I denna uppsats har jag analyserat det skydd som finns för den personliga integriteten och hur Google förhåller sig till vad som stadgats i dataskyddsdirektivet men även kommande förordning. Googles hantering av registrerades personuppgifter har inneburit komplikationer vilket visat sig i praxis och tillsynsärenden i Sverige men även inom unionen i övrigt.
Problematiken har sin grund i de stora mängder information som inhämtas, bearbetas och lagras i samband med den registrerades kontinuerliga användning av Googles sökmotor och molntjänster samt att Google till viss mån kan sätta sina egna spelregler utifrån tekniken som används och hur ändamålsförklaringen formuleras. Google har även i viss mån getts ett tolkningsföreträde vad gäller hanteringen av Google Spain-domen. Google ska följa vad som fastställts genom domen men i nuläget finns ingen lag som uttryckligt stadgar den gällande rätt som följer av domen. Detta har gett fransk domstol utrymme att tolka domen på ett sätt och Google har getts utrymme att tolka på ett annat sätt vilket lett till ett dödläge när Google väljer att inte respektera den franska domstolens beslut.
De tekniska förutsättningarna ändras kontinuerligt och kräver nya bedömningar från exempelvis Datainspektionens sida, i nuläget med direktivet som grund, finns det inte mycket incitament för Google att förhålla sig strikt gentemot direktivet fullt ut då sanktionerna inte är tillräckligt avskräckande som de är nu. Det är en dragkamp mellan Googles kommersiella intresse och den personliga integriteten där Google har ett visst överhand vad gäller tekniken och möjligheten att genom denna även sätta spelreglerna. Dataskyddsdirektivet ska vara teknikneutralt men det finns en skillnad i hur direktivet upprätthålls inom unionen vilket resulterat i rättsosäkerhet och en flexibel lagstiftning som många gånger inte faller till individens favör då Google har tekniken, kunskapen och resurserna för att vrida lagstiftningen, åtminstone i ett initialt skede, till sin fördel genom att motsätta sig myndigheters och domstolars beslut och driva mål så långt det är möjligt. Att lagstiftning, direktiv som förordning, är allmänt hållna och till viss del uppbyggda på principer lämnar utrymme för tolkningar från Googles sida.
Direktivet har till uppgift att stadga en hög skyddsnivå för individens grundläggande fri- och rättigheter i förhållande till privatlivet och den personliga integriteten. Samtidigt ska regleringen av området inte innebära en chilling effect av marknaden när ett fritt flöde av personuppgifter ska vara möjligt då det blivit nödvändigt i en digital värld att hantera sådana uppgifter. Det krävs en avvägning vid lagstiftning för att tillgodose individens rätt till integritet men även kommersiella aktörers intressen. Dataskyddsdirektivet har inte lyckats tillgodose individens rättigheter då en splittrad harmonisering har lett till rättsosäkerhet och en icke reell möjlighet för individen att ta tillvara på sina rättigheter fullt ut. Dataskyddsförordningen förväntas föra med sig högre krav för personuppgiftsansvariga såsom Google och på så sätt stärka individens rättigheter. Förordningen är dock mer omfattande än direktivet och även komplicerad i vissa delar vilket kommer innebära ett inväntande av tolkning från EU-domstolen, EDPS och Artikel 29 gruppen samt i förlängningen ett försvårande av harmoniseringen. Det finns tre saker i mitt tycke som samverkar för att förordningen ska bidra till ett mer samordnat och förstärkt skydd för individens rättigheter vilket är att samtliga regler och principer för personuppgiftsansvarigas ansvar stramas upp, den registrerade får bättre kontroll över sina uppgifter då dess rättigheter förstärks samt att sanktionerna ökar kraftigt. Att detta sker anser jag som en nödvändighet när direktivet inte levt upp till dess syfte, att skydda den personliga integriteten. I den andra vågskålen finns dock andra intressen som även de ska skyddas, risken är att den personliga
integriteten väger för tungt, speciellt om den franska domstolen får rätt i global radering av personuppgifter i ett förhandsavgörande av EU-domstolen.
Google har ett ansvar som personuppgiftsansvarig för den hantering av personuppgifter som Google utför, hanteringen som sker innebär dock att Google i praktiken även ansvarar för andras hantering av personuppgifter då Googles Search är uppbyggt av länkat material. EU-domstolen har funnit att Googles publicering, lagring, indexering och tillgängliggörande av information samt Googles kontroll över dess egen ändamålförklaring och medlen för verksamheten är grund för ett personuppgiftsansvar. I praktiken betyder detta att Google är skyldig att ta bort söklänkar som kränker individens personliga integritet. Som världens största sökmotor är detta ett uppdrag av rang vilket även visat sig i de krav på borttagande av söklänkar som väller in till Google, 715 729 ärenden inom unionen, sedan Google Spain-domen avgjordes, för att vara exakt. Bedömningen som ledde till rätten att bli glömd gjordes utifrån dataskyddsdirektivet och har kodifierats i förordningen. Förordningen för med sig ytterligare skräpningar vad gäller hanteringen av personuppgifter och Google arbetar för att förhålla sig till regleringarna, som det ser ut nu lever inte Google upp till detta fullt ut.
Det finns flera aspekter där Google fallerar i förhållande till en lagenlig hantering av personuppgifter, i uppsatsen har jag fokuserat på fem delar där Google ansetts inte leva upp till direktivets eller förordningens krav. Bristerna är inte uttömmande men jag har ansett att det är viktiga aspekter vid en analys av Googles regelefterlevnad av olika anledningar. Samtycket är en viktig aspekt på grund av att den ligger till grund för en korrekt hantering som regel, hanteringen av känsliga personuppgifter då det är oklart om och hur dessa behandlas, hanteringen av rätten att bli glömd då den är högst aktuell och har gett upphov till en artikel i förordningen, den registrerades möjligheter att begränsa behandlingen då denna stärks i samband med förordningen samt problematiken kring en allmänt hållen ändamålsförklaring då allvarlig kritik har riktats från CNIL mot Google.
Samtycke ligger till grund för en laglig hantering av personuppgifter i de flesta fall. Det finns vissa möjligheter för Google att omfattas av undantaget för kommersiella syften efter en intresseavvägning under förutsättning att den registrerade inte motsatt sig en hantering av personuppgifter i förhållande till förordningen. Det finns dock komplikationer med Googles hantering av samtycke. ICO har tolkat samtycke som något som ska uttryckas otvetydigt eller genom en entydig bekräftande handling. Artikel 29 gruppen har framhållit att tysta samtycken
är problematiskt i en digital miljö och att om möjligheten inte givits den registrerade att tacka nej bör individens intresse ges företräde vid en intresseavvägning. Google har kritiserats för att vara vaga och tillhandahålla tekniskt komplicerade beskrivningar för vad en registrerad samtycker till och att ”gömma” samtycke till hantering av tredje man. Brister har exempelvis uppmärksammats av svenska Datainspektionen vad gäller Googles avtal med kommuner. Det har även riktats kritik mot att Google håller den registrerade passiv i förhållande till dess eget samtycke. Förändringar sker och nya tillsynsärenden tillkommer löpande. Ett alternativ från Googles sida skulle kunna vara att tillhandahålla en lista över de samtycken som den registrerade har till sitt förfogande och möjligheten för denne att själv klicka i vad som samtycks till istället för tvärtom.
Googles hantering av känsliga personuppgifter är otydlig. Det är i vart fall tydligt från lagstiftningens sida hur sådana uppgifter ska hanteras, de ska inte hanteras. Hantering av känsliga personuppgifter förutsätter ett uttryckligt samtycke vid varje enskild hantering. Opt-in är Opt-inte ett alternativ. Ett samtycke till känsliga personuppgifter måste vara en aktiv handling och kan inte väljas åt den registrerade på förhand. Problematiken ligger i hur Google inhämtar samtycke från den registrerade och det faktum att hantering av stora mängder information kan utgöra känsliga personuppgifter sammantaget.
Ändamålsförklaringen till varför personuppgiftsansvariga behöver hantera specifika uppgifter ska förhålla sig till de uppgifter som behandlas, ju känsligare personuppgifter desto specifikare ändamålsförklaring. Bedömningen av om behandlingen är adekvat och relevant försvåras om inte ändamålsförklaringen är specifik i förhållande till de uppgifter som hanteras. Googles allmänt hållna ändamålsförklaringen har kritiserats under årens lopp. Förändringar har dock skett, från en ändamålsförklaring som fastställer vad som inte hanteras till en som förklarar anledningen till hanteringen. Ändamålsförklaringen är dock fortfarande högst allmänt hållen och kritiseras av Datainspektionen av just den anledningen. Det finns dock incitament från Googles sida att hålla den allmän då detta möjliggör en bred hantering av personuppgifter som går hand i hand med den mängden information som ständigt samlas in. Den stora mängd uppgifter som behandlas och en allmänt hållen ändamålsförklaring försvårar den registrerades möjligheter att tillvarata sina rättigheter i förhållande till den personliga integriteten och rätten att begränsa hanteringen av personuppgifter. Information ska tillhandahållas den registrerade som ett led för individen att utöva kontroll över uppgifterna men i takt med att informationen om den registrerade ökar hos Google desto
svårare blir det för individen att utöva kontroll. Det är förenat med komplikationer att försöka utöva kontroll över information som individen inte vet existerar.
Googles hantering av rätten att bli glömd har kritiserats hårt, dels nationellt inom Sverige men även exempelvis i Frankrike. Google hanterar ärenden, snart i miljonklassen bara inom Europa, där registrerade åberopar Google Spain-domen. Datainspektionen har i 13 pilotfall granskat Googles hantering av ärenden som nekats borttagning. I flera fall har det framkommit att Google brustit i sin hantering av ärenden och ålagts att ta bort sökresultaten. Det är tydligt att Google har svårigheter när det kommer till att leva upp till de krav lagstiftningen uppställer. Dessa svårigheter har resulterat i ett vägrande av att följa beslut från CNIL som stadgar en global borttagning av söklänkar istället för begränsningen till unionen. Google framhåller att en sådan radering av information lämnar utrymme för mindre demokratiska länder att bestämma en lägsta nivå för individens fri- och rättigheter. Givetvis är detta en aspekt att ta hänsyn till men jag kan inte se att det är Googles uppgift att åta sig att skydda de globala fri- och rättigheterna utifrån deras eget tycke. Det för snarare mina tankar mot Googles kommersiella och ekonomiska incitament, rätt eller fel.
Google lever inte upp till nuvarande eller kommande lagstiftning vilket visar sig upprepande gånger i praxis och beslut, samtidigt har vi en accelererande insamling av uppgifter. Ansvaret har lagts på Google att förhålla sig till lagstiftningen, Google i sin tur lägger över ett visst ansvar på individen som ska vara aktiv och upplyst i alla delar av tekniken som denne använder dagligen. Individens kunskap ska även räcka till att förstå konsekvenserna av valen som görs digitalt. Informationen valet grundas i kommer från Google och den ständigt föränderliga sekretesspolicy som erbjuds den nyfikne. Individen tar ständiga beslut om den egna integriteten. Jag ser mig själv som en relativt upplyst individ vad gäller mina rättigheter och hur mina digitala val påverkar denna rättighet. Min digitala värld är trots detta en blandning av ett risktagande vad gäller min personliga integritet för att få tillgång till de tjänster tekniken erbjuder och ett oförstånd till vad mina val betyder i förlängningen.
Vi har flera motstridiga aspekter som samtidigt ska tillgodoses, individens rätt till privatliv och den personliga integriteten, lagstiftningen vars syfte är att tillgodose individens behov, Googles och tredjemäns kommersiella intresse samt den teknik som finns tillhanda. Vad jag måste påminna mig själv om när jag läser praxis och beslut som följer av Googles personuppgiftshantering är att tekniken inte är av ondo. Det är något som är nödvändigt och
inte något som tvingas på den registrerade. Individen efterfrågar teknik som i längden kränker dess integritet, lösningen har blivit striktare lagstiftning i form dataskyddsförordningen. En jämförelse mellan direktivet och förordningen leder till slutsatsen att den personliga integriteten kommer stärkas, bland annat genom rätten att bli glömd och en utveckling och specificering av samtycket men jag frågar mig själv om lagstiftning är den enda vägen. Ett digitalt samhälle där tekniken som aktualiseras i denna uppsats är en viktig komponent bör hitta mer än en brygga mellan juridiken och tekniken. Lösningen kan inte enbart ligga i lagstiftning utan i ett djupare samarbete mellan teknik och juridik.