Trybunał Sprawiedliwości na wniosek hiszpańskiego sądu odpowie na pytanie, czy już na gruncie obowiązujących przepisów można mówić o prawie do zapomnianym (pytanie prejudycjalne w sprawie C-31/12 Google Spain, S.L., Google, Inc. przeciwko Agencia de Protección de Datos (AEPD), Mario Costeja González).
Pytania hiszpańskiego sądu zmierzają zasadniczo do ustalenia, czy:
1. przepisy dyrektywy 95/46/WE o ochronie danych osobowych znajdą zastosowanie go Google Inc. z siedzibą w USA?;
2. automatyczne indeksowanie danych zamieszczonych w sieci przez wyszukiwarkę Google stanowi przetwarzanie danych osobowych – a w konsekwencji – czy czyni to Google Inc. administratorem danych osobowych?
3. i w jakich okolicznościach można żądać uniemożliwienia przez Google indeksowania informacji dotyczących zainteresowanego:
- czy takie żądanie może kierować krajowy organ ochrony danych osobowych do Google – z pominięciem właściciela strony internetowej zawierającej problematyczną informację?
- czy zainteresowany może dochodzić usunięcia informacji zamieszczonej zgodnie z prawem przez osoby trzecie.
Więcej o genezie sprawy w artykule z serwisu Reuters.
Odpowiedź na pytania będzie o tyle łatwa, że szlaki przetarła Grupa Robocza ds. Ochrony Danych Osobowych w swojej opinii nr 1/2008 dotyczącej zagadnień ochrony danych związanych z wyszukiwarkami z 4 kwietnia 2008 r.
Grupa w swojej opinii udziela jednoznacznie twierdzącej odpowiedzi na dwa pierwsze pytania.
W kontekście trzeciego pytania kilka cytatów z opinii poniżej:
- prawo do sprostowania lub usunięcia informacji dotyczy również konkretnych danych przechowywanych przez operatorów wyszukiwarek w pamięci podręcznej, z chwilą gdy dane takie nie odpowiadają już faktycznej treści publikowanej przez administratorów na danej stronie (stronach), skąd takie informacje pochodzą26. W takiej sytuacji, na żądanie osoby, której dotyczą dane, operatorzy wyszukiwarek zobowiązani są do niezwłocznego podjęcia kroków w celu usunięcia lub sprostowania
niekompletnych lub nieaktualnych informacji. Pamięć podręczna może być
aktualizowana poprzez automatyczne natychmiastowe ponowne odwiedzenie oryginalnej publikacji. Operatorzy wyszukiwarek powinni oferować użytkownikom możliwość bezpłatnego wnioskowania o usunięcie takiej treści z pamięci podręcznej.
- Grupa robocza sugeruje redaktorom stron internetowych opracowanie środków automatycznego powiadamiania operatorów wyszukiwarek o wszelkich otrzymywanych żądaniach usunięcia danych osobowych. (przypis nr 26)
Przy tej okazji warto zwrócić uwagę na planowaną reformę unijnego prawa ochrony danych osobowych (w formie rozporządzenia!), która obejmuje też prawo do bycia zapomnianym.
Projekt rozporządzenia nie zajmuje się bezpośrednio kwestią operatorów wyszukiwarek internetowych – na co wskazuje Europejski Komitet Ekonomiczno-Społeczny w opinii z 31 lipca 2012 r. EKES postuluje przy tym wyraźne objęcie tych podmiotów (jak również operatorów sieci społecznościowych i oprogramowania umożliwiającego przetwarzanie danych w chmurze obliczeniowej) zakresem rozporządzenia.
Szczególny status operatorów wyszukiwarek być może wymaga szczególnego podejścia, ale na pewno warto docenić niektóre zapisy, które wydają się uwzględniać specyfikę różnego rodzaju zbiorów danych. Dobrym przykładem jest art. 14 ust. 5 lit. b projektu rozporządzenia, zgodnie z którym administrator jest zwolniony z obowiązku informacyjnego w sytuacji, w której „dane nie są zbierane od podmiotu danych a udzielenie tych informacji okazało się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”.
Warto zauważyć, że art. 19 ust. 2 projektu rozporządzenia, który nakazuje administratorowi, który podaje dane osobowe do wiadomości publicznej, podjęcie wszelkich uzasadnionych kroków aby poinformować osoby trzecie o wniosku usunięcia linków do tych danych, kopii lub replikacji tych danych, koresponduje z analogiczną sugestią Grupy Roboczej przywołaną powyżej.
W praktyce wielu problemów przysporzy rozstrzyganie, czy interes administratora jest ważniejszy niż prawa i wolności podmiotu danych.
Art. 19 ust. 1 projektu rozporządzenia przewiduje, że „Podmiot danych ma prawo, z przyczyn dotyczących jego szczególnej sytuacji, w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych osobowych opartego na art. 6 ust. 1 lit. d), e) i f), chyba że administrator wykaże ważne i uzasadnione podstawy przetwarzania, które mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności podmiotu danych”.
Najbardziej ważki jest tutaj art. 6 ust. 1 lit. f), zgodnie z którym przetwarzanie danych jest dozwolone, jeżeli „przetwarzanie jest konieczne dla celów wynikających ze słusznych interesów realizowanych przez administratora, z wyjątkiem sytuacji, kiedy nadrzędny
charakter ma interes podstawowych praw i wolności podmiotu danych, które
wymagają ochrony danych osobowych […]”.
Na zakończenie – polecam świetny esej Mec. Arwida Mednisa pt. „Prawo do bycia zapomnianym”.
Pytania prejudycjalne są bardzo obszerne – poniżej:
Co się tyczy terytorialnego zakresu stosowania dyrektywy 95/46/WE i w konsekwencji hiszpańskiego ustawodawstwa ochrony danych osobowych:
1.1. Czy należy uznać, iż ma miejsce "działalność gospodarcza" w rozumieniu art. 4 ust. 1 lit. a) dyrektywy 95/46/WE, gdy zachodzi jeden lub kilka z następujących przypadków:
- gdy przedsiębiorstwo będące dostawcą wyszukiwania ustanawia w danym państwie członkowskim biuro lub oddział, których celem jest promocja i sprzedaż powierzchni reklamowych w wyszukiwarce, której działalność jest skierowana do osób zamieszkujących to państwo,
lub
- gdy spółka dominująca wyznacza oddział znajdujący się w tym państwie członkowskim jako swojego przedstawiciela i jednocześnie jako administratora danych odpowiedzialnego za przetwarzanie dwóch określonych zbiorów, które wykazują związek z danymi klientów, którzy zamówili usługi reklamowe w rzeczonym przedsiębiorstwie,
lub
- gdy biuro lub oddział ustanowione w danym państwie członkowskim przekazują swojej spółce dominującej znajdującej się poza Unią Europejską, wnioski i żądania kierowane do niej zarówno przez osoby, których dane dotyczą, jak i przez właściwe organy w związku z przestrzeganiem prawa do ochrony danych osobowych, nawet jeśli taka współpraca jest dobrowolna?
1.2. Czy art. 4 ust. 1 lit. c) dyrektywy 95/46/WE należy interpretować w ten sposób, że "wykorzyst[anie] środk[ów] znajdując[ych] się na terytorium wymienionego państwa członkowskiego" następuje w sytuacji, gdy wyszukiwarka korzysta z robotów internetowych lub tzw. "pająków", by zlokalizować i zindeksować treści stron internetowych umieszczonych na serwerach znajdujących w tym państwie członkowskim,
lub
gdy wyszukiwarka posługuje się nazwą domeny przypisaną do danego państwu członkowskiemu i porządkuje wyszukiwanie i wyniki z uwzględnieniem języka tego państwa członkowskiego?
1.3. Czy można uznać za wykorzystanie środków w rozumieniu art. 4 ust. 1 lit. c) dyrektywy 95/46/WE czasowe przechowywanie informacji zindeksowanych przez wyszukiwarki internetowe? Jeżeli odpowiedź na to ostatnie pytanie będzie twierdząca, czy można uznać, iż ten łącznik występuje, gdy przedsiębiorstwo odmawia wskazania miejsca przechowywania tych indeksów, powołując się na względy konkurencyjności?
1.4. Niezależnie od odpowiedzi na wcześniejsze pytania i w szczególności w przypadku, gdyby Trybunał Sprawiedliwości Unii uznał, że nie występują łączniki przewidziane w art. 4 dyrektywy:
Czy należy stosować dyrektywę 95/46/WE w sprawie ochrony danych, z uwzględnieniem art. 8 Karty praw podstawowych Unii Europejskiej, w tym państwie członkowskim, w którym mieści się punkt ciężkości konfliktu, tak, by umożliwić bardziej skuteczną ochronę praw obywateli Unii Europejskiej?
Co się tyczy działalności wyszukiwarek internetowych jako dostawców treści w odniesieniu do dyrektywy 95/46/WE w sprawie ochrony danych:
2.1. W związku z działalnością wyszukiwarki przedsiębiorstwa "Google" w Internecie jako dostawcy treści, która to działalność polega na zlokalizowaniu informacji opublikowanych lub zamieszczonych w sieci przez osoby trzecie, indeksowaniu ich w sposób automatyczny, czasowym przechowywaniu takich informacji i wreszcie ich udostępnianiu internautom w sposób uporządkowany zgodnie z określonymi preferencjami, w sytuacji gdy takie informacje zawierają dane osobowe osób trzecich:
Czy należy uznać opisaną powyżej działalność za "przetwarzanie danych" w rozumieniu definicji zawartej w 2 lit. b) dyrektywy 95/46/WE?
2.2. W przypadku gdy odpowiedź na powyższe pytanie będzie twierdząca i w związku z taką działalnością jak opisana powyżej: Czy należy interpretować art. 2 lit. d) dyrektywy 95/46/WE, w ten sposób, że przedsiębiorstwo, które zarządza wyszukiwarką "Google" jest "administratorem danych" osobowych zawartych na stronach internetowych indeksowanych przez tę wyszukiwarkę?
2.3. W przypadku gdy odpowiedź na powyższe pytanie będzie twierdząca: Czy krajowy organ ochrony danych (w tym przypadku Agencia Española de Protección de Datos), strzegąc praw zawartych w art. 12 lit. b) i art. 14 lit. a) dyrektywy 95/46/WE, może zażądać bezpośrednio od przedsiębiorstwa "Google", prowadzącego wyszukiwarkę internetową, usunięcia ze jego indeksów informacji opublikowanych przez osoby trzecie, bez uprzedniego lub jednoczesnego zwrócenia się z takim żądaniem do podmiotu będącego właścicielem strony internetowej, na której zamieszczona została ta informacja?
2.4. W przypadku gdy odpowiedź na to ostatnie pytanie będzie twierdząca: Czy odpowiedzialność podmiotów prowadzących wyszukiwarki internetowe za przestrzeganie tych praw jest wyłączona w sytuacji gdy informacja zawierająca dane osobowe została opublikowana zgodnie z prawem przez osoby trzecie i nadal znajduje się na źródłowej stronie internetowej?"
Co się tyczy zakresu prawa do unieważnienia lub sprzeciwu w kontekście "prawa do bycia zapomnianym", pojawia się następujące pytanie:
3.1. Czy należy interpretować prawo do usunięcia i zablokowania danych ustanowione w art. 12 lit. b) oraz prawo sprzeciwu wynikające z art. 14 lit. a) dyrektywy 95/46/WE jako obejmujące prawo zainteresowanego do zwracania się do wyszukiwarek w celu uniemożliwienia indeksowania dotyczącej go informacji, opublikowanej na stronach internetowych osób trzecich, a takie żądania byłyby podyktowane wolą zainteresowanego, by te informacje nie były dostępne dla internautów, gdyż uważa, że mogą mu zaszkodzić lub też życzy sobie "być zapomnianym", nawet jeśli dotyczy to informacji opublikowanych zgodnie z prawem przez osoby trzecie?"
Fragment projektu Rozporządzenia
Artykuł 17
Prawo do bycia zapomnianym i do usunięcia danych
1. Podmiot danych ma prawo do uzyskania od administratora usunięcia danych
osobowych odnoszących się do niego oraz zaprzestania dalszego rozpowszechniania tych danych, zwłaszcza w odniesieniu do danych osobowych, które zostały udostępnione przez podmiot danych, kiedy był on dzieckiem, jeśli zastosowanie ma jedna z następujących przesłanek:
a) dane nie są już potrzebne do celów, do których były zebrane lub przetwarzane
w inny sposób;
b) podmiot danych odwołuje zgodę, na której opiera się przetwarzanie zgodnie z
art. 6 ust. 1 lit. a), lub gdy minął okres przechowywania, na który wyrażono
zgodę oraz jeśli nie ma już podstawy prawnej przetwarzania danych;
c) podmiot danych sprzeciwia się przetwarzaniu danych osobowych zgodnie z art.
19;
d) przetwarzanie danych nie jest zgodne z niniejszym rozporządzeniem z innych
powodów.
2. W przypadku podania przez administratora, o którym mowa w ust. 1, danych
osobowych do wiadomości publicznej, podejmuje on wszelkie uzasadnione kroki, w
tym środki techniczne, w odniesieniu do danych, za których publikację odpowiada,
by poinformować osoby trzecie przetwarzające takie dane, iż podmiot danych
wnioskuje o usunięcie linków do danych, kopii lub replikacji tych danych
osobowych. Jeśli administrator upoważnił osobę trzecią do publikacji danych
osobowych, uważa się go za odpowiedzialnego za tę publikację.
3. Administrator niezwłocznie usuwa dane, z wyjątkiem w zakresie, w jakim
zatrzymanie danych osobowych jest niezbędne:
a) do wykonywania prawa wolności wypowiedzi zgodnie z art. 80;
b) w celu realizacji interesu publicznego w dziedzinie zdrowia publicznego
zgodnie z art. 81;
c) do celów dokumentacji, statystyki i badań naukowych zgodnie z art. 83;
d) dla wypełnienia spoczywającego na administratorze obowiązku prawnego w
zakresie zatrzymania danych osobowych, nałożonego przez prawo Unii lub
prawo państwa członkowskiego; przepisy prawa państwo członkowskie
spełniają cel polegający na realizacji celu publicznego, szanują istotę prawa do
ochrony danych osobowych oraz są proporcjonalne do wyznaczonego
zgodnego z prawem celu;
e) w przypadkach określonych w ust. 4.
4. Zamiast usuwania, administrator ogranicza przetwarzanie danych osobowych, jeśli:
a) podmiot danych kwestionuje ich ścisłość, przez czas pozwalający
administratorowi na sprawdzenie ścisłości danych;
b) administrator nie potrzebuje już danych osobowych do wykonania swojego
zadania, ale muszą być one przechowywane do celów dowodowych;
c) przetwarzanie jest niezgodne z prawem i podmiot danych sprzeciwia się ich
usunięciu, wnioskując w zamian o ograniczenie ich wykorzystywania;
d) podmiot danych wnioskuje o przekazanie danych osobowych do innego
automatycznego systemu przetwarzania zgodnie z art. 18 ust. 2.
5. Dane osobowe, o których mowa w ust. 4, mogą, z wyjątkiem przechowywania, być
przetwarzane wyłącznie do celów dowodowych, bądź też za zgodą podmiotu danych,
bądź w celu ochrony praw innej osoby fizycznej lub prawnej bądź w celu realizacji
interesu publicznego.
6. Jeżeli przetwarzanie danych osobowych jest ograniczone na mocy ust. 4,
administrator informuje podmiot danych przed zniesieniem ograniczenia
dotyczącego przetwarzania.
7. Administrator wdraża mechanizmy służące zapewnieniu przestrzegania terminów
usunięcia danych osobowych lub okresowego przeglądu dokonywanego w celu
ustalenia potrzeby przechowywania danych.
8. W przypadku usunięcia danych, administrator nie przetwarza w inny sposób tych
danych osobowych.
9. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w
celu doprecyzowania:
a) kryteriów i wymogów stosowania ust. 1 w poszczególnych sektorach oraz w
szczególnych sytuacjach przetwarzania danych;
b) warunków usuwania linków do danych, kopii lub replikacji danych osobowych
z publicznie dostępnych usług łączności, o których mowa w ust. 2;
c) kryteriów i warunków ograniczania przetwarzania danych osobowych, o
których mowa w ust. 4.
Brak komentarzy:
Prześlij komentarz