اسپانیا به دلیل خنثی کردن «حق فراموش شدن اتحادیه اروپا» به گوگل ضربه زد

در اینجا یک دیدگاه نادر وجود دارد: اسپانیا توسط اسپانیا به دلیل نقض جدی مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) 10 میلیون یورو جریمه شد، که مشخص شد اطلاعاتی ارائه کرده است که می تواند برای شناسایی شهروندانی که درخواست حذف اطلاعات شخصی خود را دارند، مورد استفاده قرار گیرد. داده ها مطابق با قوانین اتحادیه اروپا، از جمله آدرس ایمیل آنها؛ دلایل بیان شده؛ و URL درخواستی به شخص ثالث مستقر در ایالات متحده بدون مبنای قانونی معتبر برای این پردازش بیشتر.

علاوه بر جریمه شدن، به گوگل دستور داده شده است که رویه های خود را تغییر دهد تا آنها را با GDPR مطابقت دهد – و تمام داده های شخصی را که هنوز در ارتباط با این برنامه در اختیار دارد حذف کند.

این جریمه اولین مجازات GDPR گوگل نیست – فرانسه به دلیل سریعترین اجرای چارچوب حفاظت از داده های این بلوک در چند سال پیش شناخته شده است – اما، تا آنجا که می دانیم، این دومین بار است که این غول تبلیغاتی تحریم می شود. تحت GDPR از زمانی که این مقررات چهار سال پیش در این ماه اجرایی شد. (اگرچه اخیراً مشخص شده است که استفاده از ابزارهای خاص Google قوانین صادرات داده‌های GDPR را نقض می‌کند. Google همچنین تحت قوانین حفظ حریم خصوصی الکترونیک اتحادیه اروپا با جریمه‌های بسیار سخت‌تری مواجه شده است.)

مقام حفاظت از داده های اسپانیا، AEPD، امروز تحریم را اعلام کرد و گفت که گوگل را به دلیل آنچه “دو نقض بسیار جدی” توصیف می کند، تحریم می کند – انتقال داده ها از شهروندان اتحادیه اروپا به کشور ثالث بدون مبنای قانونی. و در نتیجه حق افراد را برای حذف داده های شخصی خود تحت GDPR مختل می کند.

سومین طرفی که گمان می‌رود گوگل داده‌ها را به آن منتقل می‌کند، پروژه لومن است، یک پروژه دانشگاهی مستقر در ایالات متحده از مرکز اینترنت و جامعه برکمن کلاین در دانشگاه هاروارد که هدف آن جمع‌آوری و مطالعه ادعاهای حقوقی برای حذف اطلاعات آنلاین با جمع‌آوری است. پایگاه داده درخواست های دانلود محتوا

AEPD دریافت که با انتقال داده‌های شخصی به شهروندان اروپایی که درخواست حذف داده‌های پروژه Lumen خود را داده‌اند، Google اساساً حق قانونی آنها را برای حذف اطلاعات آنها (طبق ماده 17 GDPR) – که به عنوان «حق فراموش شود ‘; rtbf. (و گوگل، به بیان ملایم، سابقه طولانی اعتراضات علیه rtbf اتحادیه اروپا – که به شکل فهرست زدایی جستجو، مقدم بر GDPR است، از طریق تصمیم CJEU در سال 2014) به داده های شخصی آنها به هیچ وجه جدید نیست. )

در تصمیم خود، AEPD گفت که گوگل به کاربرانی که درخواست حذف داده‌های خود را دارند اجازه نمی‌دهد اطلاعات خود را به پروژه Lumen منتقل کنند یا خیر – که به این معنی است که هیچ مبنای قانونی معتبری برای اشتراک‌گذاری داده‌ها وجود ندارد.

رگولاتور همچنین از سیستم مبتنی بر فرمی که توسط Google برای اجازه دادن به افراد برای درخواست حذف داده‌های خود راه‌اندازی شده انتقاد کرد – به دلیل گیج‌کننده بودن و الزام آنها به انتخاب گزینه‌ای برای درخواست خود، که به گفته او می‌تواند منجر به درمان شود. رژیم نظارتی متفاوت از حفاظت اطلاعات.

«تصمیم آژانس بیان می‌کند که این سیستم برابر است با «ترک تصمیم Google LLC در زمان و زمانی که GDPR اعمال نمی‌شود و این به معنای پذیرش این است که این نهاد ممکن است اجرای قوانین حفاظت از داده‌ها را دور بزند و – به ویژه، بپذیرد». AEPD در یک بیانیه مطبوعاتی خاطرنشان می کند که حق حذف داده های شخصی مشروط به سیستم حذف محتوا است که توسط نهاد مسئول ایجاد شده است.

سخنگوی گوگل به ما گفت که از تصمیم تنظیم کننده قدردانی می کند.

این شرکت گفت که قبلاً اقداماتی را برای تغییر فرآیندهای خود انجام داده است، مانند کاهش میزان اطلاعاتی که با Lumen در مورد درخواست‌های حذف از کشورهای اتحادیه اروپا به اشتراک می‌گذارد. Google همچنین خط مشی کلی خود را مبنی بر عدم اشتراک هیچ حقی برای حذف/فراموش شدن، درخواست حذف جستجو یا هر درخواست حذف دیگری که به حفاظت از داده ها یا حقوق حریم خصوصی اشاره می کند پیشنهاد کرده است – اما اگر اینطور باشد، مشخص نیست چرا AEPD چیز دیگری را تشخیص داده است. .

سخنگوی گوگل در بیانیه ای افزود:

«ما تعهدی طولانی به شفافیت در مدیریت درخواست‌های حذف محتوا داریم. مانند بسیاری از شرکت‌های اینترنتی دیگر، ما با Lumen، یک پروژه دانشگاهی مرکز اینترنت و جامعه هاروارد برکمن کلاین، کار کردیم تا به محققان و عموم مردم کمک کنیم تا درخواست‌های حذف محتوای آنلاین را بهتر درک کنند.

ما در حال بررسی این تصمیم هستیم و دائماً با تنظیم‌کننده‌های حفظ حریم خصوصی، از جمله AEPD، برای ارزیابی مجدد اقدامات خود درگیر هستیم. ما همیشه در تلاش هستیم تا تعادلی بین حقوق حریم خصوصی و نیاز خود به شفافیت و پاسخگویی در مورد نقش خود در تعدیل محتوای آنلاین پیدا کنیم. ما قبلاً شروع به ارزیابی مجدد و طراحی مجدد شیوه های به اشتراک گذاری داده خود با Lumen در پرتو این روش ها کرده ایم.

ما با پروژه لومن با سوالات تماس گرفتیم.

AEPD همچنین به گوگل دستور داد تا پروژه Lumen را “تصرف کند” که استفاده از آن را متوقف کند و تمام داده های اتحادیه اروپا را که بدون مبنای قانونی معتبر ارائه کرده است حذف کند – اگرچه در نهایت رگولاتور اسپانیا منابع محدودی برای وادار کردن یک نهاد خارج از اتحادیه اروپا برای احترام به قوانین اتحادیه اروپا دارد.

این مورد به دلیل یک موضوع جداگانه در حوزه قضایی GDPR جالب است.

فروشگاه یک‌جای مقررات (OSS) شکایات فرامرزی را از طریق یک ناظر «سرب»، معمولاً در بازار اتحادیه اروپا، جایی که دفتر مرکزی شرکت در آن قرار دارد، ارسال می‌کند – که در مورد Google (و بسیاری از غول‌های فناوری دیگر) داده‌های مربوط به ایرلند است. کمیسیون دفاع (DPC)، که همچنان با انتقاد شدید به دلیل سرعت اجرای دقیق GDPR، به ویژه در پرونده های فرامرزی مربوط به غول های فناوری، مواجه است. در واقع، DPC در حال حاضر به دلیل عدم اقدام در مورد شکایت Google adtech در محاکمه است.

این شکایت به حدود چهار سال قبل برمی گردد. DPC چندین سؤال طولانی مدت دیگر از Google دارد، از جمله یکی از مواردی که به شیوه های ردیابی موقعیت مکانی آن می پردازد. اما رگولاتور ایرلندی هنوز هیچ تصمیمی در مورد هیچ یک از پرونده های گوگل صادر نکرده است. بنابراین، اجرای GDPR گوگل یک منظره نادر است.

اگر آژانس حفاظت از داده های اسپانیا با منابع بسیار کمتر بتواند راه حل و اجرای قانون را به دست آورد (این در واقع یکی از فعال ترین DPA های اتحادیه اروپا است)، منتقدان مطمئناً خواهند پرسید که چرا ایرلند نمی تواند؟

در همین حال، پاکسازی قبلی گوگل از GDPR توسط فرانسه تنها به این دلیل امکان پذیر بود که این غول تبلیغاتی هنوز کسب و کار خود را برای کاهش “ریسک نظارتی” خود در منطقه از طریق “خرید در انجمن” OSS با انتقال حساب های شهروندان به نهاد مستقر در ایرلند خود تنظیم نکرده بود. – بنابراین مصرف کنندگان اتحادیه اروپا تحت صلاحیت DPC (کوشا) ایرلندی قرار می گیرند.

بنابراین چگونه اسپانیا در این مورد، Google-Lumen، از گلوگاه DPC GDPR عبور کرد؟

در اصل، آژانس دارای صلاحیت است، زیرا تجارت مستقر در ایالات متحده Google پردازش مورد نظر را انجام داده است، و پروژه Lumen خود مستقر در ایالات متحده است. گفته می شود که تنظیم کننده موفق شده است نشان دهد که داده های شهروندان اسپانیایی در حال پردازش است، به این معنی که می تواند از طرف آنها مداخله کند.

AEPD تأیید کرده است که به مکانیزمی در GDPR برای ارتباط با DPC ایرلند در مورد موضوع صلاحیت متکی است، به ما بگویید: “پس از تکمیل این رویه و تعیین صلاحیت، AEPD با باز کردن این رویه تحریم موافقت کرد.”