fbpx
 
10 december, 2021

Googles GDPR-rutin resulterade i sanktionsavgift

Googles rutin att meddela webbansvariga om att personer vill ha sina namn raderade i sökresultat strider mot GDPR enligt kammarrätten. Google får därför betala 50 miljoner kronor i sanktionsavgift.

Sommaren 2018 inledde Integritetsskyddsmyndigheten (dåvarande Datainspektionen) ett tillsynsärende gentemot Google. Tillsynen avsåg Googles hantering när enskilda bad om att få deras namn borttagna från Googles söktjänster. En del namn visade sig finnas kvar i vissa sökträffar trots att personerna bett om att få deras namn raderade. Google hade som rutin att regelmässigt informera ansvariga för webbplatser om att en eller flera sökträffar blivit borttagna efter begäran från enskilda personer. Att få sina personuppgifter raderade, dvs. ”rätten att bli bortglömd” är en rättighet enligt EU:s dataskyddsförning (GDPR).

EU-domstolen har tidigare slagit fast att Google under vissa villkor är skyldig att ta bort länkar till webbsidor som publicerats av andra och som innehåller information om personer som vill få sina personuppgifter raderade. Integritetsskyddsmyndigheten ansåg att Googles personuppgiftshantering stred mot GDPR och rätten att bli bortglömd. Integritetsskyddsmyndigheten bestämde därför sanktionsavgiften till 75 miljoner kronor. Sanktionsavgiften grundade sig dels på att några namn inte hade blivit borttagna, dels Googles rutin att meddela webbansvariga om borttagningen.

Ärendet hamnade hos kammarrätten i Göteborg som anser att Googles rutin inte är tillåten enligt GDPR. Meddelanden till webbansvariga utgör en behandling av personuppgifter som inte är förenlig med det ursprungliga ändamålet som personuppgifterna från början samlades in för. Det finns inte heller någon rättslig grund för behandlingen av personuppgifterna enligt kammarrätten.

Kammarrätten ansåg dock att Google har raderat personernas namn utan onödigt dröjsmål, vilket inte strider mot GDPR. Kammarrätten sänkte därför sanktionsavgiften till 50 miljoner kronor då det enda som strider mot GDPR är Googles rutin att meddela webbansvariga. Google får också ett förläggande att sluta upp med ovanstående rutin inom en bestämd tidsfrist.

_______________________________

Författare: Stephanie Ohlsson, Allt om Juridik

Källa: Blendow Lexnova

Foto: Fredrik Sandberg / SCANPIX