Agencia Espanola Proteccion Datos (AEPD) har utfärdat en reprimand mot Google LLC för att inte ha svarat på en begäran om radering av personuppgifter enligt dataskyddsförordningen (GDPR) inom föreskriven tidsfrist.
Av beslutet framgår att en registrerad begärt att Google skulle radera specifika teckensträngar (URL:er) från sin sökmotor som var kopplade till dennes personuppgifter. Den registrerade hävdade att dennes personuppgifter publicerats utan dennes samtycke. Google gav dock inget svar på begäran om radering inom den föreskrivna tidsfristen. Den registrerade klagade därför till AEPD. Under förfarandet blockerade Google de begärda webbadresserna, men överskred tidsfristen på en månad för att svara på en begäran om tillgång eller radering.
AEPD påminde initialt Google om företagets skyldigheter att besvara förfrågningar om den registrerades rättigheter enligt artiklarna 15-22 GDPR inom en månad eller, beroende på hur komplicerad förfrågan är, åtminstone motivera förseningen. I samband med detta hänvisade AEPD också till rättspraxis från EU-domstolen, särskilt dom C-131/12, och den spanska högsta domstolen om rätten att bli bortglömd.
Vid en genomgång av det aktuella ärendet gjorde AEPD följande iakttagelser.
För det första finns rätten att bli bortglömd i artikel 17 GDPR och artikel 93 LOPDGDD (nationell lagstiftning om skydd av personuppgifter och garanti för digitala rättigheter). Där fastställs en rätt att begära att bland annat sökmotorer raderar länkar som innehåller personuppgifter från resultatlistan. Denna rätt är dock inte obegränsad. Den måste vägas mot allmänhetens motstridiga intressen, inklusive deras rätt till tillgång till information och yttrandefrihet. För att balansera de intressen som står på spel bör aspekter som typen av information, tidpunkten för offentliggörandet och om informationen är av allmänt intresse eller inte beaktas.
För det andra betraktas sökmotorer enligt rättspraxis som personuppgiftsansvariga. De behandlar information som finns tillgänglig på internet, samlar in uppgifter, registrerar och organiserar den enligt sina indexeringsprogram, lagrar den på sina servrar och gör den tillgänglig för användarna. Därför kontrollerar de ändamålen och medlen för behandlingen.
För det tredje är de registrerades rätt att direkt begära att sökmotorerna raderar deras uppgifter viktig på grund av internets betydelse i dag. AEPD ansåg därför att en begäran inte bara kan ignoreras. Den personuppgiftsansvarige måste ge ett svar, även om inga uppgifter om den begärande parten har behandlats. Dessutom är den personuppgiftsansvarige skyldig att kräva att de konstaterade bristerna korrigeras eller, i förekommande fall, avslå begäran med angivande av skälen och med beaktande av den ovan diskuterade lagen.
I det aktuella fallet ansågs den information som var tillgänglig via URL-länkarna vara personuppgifter som inte alls hade något samband med den registrerades yrkesliv eller var av allmänt intresse. Mot bakgrund av detta biföll AEPD klagomålet och hävdade att de begärda uppgifterna borde ha raderats av Google. AEPD bötfällde dock inte Google eftersom företaget efterlevde den registrerades begäran under ärendets gång.