GDPR Case 057. The Swedish Data Protection Authority imposes administrative fine on Google

日期：11 March 2020

國家：瑞典

關鍵字：Google；被遺忘權

GDPR：§17 (right to erasure)、§19 (notification obligation)

裁決：行政罰鍰（approx. €7 million）、命令

摘要：

(1) 瑞典監管機關對 Google 課處約 7 百萬歐元的行政罰鍰，因為Google——身為搜尋引擎營運商——沒有遵守 GDPR 規定，履行當事人要求刪除個人資料的法律義務。

(2) 在 2017 年，監管機關曾經針對 Google 如何從搜尋結果移除個人資料進行調查——例如當事人請求刪除個人資料，以防止揭露錯誤、無關或多餘的資訊；調查結果認為，Google 應該刪除部分搜尋結果清單，並且命令 Google 應該這麼做，由於有跡象表明，Google 並未完全依照監管機關要求辦理，因而在 2018 年開啟後續調查。

(3) 調查結果發現，Google 確有部分搜尋結果沒有依照命令予以刪除。

(4) 此外，監管機關還發現，針對部分已移除的搜尋結果，Google 會在移除時通知網頁連結原本導向的網站，讓網站經營者知悉網頁連結已被移除，以及是誰要求移除連結，這使得網站經營者得以重新發布被刪除的網頁，而新的網頁連結可以重新、再次被搜尋，並且顯示在 Google 的搜尋結果中，這樣的作業方式，使得當事人的刪除請求根本無效。

(5) 監管機關的法律顧問表示，Google 在刪除請求申請書聲明「網站經營者將會收到移除通知」，將導致當事人不願意行使刪除權，從而破壞當事人這項權利的有效性。Google 沒有法律依據在搜尋結果移除時通知網站經營者，其制式的申請書也向當事人提供誤導性資訊（misleading information）。

(6) 綜上，監管機關命令 Google 應停止上開作業方式，並對其課處行政罰鍰。