5月18日,西班牙数据保护局(Agencia Española de Protección de Datos,以下简称AEPD)宣布对Google提起的诉讼作出裁决,认定Google在未经授权的情况下,向第三方转移个人数据并妨碍用户行使删除权,决定依据GDPR第6条和第17条对其处以1000万欧元的罚款。

根据AEPD的公告,Google作为数据的控制者,需要在美国对用户的个人数据进行分析处理。但是AEPD发现Google在向第三方Lumen Project(以下简称Lumen)传输数据时,向其发送了Lumen索要的包括个人身份、Email、给出的原因以及URL地址等个人数据。AEPD认为,以上个人数据被转移到另一个可公开访问的数据库中,并可通过网站传播,导致“行使删除权的目的在实践中受到挫折”。

AEPD指出,Google向Lumen进行的数据传输是强加给使用Google表单的用户的,并且没有提供可以反对的选项,因此,没有进行此类传输的有效同意。为行使授予数据主体的删除权设定这样的条件违反了GDPR中“在向第三方发送擦除请求时,会对其中包含的数据进行额外处理”的要求。此外,在Google的隐私政策中,没有提及用户个人数据的处理,也没有提及与Lumen之间的数据传输,并且也没有法律依据可以支持Google和Lumen之间已执行的删除内容和个人数据的请求。

关于用户权利的行使,AEPD在其决定中指出,“很难推断该请求是否是基于GDPR提出的,因为无论数据主体从拟议选项中选择的原因是什么,这些规则都没有在任何表格中提及。但标题为“根据欧盟隐私法撤回”的表格除外,该表格是唯一一个明确提及这些规则的表格。”

Google表单系统是由Google设计的,AEPD指出,Google表单系统的设计,相当于“使Google有权决定何时适用GDPR,这意味着接受Google可以规避GDPR的应用,更具体地说,接受删除个人数据的权利受到了Google设计的内容删除系统的限制”。

除了在公告中提及的罚金处罚外,AEPD还要求Google在与Lumen进行数据传输、允许用户行使删除权和向用户提供的信息等方面要遵守GDPR的要求,另外Google必须删除所有已被告知Lumen的删除权请求所涉及的个人数据,并有义务敦促Lumen删除并停止使用已向其传输的个人数据。

信息来源:AEPD

新闻采编校对:H.ZhY,W.AD

免责声明

本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证;

本文仅为分享、交流、学习之目的,任何人都不应以本文全部或部分内容作为决策依据,因此造成的后果将由行为人自行负责。

声明:本文来自合规小叨客,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。