Kammarrätten gör intressanta uttalanden i Google-fallet
Frågan rörande Googles sökträffar, som påbörjades redan i maj 2015, har slutligen fått sitt svar efter att HFD beslutat att inte meddela prövningstillstånd. I kammarrättsdomen, som därigenom vunnit laga kraft, finns två intressanta frågeställningar. Den första rör innebörden av skyldigheten att underlätta för den registrerade enligt artikel 12.2 i GDPR, vilket hade varit en intressant prejudikatfråga. Den andra avser betydelsen av att följa riktlinjer från Artikel 29-gruppen. I denna analys behandlar dataskyddsexperten Monika Wendleby avgörandet.
BAKGRUND
Frågan om sökträffarna påbörjades redan under personuppgiftslagens tid genom ett tillsynsärende mot Google Inc., numera Google LLC (Google). Granskningen gällde Googles hantering av rätten att bli glömd vid användningen av bolagets söktjänster. Det som bedömdes var ett antal sökträffar kopplade till ett antal registrerade. Eftersom Google inte vidtog rättelser rörande två registrerade (benämnda ”klagomål 8” och ”klagomål 2”) inleddes en ny tillsyn som mynnade ut i ett beslut den 2 maj 2017 av Datainspektionen, som senare bytt namn till Integritetsskyddsmyndigheten (IMY). Enligt beslutet skulle bolaget betala en sanktionsavgift på 75 miljoner kronor. Sanktionsavgiften angavs omfatta dels de två klagomålen, dels ett olagligt meddelande till webbansvariga och felaktig information till registrerade.
Beslutet prövades i förvaltningsrätten som gav både IMY och Google rätt (se min tidigare analys Förvaltningsrätten ger både Google och Datainspektionen rätt, som också beskriver omständigheterna och underinstansernas bedömningar). Sanktionsbeloppet sänktes från 75 till 52 miljoner kronor.
Efter att förvaltningsrättens dom överklagats prövades den av Kammarrätten i Göteborg (på grund av jäv, eftersom presidenten i Kammarrätten i Stockholm dömt i förvaltningsrättsmålet). Domstolen meddelade dom den 30 november 2021 (mål nr 2232-21). Google och IMY överklagade båda kammarrättens avgörande, men Högsta förvaltningsdomstolen (HFD) beslutade den 20 december 2022 att inte meddela prövningstillstånd i målet (mål nr 7528-21).
Eftersom frågan om Googles sökträffar var en av de första stora frågorna som IMY hanterade inför och direkt efter ikraftträdandet av förordning (EU) 2016/679 (GDPR) finns skäl att komplettera den tidigare analysen med en analys av kammarrättsdomen. Här är det framför allt intressant att titta närmare på frågorna kring ”klagomål 2” samt sanktionsbeloppsbedömningarna. I målets resterande delar instämmer kammarrätten i stor utsträckning i förvaltningsrättens domskäl (som beskrivs i den tidigare nämnda analysen), med undantag för frågan rörande Googles meddelanden till webbplatsansvariga. Denna fråga är dock mest av intresse för leverantörer av sökmotortjänster medan frågorna kring ”klagomål 2” samt sanktionsbeloppsbedömningarna kan ha ett bredare allmänintresse. I en analys av den här omfattningen är det rimligt att fokusera på de frågor som kan röra många.
Det är även intressant att reflektera över om HFD gjorde rätt när prövningstillstånd inte meddelades och vad domstolens beslut egentligen innebär.
VAD KRÄVS AV DEN REGISTRERADE VID IDENTIFIKATION AV SÖKTRÄFFAR?
Frågan i kammarrätten är om Google, genom att inte se till att ”sökträff 2” inte visades vid sökningar på en viss persons namn under perioden den 25 maj–12 oktober 2018, har behandlat personuppgifter i strid med artikel 9, 10 och 17 i GDPR.
I överklagandet hade IMY tryckt hårt på att ”Googles tolkning av Artikel 29-gruppens riktlinjer för tillämpningen av EU-domstolens dom i mål C-131/12 av den 26 november 2014, WP 225, är för snäv”. Enligt IMY skulle riktlinjerna förstås som att det utifrån ”vad den enskilde anger med rimliga ansträngningar ska gå att identifiera webbadresserna i fråga”.
IMY angav även:
”Det bör även beaktas vilken börda som kan och rimligen bör läggas på sökmotorleverantören respektive den registrerade. I fall med hundratals undersidor skulle den registrerade behöva lista varje webbadress istället för att bara ange att begäran avser hela diskussionstråden. Leverantören av sökmotorn skulle däremot bara behöva göra en sökning i sitt register efter alla webbadresser där adressen till tråden förekommer och blockera dessa.”
Kammarrätten konstaterar i domskälen följande:
”Enligt Artikel 29-gruppens riktlinjer bör de registrerade kunna utöva sina rättigheter gentemot sökmotorleverantörer på vilket lämpligt sätt som helst. För att sökmotorleverantören ska kunna göra den nödvändiga bedömningen av alla omständigheter i fallet måste dock de registrerade lämna tillräckliga förklaringar om varför de kräver strykning, identifiera specifika URL (webbadresser) och ange om de spelar en roll i det offentliga livet eller inte (Artikel 29-gruppens riktlinjer WP 225, s. 7, punkterna 13–14).
Utgångspunkten bör alltså vara att Google har rätt att begära att den registrerade anger specifika webbadresser i sin begäran om borttagande. Frågan blir då om Google på den punkten och även i övrigt har utformat sitt formulär för begäran om borttagning på ett tillräckligt tydligt sätt.
Det finns inte några formkrav för hur en begäran enligt artikel 17.1 dataskyddsförordningen ska göras. I artikel 12.2 samma förordning sägs dock att den personuppgiftsansvarige ska underlätta utövandet av registrerades rättigheter enligt bland annat artikel 17.1 dataskyddsförordningen.”
Kammarrätten undersöker därefter hur Google utformat sitt sökformulär och finner att ”det av Googles formulär tydligt framgår att den som begär borttagning ska ange vilka webbadresser som begäran avser”. Den registrerade kan även via en länk få ytterligare information om hur adressen ska anges i sökfältet och informeras om vikten av att ange exakta webbadresser eftersom små skillnader kan få stor betydelse. Domstolen noterar även att den registrerade har hänvisat till ”tråden”.
Domstolens slutsats blir följande:
”Den registrerade har i klagomål 2 både i sin begäran och i den efterföljande e-postkonversationen med Google, hänvisat till ’tråden’. I princip samtliga svar från Google nämns dock inledningsvis vilken webbadress det är som Google anser att begäran avser. Mot bakgrund av den information som ges i samband med att en begäran görs samt att Google tydligt redogjort för vilken webbadress som Google anser att begäran avser anser kammarrätten att Google inte kan åläggas någon ytterligare skyldighet att klargöra vilka webbadresser som Googles prövning avser.”
Det är lätt att förstå varför kammarrätten landat i sin slutsats eftersom Google de facto tagit fram ett förfarande. Samtidigt kan man fråga sig om detta förfarande verkligen uppfyller kraven i artikel 12.2 i GDPR att underlätta för registrerade. Många av de stora bolagen har utformat komplicerade sätt för registrerade att ta del av GDPR-information och utöva sina rättigheter. Detta gör det självklart svårt för registrerade att förstå hur de ska förfara. Till det kommer att den börda som läggs på den registrerade, jämfört med sökmotorleverantören, kan framstå som orättvis (jämför IMY:s inställning). Den registrerade har ofta små resurser i jämförelse med sådana bolag, vilket gör att det finns en betydande ojämlikhet i förhållandet. Det är av detta skäl artikel 12.2 i GDPR är så relevant.
Domstolen går inte tydligt in i artikel 12.2 i GDPR eller kopplingen till öppenhetsprincipen i artikel 5.1 a i GDPR, vilket gör resonemanget grumligt och inte helt övertygande. Det kan dock ha spelat in att Artikel 29-gruppen, i dag görs motsvarande arbete av Europeiska dataskyddsstyrelsen (EDPB), angett att klagande ska kunna identifiera specifika webbadresser. Samtidigt är just den riktlinjen en tolkning av en dom från EU-domstolen. Det hade varit intressant att tydligt kunna utläsa hur kammarrätten bedömde både domen och riktlinjen.
GJORDE HÖGSTA FÖRVALTNINGSDOMSTOLEN RÄTT?
IMY ansåg att kammarrättsmålet innehöll en rättsfråga, om hur detaljerad en privatperson behöver vara i sin begäran om radering, som borde prövas i ett prejudikat. Jag kan hålla med IMY om att tolkningen av artikel 12.2 i GDPR innehåller en intressant rättsfråga. Kammarrättens dom möjliggör ju att personuppgiftsansvariga kan konstruera mycket utmanande sätt för registrerade att utöva sina rättigheter, vilket leder till en stor börda och lär minska deras intresse. Dessutom ligger det i sakens natur att nya sökträffar, baserade på en tidigare sökträff, snabbt kan tillkomma. Det hade därmed varit intressant om kammarrätten hade fördjupat sig i frågan om börda i ljuset av artikel 12.2 i GDPR.
Här är även följande uttalande från EU-domstolen, i mål C-131/12, intressant eftersom den borde ingå i en proportionalitetsbedömning kopplad till artikel 12.2 i GDPR:
”Dessutom spelar sökmotorleverantörernas verksamhet i denna del en avgörande roll vid den totala spridningen av nämnda uppgifter genom att göra dem tillgängliga för varje internetanvändare som gör en sökning på den berörda personens namn, däribland de internetanvändare som annars inte skulle ha hittat den webbsida på vilken uppgifterna publicerats.”
Det är också intressant att EU-domstolen i målet, liksom i mål C-136/17 och C-507/17, analyserar sökningar på namn som leder till vissa sökträffar. Även denna aspekt hade kunnat vara intressant att få prövad.
Att HFD inte meddelade prövningstillstånd kan inte tas som intäkt för att frågan inte är intressant eller slutligt bedömd. Kanske ansåg domstolen att målet inte var tillräckligt rent och tydligt för att skapa ett bra prejudikat. Eftersom underrättsavgörandena behandlar en uppsjö av frågor som uppstått innan GDPR började gälla kan målet ha ansetts inte varit tillräckligt renodlat. Enligt min mening bör man därför inte dra för stora växlar på kammarrättsavgörandet utan se det som en in casu-dom, vilket är en dom utan större prejudicerande värde. I detta sammanhang lär den nyligen meddelade domen från EU-domstolen, mål C-460/20, vara intressantare. I punkt 68 i målet anger EU-domstolen att en registrerad inte får åläggas ”en orimlig börda som skulle kunna äventyra den ändamålsenliga verkan av rätten till borttagande”.
Förhoppningsvis kommer det nya möjligheter till prejudikatsprövning så småningom. Det är då även rimligt att HFD, förutom att meddela prövningstillstånd, överväger att begära förhandsbesked från EU-domstolen om vad som kan anses vara en rimlig börda för registrerade. Till det kommer att Artikel 29-gruppen utgick från en EU-dom. Vem kan vara bättre lämpad att förklara vad EU-domstolen menar än den domstolen?
PARTERNAS BELOPPSMÄSSIGA YRKANDEN I KAMMARRÄTTEN
Det är som tidigare nämnts även intressant att titta närmare på sanktionsavgiften och dess beräkning.
IMY yrkade i kammarrätten att:
”…sanktionsavgiften skulle fastställas till 66 miljoner kr enligt följande; 50 miljoner kronor hänför sig till Googles meddelande till webbansvariga samt informationen till enskilda, 1 miljon kronor hänför sig till klagomål 8 och 15 miljoner kronor hänför sig till klagomål 2 för det fall att tidigare föreläggande kan beaktas, i annat fall ska en sanktionsavgift om 4 miljoner kronor anses skälig”.
Google yrkade att Datainspektionens beslut från 2017 skulle undanröjas (det vill säga att ingen sanktionsavgift skulle utgå).
KAMMARRÄTTEN SÄNKER AVGIFTEN
Förvaltningsrätten beslutade att Google skulle påföras en sanktionsavgift på sammanlagt 52 miljoner kronor, varav två miljoner var hänförliga till ”klagomål 2” och 50 miljoner till Googles rutiner.
Kammarrätten finner att Google inte har gjort sig skyldigt till någon överträdelse av GDPR avseende det enskilda klagomålet och påför därmed inte någon avgift för denna del. Sanktionsavgiften sänks därför med två miljoner kronor.
KAMMARRÄTTEN SER ALLVARLIGT PÅ ATT GOOGLE IGNORERAT ARTIKEL 29-GRUPPENS TANKAR
Det som enligt min mening är mest intressant med kammarrättens motivering rörande sanktionsavgiften är konstaterandet angående Googles förmåga att följa riktlinjer från Artikel 29-gruppen gällande frågorna om underrättelse till webbplatser. I domen uttalas:
”Som redogjorts för ovan anser kammarrätten att Google inte haft någon rättslig grund för behandlingen av personuppgifterna och att uppgifterna har behandlats i strid med det ursprungliga ändamålet. I likhet med förvaltningsrätten konstaterar kammarrätten att Google har ignorerat de uttalanden som gjorts i Artikel 29-gruppens riktlinjer. Även om dessa endast är vägledande har de utfärdats av ett organ som är särskilt utsett för att se till att unionens bestämmelser om dataskydd tillämpas enhetligt inom EU.”
Detta uttalande är intressant då det visar att domstolen tillerkänner Artikel 29-gruppens riktlinjer en viss status av rättskälla. Det är enligt min mening korrekt eftersom Artikel 29-gruppens riktlinjer, genom ett beslut i EDPB, fått status av att vara EDPB:s egna riktlinjer och styrelsen kan härleda sin rätt att ge ut riktlinjer direkt genom GDPR. Jag anser också att riktlinjerna ska ha en sådan status om de slutsatser som görs i dem kan härledas direkt till förordningstext, skäl eller EU-domar. Om de däremot reglerar frågor mer skönsmässigt måste värdet minska.
Uttalandet är också intressant för alla personuppgiftsansvariga eftersom det visar vikten av att hålla sig à jour med EDPB:s arbete, inklusive de riktlinjer som tidigare har antagits av Artikel 29-gruppen.
TIDIGARE TILLSYNSÄRENDEN PÅVERKAR
Kammarrätten anser även att en försvårande faktor är att ”Google i ett tidigare tillsynsärende rekommenderats att endast skicka information till webbansvariga när det står klart att sådan information inte innebär en kränkning av de registrerades personliga integritet”. Tillsammans med de faktumen ”att det rör sig om en systematisk behandling, utan någon intresseavvägning i de enskilda fallen, och till att behandlingen pågått under en lång tid” instämmer kammarrätten därför i förvaltningsrättens bedömning.
Även denna del är intressant för personuppgiftsansvariga att tänka på. Har man fått konkreta påpekanden i tidigare tillsyn kan det påverka sanktionsbeloppets storlek.
Av Monika Wendleby, jurist, managementkonsult och författare av GDPR-böcker.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Ta del av fler analyser i JP ITnet
Vill du läsa Monika Wendlebys tidigare analys Förvaltningsrätten ger både Google och Datainspektionen rätt? Eller kanske andra analyser inom dataskyddsområdet? I vår informationstjänst JP ITnet skriver våra experter djuplodande analyser löpande. Skaffa ett kostnadsfritt testkonto här och få tillgång till allt juridiskt material som tjänsten erbjuder.
Publicerad 28 feb 2023
Jurist, managementkonsult och författare av GDPR-böcker