Испанское Агентство по защите данных (AEPD) обвинило Google LLC в серьезных нарушениях Общего регламента по защите данных пользователей ЕС (GDPR) и наложило на компанию штраф в €10 млн.
Нарушения связаны с незаконной передачей персональных данных третьим лицам и сокрытием этого факта от пользователей, что в корне противоречит органическому закону об охране данных (Ley Orgánica de Protección de Datos).
Агентство установило, что все данные, получаемые Google в результате осуществления пользователями своего «права на забвение» (персональные данные из запросов на удаление информации из поиска и других сервисов Google), передаются компанией в базу данных Lumen – независимого исследовательского проекта, созданного для анализа запросов и жалоб, связанных с нарушением Закона об авторском праве в цифровую эпоху (DCMA).
Тот факт, что информация, содержащаяся в запросе пользователя, отправляется для включения в другую базу данных, доступную для общественности и для распространения через веб-сайт, является вопиющим нарушением законодательства. Особенно в свете того, что это запросы на удаление информации, приняв которые, Google не только обязан удалить данные со своих проектов, но и прекратить любую дальнейшую их обработку.
Кроме того, эта передача данных Google проекту Lumen возлагается на пользователя автоматически при заполнении формы запроса, без возможности возразить или отказаться, а следовательно, без действительного и четко выраженного согласия.
По мнению AEPD, разработанный Google механизм подачи запроса, который ведет заинтересованную сторону через различные страницы для завершения заявки, путем выбора из предложенных вариантов, может незаметно заставить пользователя действовать в своих интересах, отвлекая его от первоначального намерения, четко связанного лишь с защитой персональных данных.
Помимо штрафа, Google предписано изменить свои процедуры, чтобы привести их в соответствие с GDPR, а также удалить любые персональные данные, ранее переданные проекту Lumen и обязать последний прекратить их использование.
Напомним, это не первый штраф, налагаемый на Google за нарушение GDPR. В 2019 году Национальная комиссия по информационным технологиям и свободе Франции (CNIL) оштрафовала компанию на 50 млн евро за нарушение GDPR в процессе, который пользователи проходят при настройке нового Android-устройства.