Vad har hänt?
Under 2017 granskades Google av Datainspektionen vilket resulterade i ett föreläggande om att ta bort ett antal sökträffar. Sökträffarna bedömdes vara oriktiga, irrelevanta och överflödiga. Granskningen inleddes i ljuset av en dom från EU-domstolen som slog fast att en person har rätt att begära att söktjänster tar bort vissa sökresultat avseende den personen.
Efter tips från allmänheten om att Google inte hade följt föreläggandet inledde Datainspektionen 2018 en andra tillsyn mot Google. Vid en kontroll kunde det konstateras att två av sökträffarna inte tagits bort. Nu är granskningen klar och denna gång var Datainspektionen inte lika förlåtande. Prislappen för att inte ha behandlat personuppgifterna i enlighet med GDPR blev 75 MSEK.
Hur har Google brutit mot GDPR?
Datainspektionen bedömer att Google brutit mot rätten att bli bortglömd genom att inte i rätt tid ha vidtagit åtgärder som säkerställer att sökträffar som omfattas av föreläggandet från 2017 inte längre visas, och dessutom behandlat särskilda kategorier av personuppgifter och uppgifter om brott i strid med GDPR.
När en person begär att bli borttagen har Google dessutom haft en rutin att informera den ansvariga för webbplatsen om att ett sökresultat tagits bort på grund av en begäran om att bli borttagen. Denna behandling är enligt Datainspektionen oförenlig med de ursprungliga ändamålen med behandlingen, dvs. att på begäran i vissa fall ta bort sökträffar, och saknar dessutom rättslig grund. I tillägg möjliggör förfarandet att webbplatsansvariga kan publicera webbsidan på en annan webbadress varpå nya sökträffar uppstår. Genom detta förfarande sätts rätten att bli bortglömd ur spel.
Utöver detta har Datainspektionen ansett att utformningen av Googles webbformulär för att begära rätten att bli glömd bryter mot GDPR. Via webbformuläret begär Google att personen godkänner att Google kan komma att skicka information om borttagandet till webbplatsansvariga. Detta förfarandet är inte tillåtet eftersom det ger ett vilseledande intryck av att behandlingen, dvs. informationsgivningen till webbplatsansvariga, måste godkännas. Detta kan leda till att enskilda avstår från att utöva rättigheten.
Effektivt, proportionellt och avskräckande sanktionsbelopp
Datainspektionen konstaterar att det högsta belopp som kan utdömas i ärendet är 51,2 miljarder SEK. Detta belopp motsvarar fyra procent av Googles moderbolags globala årsomsättning för 2018. Med hänsyn till att klagomålen endast avser två personer, att meddelandena och informationen endast avser Sverige samt att antal registrerade kan uppgå till 5 690 bestämdes sanktionsbeloppet till 75 MSEK. 25 MSEK hänför sig till de två sökträffar som inte tagits bort och 50 MSEK hänför sig till meddelandet till webbplatsansvariga och den vilseledande informationen. Detta belopp är enligt Datainspektionen effektivt, proportionellt och avskräckande.
I tillägg till detta föreläggs Google även att sluta informera webbplatsansvariga och ta bort godkännandet i webbformuläret. Föreläggandena gäller endast Googles söktjänster som kan användas från Sverige.
Fortsättning följer?
Google planerar att överklaga beslutet från Datainspektionen då man bl.a. bedömer att förfarandet att meddela webbplatsansvariga inte strider mot GDPR.
I vår rådgivning ställs vi ofta inför frågan hur vitt eller snävt de registrerades rättigheter ska tolkas. Vi följer med stort intresse hur ett eventuellt överklagande hanteras i domstol.