Hellenic Data Protection Authority (HDPA) förelägger Google LLC att tillmötesgå en registrerads begäran om radering av länkarna i sökmotorn enligt artikel 17.1 (c) dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade lämnat in en begäran om radering av uppgifter till Google och begärde att flera sökresultat från Googles sökmotor som producerades med hans fullständiga namnsökning skulle tas bort. Resultaten länkade till sidor där den registrerades namn länkats till en brottmålsdom för en släkting, som den registrerade hävdade att han inte hade något att göra med. Den registrerade informerade Google om att hans namn felaktigt kopplats till den fällande domen, och bifogade ett avgörande från en domstol i plenum som bevisade att han inte hade något samband med de handlingar som hans släkting dömts för. Den registrerade begärde dessutom att Google skulle ta bort tredje parts blogginlägg på Blogger, som den registrerade trodde att Google var personuppgiftsansvarig för i egenskap av ägare till plattformen för blogghosting.
Google tog selektivt bort vissa länkar och behöll andra, med hänvisning till ett berättigat allmänt intresse av att ha tillgång till information som rörde brott, och hävdade att det därför inte var tillåtet att ta bort de relevanta länkarna. Google hävdade dessutom att uppgifterna var relaterade till den registrerades yrkesverksamhet, särskilt vad gäller påstådda brott och inblandning i skandaler relaterade till företag. Google hävdade därutöver att det dokument som den registrerade lagt fram inte hade något samband med den ovannämnda informationen och inte bevisade att informationen var felaktig eller föråldrad.
När det gällde de bloggar som den registrerade begärt att få bort angav Google att tjänsten tillhandahölls av Google Ireland Ltd, men att varken Google LLC eller Google Ireland var ansvariga för de personuppgifter som användarna kan publicera med hjälp av tjänsten Blogger.
HDPA noterade att en sökmotorleverantör som får en begäran om radering baserad på den registrerades särskilda situation måste radera personuppgifterna i enlighet med artikel 17.1 (c) GDPR om den inte kan visa att det finns “tvingande och berättigade skäl” som väger tyngre än den registrerades intressen, rättigheter och friheter för införandet av det specifika sökresultatet, i enlighet med artikel 21.1 GDPR. Enligt EU-domstolens rättspraxis i mål C-136/17 är “operatören av en sökmotor skyldig att från den resultatlista som visas efter en sökning som gjorts på grundval av en persons namn ta bort länkar till webbsidor som publiceras av tredje part och som innehåller information om den personen”.
De länkar som det hänvisades till i detta fall innehöll publikationer från åren 2008, 2011 och 2012. HDPA ansåg att informationen i fråga var föråldrad, eftersom den är äldre än tio år. Dessutom rörde informationen frågor som inte längre var av intresse för läsarna. HDPA beslutade därför att Google skulle föreläggas att tillmötesgå den registrerades begäran om radering av länkarna i sökmotorn.
När det gäller den registrerades ytterligare begäran om radering av blogginlägg från tredje part noterade HDPA att onlinetjänsten Blogger är en värdtjänst som gör det möjligt för användarna att skapa personliga bloggar med innehåll som de själva väljer och tillåter användaren att redigera och radera detta innehåll. Mot bakgrund av dessa omständigheter ansåg HDPA inte att Google var ansvarig för tredje parts inlägg i Blogger-tjänsten. HDPA fastställde således att den andra begäran skulle avslås, eftersom Google inte var personuppgiftsansvarig.
Av dessa skäl utfärdade HDPA ett föreläggande mot Google att omedelbart fortsätta med raderingen av de länkar som dök upp som sökresultat med klagandens för- och efternamn i Googles sökmotor. HDPA avslog samtidigt den registrerades begäran att radera de inlägg som rörde honom och som fanns på Googles bloggplattform.