A skoro wczoraj było o tym, że wczoraj TSUE stwierdził, że wyszukiwarki internetowe muszą stosować się do RODO także w przypadku przetwarzania danych wrażliwych, to dziś czas na kilka akapitów o tym, że wczoraj TSUE orzekł, że europejskie prawo do zapomnienia nie obejmuje wszystkich (tzn. pozaeuropejskich) wersji wyszukiwarki.
wyrok Trybunału Sprawiedliwości EU z 24 września 2019 r. w sprawie Google vs. CNIL (C-507/17)
W sytuacji gdy operator wyszukiwarki uwzględnia żądanie usunięcia linków na podstawie [art. 17 ust. 1 RODO], jest on zobowiązany do usunięcia owych linków nie ze wszystkich wersji swojej wyszukiwarki, ale z tych wersji wyszukiwarki, które odpowiadają wszystkim państwom członkowskim, w razie konieczności w powiązaniu z zastosowaniem środków, które spełniają wymogi przewidziane prawem i które rzeczywiście uniemożliwiają internautom — przeprowadzającym, z terytorium któregoś z państw członkowskich, wyszukiwania w oparciu o imię i nazwisko osoby, której dane dotyczą — uzyskanie, dzięki liście wyników wyświetlonej po przeprowadzeniu tego wyszukiwania, dostępu do linków będących przedmiotem rzeczonego wniosku, lub przynajmniej poważnie zniechęcają ich do uzyskania dostępu do owych linków.
Wydane w trybie prejudycjalnym orzeczenie wydano w sporze między francuskim organem ochrony danych osobowych a Google. Zaczęło się od tego, że CNIL nakazał, by prawo do zapomnienia dotyczyło wyników wyszukiwania uzyskiwanych we wszystkich wersjach międzynarodowych wyszukiwarki, jednak amerykański koncern ograniczyło się do usuwania linków wyłącznie z wyników prezentowanych użytkownikom korzystających z wyszukiwarek w domenach państw EU oraz stosowania geoblokowania po adresie IP (czyli użytkownik korzystający z zakończenia sieci zlokalizowanego w EU nie mógł wyszukać „zapomnianych” informacji nawet przy użyciu google.com.mx) — toteż CNIL nałożył na Google karę w wysokości 100 tys. euro.
Google odwołało się od kary do Conseil d’État (w toku postępowania zmieniono mechanizm wyszukiwarki, tak, że dziś jej wersja jest określana po geolokalizacji, a nie wpisanej domenie), zaś rada stanu zdecydowała się na wystąpienie do TSUE z pytaniami o obowiązki wyszukiwarki związane z wykonaniem prawa do zapomnienia.
W wydanym wczoraj wyroku Trybunał Sprawiedliwości EU przyznał rację Google: wynikające obecnie z art. 17 ust. 1 RODO (spór rozgorzał pod rządami uchylonej już dyrektywy 95/46) prawo do zapomnienia polega na tym, że jej operator ma obowiązek „usunięcia z wyświetlanej listy wyników wyszukiwania mającego za punkt wyjścia imię i nazwisko danej osoby linków do publikowanych przez osoby trzecie stron internetowych zawierających dotyczące tej osoby informacje, również w przypadku gdy to imię czy nazwisko czy też te informacje nie zostały uprzednio czy też jednocześnie usunięte z tych stron internetowych, i, w odpowiednim przypadku, nawet jeśli ich publikacja na tych stronach jest zgodna z prawem” (por. wyrok TSUE z 13 maja 2014 r., Google Spain i Google, C‑131/12).
art. 17 ust. 1 rozporządzenia 2016/679
Prawo do usunięcia danych („prawo do bycia zapomnianym”)
Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie (…), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw (…) wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania (…);
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego (…).
Skutkiem skorzystania z prawa do zapomnienia powinna być zatem taka sytuacja, że informacje dotyczące osoby nie będą już „wyszukiwalne” w nawiązaniu do jej imienia i nazwiska (chyba że istnieją szczególne powody, by prawo do bycia zapomnianym jej nie dotyczyło). Nie ma znaczenia czy przetwarzanie danych osobowych następuje na terytorium Unii, wystarczy bowiem, że administratorem jest podmiot, który prowadzi działalność w EU (choćby w zakresie sprzedaży powierzchni reklamowej, bo tak wszakże kwalifikuje się europejski przedmiot działalności Google, por. art. 3 ust. 1 RODO), zaś wyszukiwarka internetowa de facto jest swego rodzaju dodatkiem do działalności reklamowej (środkiem umożliwiającym jej prowadzenie).
W ocenie TSUE oznacza to, że intencją RODO było zapewnienie wysokiego poziomu ochrony danych osobowych w całej EU, zaś usunięcie linków z wyników wyszukiwania we wszystkich wersjach wyszukiwarki cel ten z pewnością realizuje w pełni — internet nie zna granic, zatem globalne wyszukiwarki potrafią nadać informacjom „wszechobecny charakter” — co oznacza, że europejski prawodawca ma prawo nałożyć taki obowiązek na operatora wyszukiwarki w odniesieniu do jej wszystkich wersji.
Należy mieć jednak na uwadze, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym i podlega ograniczeniu m.in. ze względu na realizację prawa do informacji (por. wyrok TSUE z 24 września 2019 r., C-136/17). Dlatego nie można nie dostrzegać, że jednak prawodawca europejski z uprawnienia tego nie skorzystał — czyli nie nałożył na podmioty takie jak Google, które są objęte zakresem stosowania RODO, obowiązku usuwania odnośników także w odniesieniu do krajowych wersji wyszukiwarek, które nie odpowiadają państwom członkowskim EU („prawo Unii nie przewiduje obecnie takich instrumentów i mechanizmów współpracy w odniesieniu do zakresu usuwania linków poza Unią”).
Prowadzi to do konkluzji, że w ramach procedury nie można operatorowi wyszukiwarki nakazać usunięcia wyników wyszukiwania, w odpowiedzi na żądanie oparte o prawo do bycia zapomnianym, z wszystkich — także pozaeuropejskich — wersji serwisu („operator wyszukiwarki nie może być zobowiązany, na podstawie (…) art. 17 ust. 1 rozporządzenia 2016/679, do usunięcia linków ze wszystkich wersji swej wyszukiwarki”).
(Ba, TSUE przytomnie zauważył, że interes publiczny wyrażający się w prawie do informacji może różnić się w przypadku poszczególnych państw członkowskich — co oznacza, że chociaż prawo do zapomnienia wynika z rozporządzenia, to przecież art. 85 RODO wyraźnie mówi, że w przypadku działalności dziennikarskiej część regulacji może zostać wyłączona).
Natomiast co do technicznych rozwiązań w zakresie wykonania obowiązków wynikających z prawa do zapomnienia TSUE podkreślił, że operator wyszukiwarki jest odpowiedzialny za podjęcie „wystarczająco skutecznych” środków, tj. takich, które uniemożliwią lub „przynajmniej poważnie zniechęcą” wyszukiwanie informacji w oparciu o imię i nazwisko jakiejś osoby — zatem być może mechanizm geoblokowania jest prawidłowy, ale to już sprawdzić powinny sądy krajowe.
Zamiast komentarza: bardzo mi się podoba koncepcja Unii Europejskiej jako oświeconego i praworządnego imperium wszechświatowego, które mocą swoich dyrektyw i rozporządzeń rozciąga zakres stosowania unijnego prawodawstwa na resztę świata (pkt 58 wyroku) — ale dopóki inne kraje nie będą stosowały takich mechanizmów jako środka odwetowego (pkt 59), to prawodawca EU zdecydował się nie wkroczyć z prawem do zapomnienia poza granice Unii (pkt 61-62 wyroku).
Wyobraźmy sobie bowiem, iż oto pojutrze suwerenny parlament Antiguy i Barbudy przyjmuje wewnętrzne prawo o ochronie kokosów, którego zakres terytorialny — całkiem suwerennie — określa w ten sposób, że „ma zastosowanie do przetwarzania kokosów w związku z działalnością prowadzoną, niezależnie od tego, czy przetwarzanie odbywa się w Antigua i Barbuda” (skrót w cytacie z art. 3 ust. 1 RODO celowy i intencjonalny — wszakże suwerenny prawodawca nie musi przepisywać przepisu w 100%).