Hiszpańska Agencja Ochrony Danych (AEPD) wydała decyzję w postępowaniu, które wszczęto w 2018 r. przeciwko Google LLC w związku z naruszeniem przepisów ochrony danych osobowych w związku z przekazywaniem przez spółkę danych do projektu „Lumen”. Powodami wszczęcia czynności był między innymi fakt, że każdy użytkownik Internetu może znaleźć w Google dane osobowe użytkowników dzięki sposobowi skonstruowania formularzy Google, mających ułatwiać składanie skarg czy informowanie o problemach. Formularz automatycznie narzuca użytkownikowi przekazywanie jego danych podmiotowi Lumendatabase. Podczas wypełniania formularza można przeczytać komunikat: „Należy pamiętać, że możemy przesyłać kopię każdego z otrzymanych powiadomień prawnych do projektu Lumendatabase.org (https://www.lumendatabase.org) w celu opublikowania i opatrzenia adnotacjami. Lumendatabase usunie osobiste informacje kontaktowe nadawcy (tj. numer telefonu, adres e-mail i adres). Możemy również wysłać oryginalne powiadomienie do domniemanego sprawcy naruszenia lub posiadacza praw, jeśli mamy podstawy do podejrzeń, że roszczenie jest zasadne. Możemy również opublikować podobne informacje z Twojego zgłoszenia w naszym raporcie. Więcej informacji na temat tego raportu można znaleźć na stronie. Kliknij tutaj, aby uzyskać więcej informacji na temat tego raportu”. Dane użytkowników, takie jak adres e-mail czy adres URL były przekazywane podmiotowi trzeciemu.

Użytkownicy Google LLC zostali także pozbawieni możliwości usunięcia danych osobowych będących przedmiotem wniosku do projektu Lumen. Jak twierdzą skarżący, mimo usunięcia danych, podczas wyszukiwania danych osób zmarłych na stronie wyświetlały się informacje o usunięciu konkretnej treści czy wyszukiwaniu fraz połączonych z hiperłączem do strony Lumen.

Agencja w uzasadnieniu decyzji podaje, że ustanowienie warunku konieczności przekazania danych użytkownika przy braku możliwości wyrażenia przez niego sprzeciwu stanowi przetwarzanie danych osobowych bez ważnej zgody. Ponadto, takie zobowiązanie użytkownika do wyrażenia zgody na przetwarzanie może spowodować, że osoby wyrażą zgodę na coś, co „odbiega od ich pierwotnego zamiaru”, w celu uzyskania dostępu do formularza. Google LLC dokonuje przetwarzania danych w USA, w związku z czym przekazując je podmiotom trzecim nie stosował się do przepisów RODO. Zdaniem Agencji jest to niedopuszczalne i doprowadziłoby do pozostawienia Google LLC decyzji co do tego, kiedy stosuje przepisy RODO, a kiedy nie, a więc do akceptacji tego, że podmiot ten może uchylać się od stosowania RODO.

W związku z przedstawionymi zarzutami Agencja nałożyła na spółkę Google LLC karę grzywny w wysokości 10 milionów euro oraz zobowiązała ją do zmiany regulacji w taki sposób, aby odpowiadały one przepisom prawa obowiązującym na terenie Unii Europejskiej.

Źródła:

https://www.aepd.es/es/documento/ps-00140-2020.pdf

https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-sanciona-google-llc-por-ceder-datos-terceros-sin