İspanya, AB’nin ‘unutulma hakkını’ boşa çıkardığı için Google’a tokat attı – Teknolojik Haberler


İşte nadir görülen bir manzara: Google, kişisel verilerinin silinmesini talep eden vatandaşları belirlemek için kullanılabilecek bilgileri geçtiğini tespit eden Avrupa Birliği Genel Veri Koruma Yönetmeliği’ni (GDPR) ciddi şekilde ihlal ettiği için İspanya tarafından 10 milyon Euro’luk bir para cezasına çarptırıldı. e-posta adresleri de dahil olmak üzere AB yasalarına göre; verilen sebepler; ve talep edilen URL, bu ileri işleme için geçerli bir yasal dayanağı olmayan ABD merkezli bir üçüncü tarafa.

Google’a para cezasının yanı sıra prosedürlerini GDPR’ye uygun hale getirmek için değiştirmesi ve bu yaptırımla ilgili olarak halen elinde bulundurduğu tüm kişisel verileri silmesi emredildi.

Para cezası, Google’ın ilk GDPR cezası değil – Fransa, bloğun amiral gemisi veri koruma çerçevesini birkaç yıl önce buna karşı en hızlı şekilde uyguladığı için övgü aldı – ancak bildiğimiz kadarıyla, reklam teknolojisi devinin yalnızca ikinci kez yaptırıma maruz kalması. Dört yıl önce bu ay düzenlemenin yürürlüğe girmesinden bu yana GDPR kapsamında. (Her ne kadar yakın zamanda belirli Google araçlarının kullanımının GDPR veri dışa aktarma kurallarını ihlal ettiği tespit edilmiş olsa da. Google ayrıca AB’nin e-Gizlilik kuralları kapsamında çok daha ağır cezalara çarptırıldı.)

İspanya’nın veri koruma yetkilisi AEPD bugün cezayı duyurdu ve Google’a “iki çok ciddi ihlal” olarak tanımladığı – AB vatandaşlarının verilerinin yasal bir dayanağı olmaksızın üçüncü bir tarafa aktarılmasıyla ilgili – yaptırım uyguladığını söyledi; ve bunu yaparken, kişilerin GDPR kapsamında kişisel verilerini silme hakkının engellenmesi.

Google’ın yasa dışı olarak veri aktardığı kabul edilen üçüncü taraf, Lümen ProjesiHarvard Üniversitesi’ndeki Berkman Klein İnternet ve Toplum Merkezi’nden, içerik kaldırma taleplerinden oluşan bir veritabanını bir araya getirerek çevrimiçi bilgilerin kaldırılmasına yönelik yasal talepleri toplamayı ve incelemeyi amaçlayan ABD merkezli bir akademik proje.

AEPD, verilerinin silinmesini talep eden Avrupa vatandaşlarının kişisel verilerini Lumen Projesi’ne ileterek Google’ın, bilgilerinin yasal olarak silinmesine ilişkin haklarını (GDPR Madde 17 uyarınca) – yani ‘unutulma hakkı’nı esasen engellediğini tespit etti. ‘; rtbf. (Ayrıca, hafifçe söylemek gerekirse, Google’ın AB’nin rtbf’sine karşı uzun bir geçmişi vardır – ki bu, arama indeksleme biçiminde, 2014 tarihli bir ABAD kararıyla GDPR’den önce gelir. Dolayısıyla, AB bireylerinin belirli yasal taleplerde bulunma yeteneği kişisel verilerine eklenmiş olması hiç de yeni değil.)

onun içinde kararAEPD, Google’ın verilerinin silinmesini talep eden kullanıcılara bilgilerinin Lümen Projesi’ne iletilmesi konusunda bir seçim yapmadığını, yani verilerin paylaşılması için geçerli bir yasal dayanağa sahip olmadığı anlamına geldiğini söylüyor.

Düzenleyici ayrıca, Google’ın bireylerin verilerinin silinmesini talep etmeleri için tasarladığı biçime dayalı sistemi – kafa karıştırıcı olduğu ve talepleri için veri korumasından farklı bir düzenleyici rejim kapsamında ele alınmasına yol açabileceğini söylediği bir seçenek seçmelerini gerektirdiği için – eleştirdi.

“Ajansın kararı, bu sistemin ‘GDPR’nin ne zaman ve ne zaman uygulanmadığına ilişkin Google LLC’nin kararından ayrılmaya eşdeğer olduğunu belirtir ve bu, bu kuruluşun kişisel veri koruma kurallarının uygulanmasını engelleyebileceğini ve daha spesifik olarak, kişisel verileri silme hakkı, sorumlu kuruluş tarafından tasarlanan içerik kaldırma sistemi tarafından şartlandırılır”, AEPD bir basın açıklamasında belirtiyor.

Bir Google sözcüsü, düzenleyicinin kararını değerlendirdiğini söyledi.

Şirket, AB ülkelerinden gelen kaldırma talepleri için Lumen ile paylaştığı bilgi miktarını azaltmak gibi, süreçlerini değiştirmek için zaten adımlar attığını iddia etti. Google ayrıca, genel politikasının herhangi bir silme/unutulma hakkının, arama listelerinden çıkarma taleplerinin veya veri koruma veya gizlilik haklarının çağrıldığı diğer kaldırma taleplerinin paylaşılmaması olduğunu da önerdi – ancak durum buysa, AEPD’nin neden başka türlü bulduğu açık değil. .

Google’ın sözcüsü yaptığı açıklamada şunları ekledi:

“İçerik kaldırma taleplerinin yönetiminde şeffaflığa uzun süredir bağlıyız. Diğer birçok İnternet şirketi gibi, araştırmacıların ve halkın çevrimiçi içerik kaldırma taleplerini daha iyi anlamalarına yardımcı olmak için Harvard Berkman Klein İnternet ve Toplum Merkezi’nin akademik bir projesi olan Lumen ile çalıştık.

“Kararları gözden geçiriyoruz ve uygulamalarımızı yeniden değerlendirmek için AEPD dahil olmak üzere gizlilik düzenleyicileriyle sürekli olarak iletişim halindeyiz. Her zaman gizlilik hakları ile çevrimiçi içeriği denetleme rolümüz konusunda şeffaf ve hesap verebilir olma ihtiyacımız arasında bir denge kurmaya çalışıyoruz. Bu işlemler ışığında Lumen ile veri paylaşım uygulamalarımızı yeniden değerlendirmeye ve yeniden tasarlamaya başladık bile.”

Lumen Projesi’ne sorularla ulaştık.

AEPD ayrıca Google’a Lümen Projesi’ni, AB vatandaşlarının kendisine ilettiği verileri geçerli bir yasal dayanak olmaksızın kullanmayı bırakması ve silmesi için “teşvik etmesini” emretmiştir. AB yasalarına uymak için.

Dava, ayrı bir GDPR yargı yetkisi sorusu nedeniyle ilginçtir.

Düzenlemenin tek durak noktası (OSS) mekanizması, sınır ötesi şikayetleri, genellikle şirketin ana kuruluşunun bulunduğu AB pazarında bir “öncü” denetçi aracılığıyla yönlendirir – Google’ın durumunda (ve diğer birçok teknoloji devi için) İrlanda’nın Verileri Özellikle teknoloji devleri için geçerli olan sınır ötesi davalarda, GDPR uygulamasının özenli hızı konusunda güçlü eleştirilerle karşılaşmaya devam eden Koruma Komisyonu (DPC). Gerçekten de, DPC şu anda bir Google reklam teknolojisi şikayetinde eylemsizlik nedeniyle dava ediliyor.

Bu şikayet bu noktada neredeyse dört yıl öncesine dayanıyor. DPC ayrıca, konum izleme uygulamalarına bakmak da dahil olmak üzere, uzun süredir devam eden bir dizi başka Google sorgusuna sahiptir. Ancak İrlanda düzenleyicisi, Google davalarıyla ilgili hâlâ herhangi bir karar yayınlamadı. Bu nedenle, Google’ın GDPR uygulaması nadir görülen bir durumdur.

İspanya’nın çok daha az kaynaklara sahip veri koruma kurumu kapıdan bir karar ve uygulama alabilirse (aslında en aktif AB DPA’larından biridir), eleştirmenler kesinlikle soracaktır, neden İrlanda yapamıyor?

Bu arada, Fransa’nın Google’ın daha önceki GDPR’si, yalnızca reklam teknolojisi devi, OSS ‘forum alışverişi’ aracılığıyla, vatandaşların hesaplarını İrlanda merkezli hesabına taşıyarak, bölgedeki ‘düzenleme riskini’ azaltmak için işini yeniden yapılandırmadığı için mümkün oldu. varlık — böylece AB kullanıcılarını (özenli) İrlanda DPC’sinin yargı yetkisi altına sokar.

Öyleyse, İspanya bu Google-Lumen davasında DPC GDPR yaptırımı darboğazını nasıl atlattı?

Temelde ajansın yetkinliği var çünkü Google’ın ABD merkezli işi söz konusu işlemeyi yürütüyordu ve ayrıca Lumen Projesi’nin kendisi ABD merkezliydi. Düzenleyici, muhtemelen İspanyol vatandaşlarının verilerinin işlendiğini gösterebildi – bu, onların adına müdahale edebileceği anlamına geliyor.

AEPD, yetkinlik konusunda İrlanda DPC ile bağlantı kurmak için GDPR’deki bir mekanizmaya güvendiğini doğruladı ve bize şunları söyledi: “Bu prosedür tamamlandıktan ve yargı yetkisi belirlendikten sonra, AEPD bu yaptırım prosedürünü açmayı kabul etti.”



Kaynak : https://techcrunch.com/2022/05/18/google-spain-lumen-gdpr-rtbf/

Yorum yapın