MyFondia VirtuellaJuristen
12 MARS 2020

Datainspektionen utdömer sanktionsavgift om 75 miljoner kronor mot Google

Den 11 mars publicerade Datainspektionen ett tillsynsbeslut mot Google med en administrativ sanktionsavgift om 75 miljoner kronor.

Den 11 mars 2020, publicerade Datainspektionen (”DI”) sitt tillsynsbeslut mot Google med en administrativ sanktionsavgift om 75 miljoner kronor.

Grunderna till beslutet är i korthet att:

  1. Google underlåtit att rätta sig efter tidigare förelägganden från DI (här) genom att inte åtgärda begäran om borttagande i tid,
  2. regelmässigt informerat webbansvariga för berörda webbplatser när Google har tagit bort en webbadress till följd av en begäran om borttagande utan laglig grund, samt
  3. i sitt webbformulär för begäran om borttagande vilselett registrerade bland annat genom texten ”Om webbadresser tas bort från våra sökresultat till följd av din begäran kan vi ge information till de webbansvariga för de borttagna webbadresserna”.

DI dömer i tillsynsbeslutet ut 25 miljoner kronor för att Google inte i tid tagit bort sökträffar i enlighet med tidigare tillsynsbeslut. För överträdelserna avseende meddelande till webbansvariga och vilseledande information till de registrerade döms 50 miljoner kronor ut.

I beslutet diskuterar DI den skyldighet som en personuppgiftsansvarig har att utreda omständigheterna i en begäran. DI lyfter att det enligt förarbetena till personuppgiftslagen, som enligt dem kan tjäna som vägledning, är tillräckligt att det av en begäran framgår att den registrerade är missnöjd med behandlingen i något visst avseende och vill att korrigering vidtas. DI konstaterar att det förvisso i första hand åligger den registrerade att ange tillräckliga uppgifter för att Google ska kunna behandla dennes begäran, men att personuppgiftsansvariga har visst utredningsansvar. För det fall den registrerade refererar till exempelvis en webbplats och det är möjligt att identifiera webbsidan och avsedd information på webbsidan bör det dock vara upp till Google att identifiera den sökträff och aktuellt innehåll som begäran avser. Likaså om den registrerade har tagit fel på toppdomän exempelvis .se istället för .com, men det framgår av bland annat sökresultatet vilken sökträff som avses.

Avseende Googles rutin att meddela webbansvariga om begäran om borttagande poängterar DI att det inte krävs att upplysningen i sig gör det möjligt att identifiera en person för att meddelandet ska anses vara personuppgifter. Finns det bara ett namn på den webbsida som sökträffen leder till innebär ett meddelande om beviljad begäran att direkt identifiering kan göras, eftersom en beviljad begäran per definition kopplas till en persons namn. Finns det flera namn på webbsidan menar DI att det enkelt går att söka på ett namn i taget och se vilken sökträff som inte visas, vilket indirekt avslöjar den person som begäran avser. Sammantaget anser DI därför att meddelandena utgjort personuppgifter och det faktum att Google skickat meddelandena innebär att Google behandlat personuppgifterna. Behandlingen har enligt Datainspektionen skett utan laglig grund och varit oförenlig med det syfte som uppgifterna ursprungligen samlades in, i strid med artikel 5.1.b och 6 i dataskyddsförordningen.

Genom att i sitt webbformulär för begäran om borttagande informerat de registrerade om att Google kan komma att dela information till de webbansvariga, har Google enligt DI vilselett de registrerade i strid med artikel 5.1.a i dataskyddsförordningen. Detta då texten givit de registrerade intrycket att behandlingen måste godkännas för att begäran om borttagande ska hanteras, eller att behandlingen följer av Googles rättsliga förpliktelse. Det har enligt DI saknats information om att Google använt berättigat intresse som laglig grund, det berättigade intresse som bolaget har utgått ifrån samt bolagets avsikt att överföra uppgifterna till tredje land. De registrerade har inte heller fått information om rätten att invända mot behandlingen. DI konstaterar även att förfarandet varit ägnat att förmå de registrerade att avstå från att utöva rätten att begära radering.

Några slutsatser som kan dras från domen är:

  • personuppgiftsansvariga har en viss skyldighet att utreda omständigheterna i begäran för att säkerställa att den registrerades avsikt med begäran uppfylls,
  • var noga med att korrekt ange de ändamål som är aktuella för respektive behandling,
  • behandla inte personuppgifter för andra ändamål än angivna,
  • säkerställ att de registrerade enkelt kan utöva sina rättigheter, och
  • villkora inte, varken direkt eller indirekt, en begäran om utövande av rättigheter annat än om särskilda förutsättningar för uppfyllande av begäran framgår av dataskyddsförordningen.