Με την σημερινή απόφαση 54/2024 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σε υπόθεση που εκπροσωπώ τον καταγγέλλοντα - που απασχόλησε προ πολλών ετών την δημοσιότητα με δικαστική υπόθεσή του, για την οποία τελικώς η Δικαιοσύνη εξέδωσε απαλλακτική δικαστική απόφαση - διαπιστώθηκαν παραβιάσεις του #GDPR από την Google και ο αμερικανικός κολοσσός διατάχθηκε με βάση το ευρωπαϊκό δίκαιο να λάβει ορισμένα γενικά μέτρα αποκατάστασης του συστημικού προβλήματος που εντοπίστηκε.
Συγκεκριμένα, εκτός από την άρνηση της Google να αποσύρει αποτελέσματα μη επικαιροποιημένα (δεν ανέφεραν την απαλλακτική απόφαση) από την μηχανή αναζήτησης με κριτήριο την χρήση του επωνύμου του καταγγέλλοντος, στην διαδικασία αυτή είχα την ευκαιρία να επισημάνω συγκεκριμένες παραβάσεις του GDPR που αφορούν τον "μηχανισμό" με τον οποίο η Google δέχεται αιτήσεις για διαγραφή προσωπικών δεδομένων.
Στην "Φόρμα κατάργησης προσωπικών δεδομένων" της Google, η Αρχή διαπίστωσε τις εξής παραβάσεις του #GDPR που είχα επισημάνει με την καταγγελία και που τόνισα στην διάρκεια της ακροαματικής διαδικασίας ενώπιον της ανεξάρτητης αρχής:
Α. Δεν υπάρχει δυνατότητα επισύναψης εγγράφων (αρχείου κειμένου, pdf ή άλλης μορφής), ώστε το υποκείμενο των δεδομένων να μπορεί να τεκμηριώσει όσα υποστηρίζει κατά την ενάσκηση των δικαιωμάτων διαγραφής. Εμείς θέλαμε να επισυνάψουμε δικαστική απόφαση που αποδεικνύει την απαλλαγή του καταγγέλλοντος και δεν μπορούσαμε! Αυτό η Αρχή έκρινε ορθώς ότι παραβιάζει το άρθρο 12 παρ. 2 του GDPR και έδωσε εντολή στην Google να το διορθώσει, δίνοντας την δυνατότητα επισύναψης αρχείου στην "Φόρμα".
Β. Όταν στέλνεις ένα αίτημα διαγραφής, η Google απαντάει με ένα αυτοματοποιημένο μήνυμα ότι, ενώ ο GDPR επιβάλλει ικανοποίηση του δικαιώματος εντός 30 ημερών, "μπορεί να χρειαστεί περισσότερος χρόνος", γενικώς και αορίστως. Αυτό η Αρχή έκρινε ορθώς ότι η παραβιάζει το άρθρο 12 παρ. 3 του GDPR και έδωσε εντολή στην Google "να διακόψει την πρακτική αποστολής αυτοματοποιημένου γενικού - μη εξατομικευμένου ενημερωτικού μηνύματος".
Γ. Η Google δεν έχει δημοσιεύσει τα στοιχεία του Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer - DPO) της, παραβιάζοντας το άρθρο 37 παρ. 7 του GDPR και γι' αυτό η Αρχή της δίνει εντολή να δημοσιεύσει τα εν λόγω στοιχεία επικοινωνίας "σε ευκρινές σημείο της ιστοσελίδας" εντός δύο (2) μηνών από την κοινοποίηση της απόφασης.
Δ. H Αρχή έδωσε εντολή στην Google να καταργήσει αποτέλεσμα από την μηχανή αναζήτησής της που περιλάμβανε προσωπικά δεδομένα του καταγγέλλοντος μη επικαιροποιημένα, ήτοι αναφερόταν η ποινική υπόθεση εναντίον του, αλλά όχι η απαλλακτική δικαστική απόφαση, ενώ η Google γνώριζε ότι υπήρχε τέτοια απόφαση και είχε αρνηθεί να αφαιρέσει το συγκεκριμένο αποτελέσμα.
Πρόκειται λοιπόν για μία πολύ σημαντική απόφαση που επιβάλλει σε μια αμερικανική εταιρία που είναι κολοσσός στον χώρο του Διαδικτύου να συμμορφωθεί με τον #GDPR.
Το γραφείο μας έχει εκπροσωπήσει και άλλους καταγγέλλοντες με αιτήματα για συμμόρφωση της Google με τον ευρωπαϊκό κανονισμό προστασίας δεδομένων, με την εταιρία να συμμορφώνεται προς τις αποφάσεις της Αρχής.
Αυτή την φορά όμως έχουμε θέσει ορισμένα ζητήματα της ίδιας της διαδικασίας με την οποία καθένας μπορεί να διεκδικήσει την διαγραφή περιεχομένου που τον αφορά προσωπικά, έτσι ώστε η Google να προσαρμόσει την διαδικασία της σύμφωνα με την ευρωπαϊκή νομοθεσία.
Θα παρακολουθήσουμε λοιπόν την εφαρμογή αυτής της απόφασης και κατά πόσον η Φόρμα της Google θα διορθωθεί με βάση τις εντολές που έδωσε η Αρχή σύμφωνα με τον #GDPR.
Μπορείτε να δείτε την Φόρμα της Google ως έχει σήμερα εδώ:
Εφόσον η Google δεν προσαρμόσει την Φόρμα της στις διατάξεις του #GDPR που της υπέδειξε η Αρχή και σύμφωνα με τις εντολές που της έδωσε, θα επανέλθω σε αυτή την υπόθεση διεκδικώντας την συμμόρφωση.
