Rätten att bli glömd på Google | JP Infonet

Rätten att bli glömd på Google

I en uppföljning till domen Google Spain från 2014 behandlar EU-domstolen frågor om dels sökmotorleverantörers skyldighet att ta bort länkar till särskilda kategorier av personuppgifter, dels den geografiska omfattningen av denna skyldighet. Här analyserar vi Google-domarna från september 2019. 

dataskydd_Ratten_att_bli_glomd_pa_Google_16x9.jpg

I september i år meddelade EU-domstolen dom i två mål som preciserar innebörden av EU:s reglering av skyddet för personuppgifter (C-136/17 och C-507/17). Domarna utgör en fortsättning av tidigare praxis på området, där avvägningen mellan skyddet för personuppgifter och värnandet om yttrande- och informationsfriheterna aktualiseras. Domstolen har tolkat dataskyddsdirektivet då omständigheterna i målen hänför sig till tiden före dataskyddsförordningen började tillämpas. EU domstolen har dock ändå beaktat förordningen vid sin bedömning i syfte att ge ett användbart svar.

Domen i målet GC m.fl.


I det första målet, GC m.fl. (C-136/17), ombeds EU-domstolen bland annat att tolka artikel 8 i dataskyddsdirektivet om särskilda kategorier av uppgifter i förhållande till en sökmotorleverantörs verksamhet. Dessa kategorier omfattar uppgifter som kan antas vara särskilt känsliga och vars behandling kan medföra betydande intrång i den enskildes privatliv. Frågan i det nationella målet var om Google hade en skyldighet att ta bort länkar till webbsidor som bland annat innehöll tidningsartiklar med känsliga uppgifter om vissa personer. 

Domstolen gör i sin bedömning en avvägning mellan å ena sidan respekten för privatlivet och skyddet för personuppgifter och å andra sidan värnandet om yttrande- och informationsfriheterna. Domstolen konstaterar att sökmotorleverantörerna i princip är skyldiga att på en registrerad persons begäran ta bort länkar till webbsidor med uppgifter som omfattas av de särskilda kategorierna. Sökmotorleverantören kan dock, med beaktande av artiklarna 6 och 14 i dataskyddsdirektivet, vägra att ta bort länkar till webbsidor med personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade själv. En sådan vägran ska föregås av den avvägning som definierades i målet Google Spain och Google. Avvägningen innebär bland annat att även om skyddet för privatlivet normalt väger tyngre än informationsfriheten, så kan det omvända gälla om den registrerade individen är en offentlig person. Personuppgifter av särskild karaktär enligt artikel 8 i dataskyddsdirektivet kan dock vara så känsliga att behandlingen av uppgifterna kan leda till ett synnerligen allvarligt ingrepp i privatlivet, något som också ska tas med i avvägningen.

Domen i målet Google


I den andra domen (C-507/17) prövar EU-domstolen den territoriella räckvidden för rätten till borttagande av länkar. Tolkningsfrågorna avser i huvudsak om en sökmotorleverantör är skyldig att ta bort länkar för samtliga sina toppdomäner, så att länkarna försvinner oavsett från vilken plats (även utanför EU) sökningen på den registrerade personens namn görs. 

Frågan om direktivet kan tillämpas utanför EU är naturligtvis känslig. Domstolen konstaterar att det synsätt som unionslagstiftningen företräder när det gäller skyddet för personuppgifter inte behöver delas av stater utanför unionen. Den i Google Spain-domen fastställda skyldigheten till borttagande sträcker sig därför i nuläget inte till länkarna från samtliga versioner av en sökmotor, även om unionsrätten inte förbjuder medlemsstaterna från att tillämpa en sådan skyldighet.

I och med konstaterandet att skyldigheten att ta bort länkar för närvarande inte kan sträckas utanför EU, prövar domstolen omfattningen av skyldigheten inom EU. Domstolen upprepar att avvägningen mellan å ena sidan skyddet av personuppgifter och å andra sidan allmänhetens intresse av att få tillgång till vissa uppgifter kan leda till olika resultat i olika länder. Men unionslagstiftarens val av att ersätta direktivet med en förordning som är direkt tillämplig i samtliga medlemsstater, i syfte att säkra en enhetlig och hög skyddsnivå i hela unionen, visar enligt domstolen att det i princip förutsätts att borttagandet av länkar ska ske i samtliga medlemsstater.

Avslutande synpunkter


Domen i Google-målet svarar på frågan hur långt skyldigheten att ta bort länkar i geografiskt hänseende sträcker sig. Trots EU:s strävan att skapa ett starkt skydd för personuppgifter kan EU-domstolen ogärna utsträcka denna skyldighet till att även gälla radering av länkar utanför EU:s territorium utan uttryckligt stöd i unionslagstiftningen och internationell rätt.

När det gäller domen i målet GC m.fl. skiljer sig en sökmotorleverantörs behandling av personuppgifter på olika sätt från behandlingen av personuppgifter på webbsidor. Google har ett mycket stort genomslag jämfört med många av de webbsidor som kommer upp vid en Googlesökning. Utan en sökmotor av denna styrka skulle förmodligen många webbsidors uppgifter förbli oupptäckta och sökresultaten via Google kan förmodligen utgöra ett större hot mot privatlivet än en webbsidas publicering av personuppgifterna. Praktiska frågor är naturligtvis hur sökmotorleverantörerna ska kunna identifiera vilken kategori av känsliga uppgifter enligt dataskyddsdirektivet som hanteras samt hur identifikationen generellt ska ske ”senast vid begäran om borttagande”.

Vill du ta del av Jerker Olssons analys i sin helhet?


Läs då mer om informationstjänsten JP ITnet.

Senast uppdaterad 21 nov 2019

Mer om IT och dataskydd
Utbildningar
  • Denna utbildning riktar sig främst till dig som som är DSO eller GDPR-samordnare för kommun eller myndighet. Utbildningen är i workshopformat och går på djupet inom några typiska ”problemområden” som återkommer för kommun/myndighet.

    Stockholm 1-dagskurs Kursledare: Didrik Värmon
  • Kursen riktar sig till dig som arbetar som personuppgiftsombud, IT-chef eller jurist, m.fl. inom kommun.  Den behandlar kommunens ansvar för personuppgifter i allmänhet och vilken påverkan dataskyddsförordningens införande har på skyldigheterna.

    Stockholm 1-dagskurs Kursledare: Sören Öman
  • Under en dag riktar vi in oss på praktiskt dataskyddsarbete i förvaltningen och för den egna personalen, med avstamp i GDPR, dataskyddslagen, förvaltningslagen och övrig relevant lagstiftning.

    Stockholm 1-dagskurs Kursledare: Didrik Värmon

Om JP Infonet


JP Infonet erbjuder tjänster och vägledning för dig som berörs av juridik i din yrkesroll. Vår vision är att tillgängliggöra juridiken, så att du som kund ska få all information, beslutsstöd och kompetens du behöver – på det sätt som du föredrar.

Mer om oss

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området