Datainspektionen meddelar största sanktionsavgiften hittills för Google

Publicerat:11 mars, 2020
Datainspektionen har den 10 mars meddelat att Google LLC ska erlägga 75 miljoner kronor i en administrativ avgift på grund av överträdelser mot GDPR. Det är värt att notera att en tredjedel av detta belopp (25 mkr) avser överträdelser begångna mot två enskilda individer under en relativt kort tid. Beslutet är omfattande och tar upp en mängd principiellt intressanta frågor. Nedan sammanfattar jag vad detta ärende handlar om.

2014 kom en dom från EU domstolen enligt vilken Google var skyldig att under vissa förutsättningar ta bort sökträffar avseende enskilda (under vissa förutsättningar). Med anledning av den domen kom ett antal personer att vända sig till Datainspektionen då Google hade vägrat att ta bort sökträffar avseende dessa. Detta ledde till beslut av Datainspektionen och sedermera en lagakraftvunnen dom den 24 maj 2018, enligt vilken Google skulle ta bort sökträffar avseende fem olika personer. Denna dom beslutades i enlighet med den tidigare gällande personuppgiftslagstiftningen. Domen innebar att Google skulle ”vidta åtgärder så att de ovan nämnda sökträffarna inte visas vid sökningar på klagandens namn med hjälp av Googles söktjänster som kan göras från Sverige” senast den 2 augusti 2017.

Dagen efter, den 25 maj 2018 började så GDPR att gälla. Datainspektionen fick då tips från allmänheten att Google inte hade tagit bort sökträffar avseende två av de fem som den lagakraftvunna domen berörde. En ärende öppnades och nu har ett beslut alltså lämnats. Detta beslut kan överklagas av Google, så sista ordet är inte sagt.

Datainspektionen har i sitt beslut granskat dels hur Google har hanterat klagandenas begäranden om att tas bort samt hur Google följer den lagakraftvunna domen avseende dessa personer (kallad ”2” och ”8”). Datainspektionen har vidare tittat på hur Google utreder begäranden om borttagande samt Googles rutin att regelmässigt informera webbansvariga för berörda webbadresser när en begäran har beviljats och Googles information till enskilda om detta i Googles webbformulär för begäran om borttagande.

Vad gäller ”2” så innebar sökträffen att en diskussionstråd kom upp som av Datainspektionen ansågs utgöra en omfattande kartläggning av personen i fråga avseende bland annat etnicitet, religiösa övertygelse, mentala hälsa, sexuella preferenser, lagöverträdelser, familj och adress. Datainspektionens ursprungliga beslut avseende denna ”2” överklagades inte av Google.

Person ”8” handlade om sökträff som ledde till en artikel publicerad på Sydsvenskans webbplats. Artikeln innehöll uppgifter om brott som klaganden påstås ha begått (uppgifter om anklagelser om brott och pågående förundersökning). Beslutet om att dessa sökträffar skulle tas bort överklagades av Google, men stod alltså fast i den lagakraftvunna domen.

Av Google-Spain domen framgår att en sökmotorleverantör måste inom vissa ramar säkerställa att behandlingen av personuppgifter i verksamheten uppfyller kraven i dataskyddsreglerna, eftersom verksamheten ”på ett betydande sätt kan påverka grundläggande rättigheter avseende privatlivet och skyddet för personuppgifter för de personer som berörs”. Om en sökmotor tagit emot en begäran om borttagande men inte tar bort dessa innebär en fortsatt behandling att sökmotorn bryter mot personuppgiftslagstiftningen. Datainspektionen menar i det nya beslutet att den nya lagstiftningen inte förändrar bedömningen.

I korthet har Datainspektionen funnit att sökträffar avseende ”2” inte i sin helhet varit borta. Google har i sin tur menat att sökandena inte uttryckligen begärt borttagande av vissa specifika sökträffar (man har tagit bort sid 1 av en diskussionstråd men inte sidan 2) och att Google därför inte varit skyldig att ta bort dessa. Google har därför inte utan onödigt dröjsmål tagit bort uppgifterna (art 17 i GDPR) och de uppgifter som behandlats har varit känsliga uppgifter och brottsuppgifter (art 9 och 10 i GDPR).

Vad gäller ”8” har Google inte inom rätt tid tagit bort sökträffen (en diskussion har bl. a. förts om när Google blivit delgiven domen). Genom att dröja med att ta bort sökträffen har Google därmed behandlat personuppgifter i strid med GDPR (art 10). Det var vidare fråga om ytterligare en sökträff för ”8” men den omfattades inte av det ursprungliga beslutet (och fanns inte heller vid denna tid).

I båda fall konstaterar Datainspektionen att Google inte har rättat sig efter Datainspektionens tidigare föreläggande.

Datainspektionen har också granskat det faktum att Google, när de beviljar borttagande, har som rutin att meddela webbansvariga (de som prenumererar på en viss tjänst av Google; ”Search Console”). De som beviljas borttagande får information om detta och ska godkänna. Denna information är enligt Datainspektionen i sig vilseledande då det framstår som att samtycke är nödvändigt för att uppgiften ska raderas.

Datainspektionen konstaterar att Google, genom att meddela webbansvariga, behandlar personuppgifter utan lagligt stöd (vilket strider mot art 5 och 6 i GDPR). Datainspektionen för i sitt beslut en omfattande och intressant diskussion om huruvida Google kan ha en laglig grund för att behandla personuppgifterna ur flera perspektiv samt utreder frågan om ändamålsprincipen. Jag kan av utrymmesskäl inte gå igenom detta närmare här, men kan rekommendera alla läsare som är intresserade att läsa Datainspektionens beslut som är pedagogiskt och tydligt skrivet.

Vad blir då påföljden för Google?

Datainspektionen meddelar ett föreläggande att Google ska upphöra med att meddela webbansvariga om Google tar bort sökträffar, dels att den information rörande detta som lämnas till individer vars sökträffar tas bort inte längre ska lämnas.

Därutöver för Datainspektionen ett resonemang om huruvida en administrativ sanktionsavgift ska meddelas och grunderna för beräkning av denna. Det är förmildrande att det avser – i respektive fall 2 och 8 – en person. Datainspektionen för en diskussion rörande respektive fall, men sammanfattningsvis har man kommit fram till följande. Det föreligger försvårande omständigheter, såsom att överträdelsen är ett led i ett systematiskt förfarande, det är i ”8:s” fall fråga om integritetskänsliga uppgifter (uppgift om brott) och i ”2:s” fall även fråga om känsliga uppgifter, Google har inte tagit bort sökträffen trots att Google förelagts att göra detta och överträdelsen har i ”2:s” fall varat i 4,5 månader. Datainspektionen anser vidare att det är uppsåtligt, då Google följt sina egna rutiner. Vidare är meddelande till webbansvariga försvårande.

Datainspektionen anser att det i detta fallet inte är fråga om ursäktliga, materiella feltolkningar av lagen såsom Google anfört.

Beloppet 75 miljoner kronor har räknats fram utifrån moderbolaget Alphabet Incs globala årsomsättning, som uppgick till ca 119 500 000 000 EUR, motsvarande 1 280 miljarder svenska kronor. Det högsta sanktionsbelopp som därmed kan bestämmas uppgår till 4 % av detta, dvs. 51 200 000 000 kr.

Datainspektionens beslut innebär att Google ska betala 25 000 000 kr för publiceringen av sökträffarna avseende ”2” och ”8” och 50 000 000 kr för meddelande till webbansvariga och vilseledande information om detta till enskilda, således sammanlagt 75 000 000 kr.

________________

Sara Malmgren, advokat på Foyen Advokatfirma
sara.malmgren@foyen.se