Источник: NautaDutilh International Law Firm
Данное решение интересно не только для Google (и его пользователей), но и для других организаций. В нем содержатся уроки по вопросам международной юрисдикции, специальных категорий персональных данных и условий для осуществления права на удаление или "права на забвение".
Обстоятельства дела довольно простые: 12 результатов поискового запроса в Google по имени Х, исполнительного директора одного французского предприятия, судя по их виду, предполагали наличие связей между Х и определенной политической партией или содержали ссылку на старую жалобу о харасменте, отклоненную в 2010 году.
Будучи центральным объектом этих данных, Х направил запрос о том, чтобы Google исключил данные результаты. Google отказал со ссылкой на различные основания (страницы не показывались как существующие, были не доступны, не отвечали критериям Google для удаления).
1. Распространение полномочий Органа защиты данных Бельгии на Google
Вопросу международной юрисдикции в делах о защите данных уделяется значительное внимание в течение последних нескольких лет на основе судебной практики Суда ЕС и положений Общего регламента о защите данных (ст. 3 Регламента) и предусмотренного Регламентом о защите данных механизма "одного окна". Последний предусматривает специальные правила о подведомственности в отношении связей между "ведущим надзорным органом" и другими надзорными органами.
Весь анализ, скорее всего, будет представлять большой интерес многим юристам в сфере защиты данных и ученым на всей территории Евросоюза. Однако для целей данной рассылки хотелось бы определить основные практические соображения.
а) Бельгия против Ирландии: неприменимость механизма "одного окна"
Google оспаривал юрисдикцию Палаты споров при Органе защиты данных Бельгии, указав на то, что:
(i) Главным предприятием Google на территории ЕС для целей Регламента о защите данных является Google Ireland Ltd;
(ii) Google Ireland Ltd является "контролирующим лицом" в соответствии с определением для данного понятия в Регламенте для целей обработки данных пользователей (например, истории поиска, для содействия адаптации результатов поиска);
(iii) В связи с действием механизма "одного окна" такие дела должен рассматривать только Комиссар по защите данных Ирландии (ирландский аналог Органа защиты данных Бельгии).
Однако данные виды деятельности, связанные с данными пользователей, - это вовсе не то же самое, как это можно понять из признания самого Google, что виды деятельности по обработке, исследованные в новом деле (индексация в поисковом движке). В нем Google заявил, что контролирующим лицом является Google LLC (в США).
Более того, 23 июня 2020 года, то есть ближе к концу рассмотрения дела в Палате споров, сам Google LLC направил ирландскому Комиссару письмо о том, что он больше не будет возражать против того, что местные (национальные, а не ведущие) надзорные органы осуществляют местную юрисдикцию в сфере защиты данных в пределах сферы ответственности Google LLC. Возможно, данное письмо будет важно в делах о "праве на забвение" по всей территории Евросоюза.
В Палате споров данные признания со стороны Google положены в основу позиции о том, что Google Ireland Ltd не является надлежащим контролирующим лицом для целей индексации в поисковом движке (и делистинга, т.е. исключения из результатов поиска), и что таковым является Google LLC.