, Google w istocie udaremniało ich prawo do usunięcia informacji (zgodnie z art. 17 GDPR) – znane jako „prawo do bycia zapomnianym”.
Google nie zapewnił też użytkownikom, którzy domagali się usunięcia swoich danych, możliwości wyboru co do przekazania ich informacji do Projektu Lumen – co oznacza, że zabrakło ważnej podstawy prawnej do udostępnienia tych danych.