Integritetsskyddsmyndigheten, dåvarande Datainspektionen, beslutade den 3 mars 2020 att utfärda en sanktionsavgift mot Google LLC. Sanktionsavgiftens belopp var stort – 75 000 000 kr. Google LLC överklagade beslutet till Förvaltningsrätten i Stockholm, som den 23 november 2020 meddelade dom. Nedan följer en genomgång av de viktigaste delarna i domen, vilka även kan ge vägledning åt andra personuppgiftsansvariga!
Varför utfärdades sanktionsavgiften av Integritetsskyddsmyndigheten?
Först vill jag nämna något om Integritetsskyddsmyndighetens överklagade beslut, eftersom domen i stora delar överensstämmer med beslutet. Integritetsskyddsmyndigheten konstaterade i beslutet att Google inte vidtagit åtgärder så att en viss sökträff inte visas vid sökningar på klagandens namn med hjälp av Googles söktjänster. Integritetsskyddsmyndigheten har i tidigare beslut förelagt Google att vidta åtgärder avseende ett antal klagomål som inkommit, däribland klagomål 2 och klagomål 8. I juni 2018 inledde myndigheten på nytt en granskning av Google efter att ha funnit att sökträffar från klagomål 2 och klagomål 8 fortfarande visades. Vid sin granskning upptäckte Integritetsskyddsmyndigheten dessutom att Google lämnar vilseledande information i sitt formulär för begäran om borttagande samt att Google informerar webbansvariga efter att en sådan begäran har gjorts. Läsa mer om den rättighet som Google överträtt, rätten att bli bortglömd, här.
Integritetsskyddsmyndigheten fann bl.a. att Google, genom att inte vidta åtgärder, har agerat i strid med:
- Artikel 9 i GDPR – de har behandlat känsliga personuppgifter i form av bl.a. etnicitet och religiös övertygelse.
- Artikel 10 i GDPR – de har behandlat personuppgifter som rör lagöverträdelser.
- Artikel 17 i GDPR – de har inte utan onödigt dröjsmål hanterat klagandens begäran om borttagande.
För överträdelserna av GDPR ålade Integritetsskyddsmyndigheten Google att betala en sanktionsavgift på 75 000 000 kronor. Google förelades även att bl.a. upphöra att informera webbansvariga för webbadresser när Google har beviljat en begäran om borttagande av visning vid sökträffar.
Hur kom Integritetsskyddsmyndigheten fram till sanktionsavgiftens storlek?
Enligt Integritetsskyddsmyndigheten har Google överträtt artiklarna 5, 6, 9, 10 och 17 i GDPR. En överträdelse av dessa artiklar innebär att ett högre sanktionsbelopp kan påföras. Sanktionsavgiften kan då uppgå till 4 % av den totala globala årsomsättningen under föregående budgetår eller 20 000 000 euro. Enligt Integritetsskyddsmyndigheten uträkning blev det högsta sanktionsbelopp som kan utfärdas mot Google 51 200 000 000 kr, vilket är 4 % av Googles globala omsättning under 2018.
Integritetsskyddsmyndigheten anser att den personuppgiftsansvariges omsättning ska beaktas särskilt vid bedömningen av hur stor sanktionsavgiften ska vara. Klagomålen mot Google avser två personer och Googles rutin att meddela webbansvariga om begäran om borttagning och information till enskilda kan uppgå till att 5 690 registrerade berörs. Integritetsskyddsmyndigheten har sammantaget bedömt att sanktionsavgiften för att vara effektiv, proportionell och avskräckande ska uppgå till 25 000 000 kr avseende klagomålen gällande två personer samt 50 000 000 kr avseende rutinen att meddela webbansvariga samt den vilseledande information som ges till registrerade. Någon mer motivering än så ges inte i Integritetsskyddsmyndigheten beslut vid bestämmandet av sanktionsavgiftens storlek.
Vad ansåg förvaltningsrätten om Googles agerande?
Förvaltningsrätten i Stockholm instämmer i stort med Integritetsskyddsmyndighetens bedömning. Domstolen anser, i likhet med Integritetsskyddsmyndigheten, att Google gjort sig skyldig till överträdelse av GDPR med hänsyn till klagomål 2 och de rutiner Google har haft gällande information till registrerade och webbansvariga. Dock anser domstolen att Google inte gjort sig skyldig till någon överträdelse vad avser klagomål 8.
Klagomål 2 avser sökträffar som leder till en diskussionstråd på forumet Flashback. Den enskilde hade begärt att få bort hela tråden ur sökresultatet, något som Google inte genomfört trots att begäran från den enskilde enligt domstolen var tydlig. Domstolen uppger, gällande vilka åtgärder som ska vidtas med anledning av Googles agerande, att det rör sig om överträdelser som generellt sett anses vara av allvarlig karaktär. De personuppgifter som berörs är känsliga och kan anses ha medfört skada för den enskilde i form av bl.a. skadat anseende. Domstolen bedömer att det inte kan anses röra sig om en mindre överträdelse som medför att en reprimand är tillräcklig och därför ska sanktionsavgift utfärdas.
Även klagomål 8 rör borttagande av en viss sökträff på en person. Integritetsskyddsmyndigheten utfärdade ett föreläggande om att ta bort sökträffen, vilket överklagades av Google. Domstolen konstaterar i denna fråga att det inte fanns någon skyldighet för Google att rätta sig efter föreläggandet förrän det vunnit laga kraft. Eftersom det överklagades till förvaltningsrätt vann föreläggandet laga kraft i samband med att förvaltningsrättens dom vann laga kraft. Google raderade sökträffen tre dagar innan detta datum. Förvaltningsrätten finner med anledning av det att Google inte har varit i onödigt dröjsmål avseende radering av sökträffen. Därigenom har de inte heller behandlat personuppgifter i strid med GDPR. Ingen sanktionsavgift ska enligt domstolen utfärdas med anledning av klagomål 8.
Gällande vilka åtgärder som ska vidtas med anledning av Googles rutiner att skicka meddelanden till webbansvariga samt den vilseledande information som ges till enskilda finner förvaltningsrätten bl.a. att dessa behandlingar är i strid med principerna om ändamålsbegränsning och öppenhet. Överträdelser av de aktuella artiklarna kan leda till de högre sanktionsavgifterna. Överträdelserna avser systematiskt agerande från Googles sida och det rör sig om en lång tidsperiod. Agerandet från Googles sida står i direkt konflikt med riktlinjer som utfärdats av Europeiska dataskyddsstyrelsen. Domstolen fäster även särskild vikt vid att Googles meddelanden till webbansvariga är en behandling som sker i strid med det ursprungliga ändamålet för behandlingen och att meddelandena i många fall gör att ”rätten att bli bortglömd” i praktiken urholkas. Förvaltningsrätten instämmer i Integritetsskyddsmyndighetens bedömning att en sanktionsavgift ska påföras även i denna del.
Hur bestämdes storleken på sanktionsavgiften i domen?
Gällande klagomål 2 var det klart att Google borde tagit bort sökträffen. Det framstår enligt domstolen dock inte som ett uppsåtligt agerande från Googles sida när de inte tog bort en viss sökträff. Klagomålet berör dessutom enbart en enskild individ. Sanktionsavgiften ska därför sänkas väsentligt enligt domstolen och bestäms till 2 000 000 kr, jämfört med 25 000 000 kr som beslutades av Integritetsskyddsmyndigheten för klagomål 2 och 8.
Vid bestämmande av storleken på sanktionsavgiften för Googles meddelanden till webbansvariga och information till enskilda anser domstolen att årsomsättningen är en väsentlig faktor. Förvaltningsrätten har tagit hänsyn till karaktären och svårighetsgraden på överträdelsen samt det faktum att överträdelserna pågått sedan GDPR trädde i kraft och fortfarande pågår. Särskilt har beaktats:
- vilka bestämmelser som överträtts,
- antalet berörda, samt
- risken för skada.
Förvaltningsrätten kommer därefter fram till slutsatsen att sanktionsavgiften om 50 000 000 kr som Integritetsskyddsmyndigheten beslutat om är motiverad och i vart fall inte för hög.
Behöver ni hjälp att hålla koll på GDPR?
Vi finns tillgängliga om ni skulle behöva hjälp att göra er personuppgiftshantering laglig. Vi kan hjälpa er med:
- Utbildning
- Granskning
- Registerföring
- Upprätta avtal och andra dokument
… och mycket mer! Kontakta oss gärna på mejlen info@gdprhero.se eller boka en demo för att få veta mer!