Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (AEPD) har bötfällt Google LLC med 10 miljoner euro för överträdelse av artiklarna 6 och 17 i dataskyddsförordningen (GDPR).
Av beslutet framgår att två registrerade lämnat in ett klagomål till AEPD över att Google lämnat ut deras personuppgifter till tredje part utan tillstånd. Under den efterföljande utredningen fann AEPD att Google vidarebefordrat de registrerades personuppgifter till det så kallade Lumenprojektet. Lumen är ett oberoende forskningsprojekt som drivs av Berkman Klein Center for Internet & Society vid Harvard University. Projektet inleddes 2002 i syfte att samla in förfrågningar om att ta bort innehåll från webbplatser i och utanför USA. Dessa uppgifter kan sedan användas av forskare och andra berörda parter. Användare av plattformar som drivs av Google, till exempel YouTube eller Google Drive, har möjlighet att begära att innehåll om dem själva på plattformarna tas bort. För detta ändamål har Google tillhandahållit olika kontakt- och klagomålsformulär. Uppgifterna om de registrerade som använder dessa formulär överfördes dock automatiskt till Lumen-projektet. De registrerade har således inte haft möjlighet att invända mot denna överföring, eftersom den automatiska överföringen till Lumen var ett villkor för att använda formulären.
Efter sin utredning avvisade AEPD den rättsliga grunden berättigat intresse enligt artikel 6.1 (f) GDPR som Google åberopat, dvs. att Googles bidrag till Lumenprojektet för att skapa öppenhet och ansvarsskyldighet samt för att undvika missbruk och bedrägeri, och fann att de registrerade inte informerats i vederbörlig ordning om den rättsliga grund som skulle motivera överföringen av deras personuppgifter till Lumenprojektet. AEPD konstaterade vidare att det i Googles integritetspolicy angavs att Google inte delar information med företag utanför Google om inte den berörda parten gett sitt samtycke, vilket enligt AEPD sa emot Googles ovannämnda argument. Av denna anledning fann AEPD att Google, på grund av bristen på möjlighet att invända mot överföringen av uppgifterna till Lumenprojektet, behandlade de registrerades uppgifter utan giltig rättslig grund. I detta sammanhang konstaterade AEPD även att Google inte i tillräcklig utsträckning gett de registrerade möjlighet att utöva sin rätt att radera sina uppgifter enligt artikel 17 GDPR eftersom de formulär som Google använt inte var utformade på ett sätt som underlättade denna rättighet.
Vid bedömningen av böterna tog AEPD hänsyn till att uppgifterna inte bara avslöjades utan också överfördes till ett tredjeland utan att de registrerade fått möjlighet att motsätta sig detta. Detta berövade de registrerade kontrollen över hanteringen av deras personuppgifter. Dessutom konstaterade AEPD att överföringen ägt rum under en mycket lång tidsperiod, att ett stort antal personer berörts, att Google i vissa fall behandlat känsliga uppgifter, och bristen på lämpliga förfaranden för behandling av personuppgifter i samband med begäran om borttagning av online-innehåll.
På grundval av dessa överträdelser ålade AEPD Google böter på 10 miljoner euro, 5 miljoner euro för överträdelse av artikel 6 GDPR, och 5 miljoner euro för överträdelse av artikel 17 GDPR. Därutöver beordrade AEPD Google att inom sex månader från delgivningen av beslutet vidta nödvändiga åtgärder för att anpassa sin behandling till dataskyddsbestämmelserna och att radera alla personuppgifter som har varit föremål för en begäran om radering som meddelats inom Lumenprojektet.