Wtorkowy wyrok (sprawa C-507/17) doprecyzowuje zasady prawa do bycia zapomnianym przez internetową wyszukiwarkę. Od wydanego w 2014 r. orzeczenia w sprawie Google Spain (C-131/12) wiadomo, że w uzasadnionych sytuacjach osoba, która nie życzy sobie, by przetwarzano jej dane, może zażądać od operatora wyszukiwarki usunięcia wskazanych linków. Pojawiła się natomiast wątpliwość co do zakresu terytorialnego tego żądania. Google uznał, że jest zobowiązany usuwać adresy URL wyłącznie w europejskich wersjach swej wyszukiwarki. Francuski organ ochrony danych osobowych ocenił natomiast, że należy to robić globalnie, we wszystkich wersjach i nałożył na Google 100 tys. euro kary. Sprawa trafiła do sądu, a ten postanowił poprosić o rozstrzygnięcie wątpliwości Trybunał Sprawiedliwości Unii Europejskiej.

TSUE przyznał, że w dzisiejszym, zglobalizowanym świecie tylko usunięcie linków w skali całego świata mogłoby zapewnić pełne poszanowanie prawa do prywatności mieszkańców UE. Uznał jednak, że choćby ze względu na różnice w prawie państw spoza terytorium UE nie może tego wymagać. Między innymi dlatego, że w wielu krajach w ogóle nie jest znane prawo do usuwania linków, a w innych równowaga między prawem do prywatności a wolnością informacji może być inaczej postrzegana niż w UE.

Dlatego też wyrok jest korzystny dla Google i wynika z niego, że przepisy unijne wymagają jedynie kasowania adresów URL na terytorium UE. Innymi słowy, osoba żądająca usunięcia swych danych może oczekiwać, że znikną one z europejskich wersji wyszukiwarki. Nadal będzie je można znaleźć np. w wersji amerykańskiej.

Fikcja prawna

Jednocześnie TSUE uznał, że Google powinien stosować środki uniemożliwiające mieszkańcom UE dostęp do informacji usuniętych z unijnych wersji wyszukiwarki. Polak korzystający z wyszukiwarki google.pl nie powinien więc mieć dostępu do jej amerykańskiej wersji. Oznacza to nic innego jak obowiązek nakładania geoblokady.

Zapytani przez nas eksperci uważają, że takie postawienie sprawy to z jednej strony niezrozumiałe zawężania terytorialne prawa do prywatności, a z drugiej czysta fikcja.

– Takie podejście to przejaw hipokryzji. Jeśli uznajemy, że jakieś dane powinny zniknąć, to powinny zniknąć z całego internetu. Nie ma bowiem kilku internetów, tylko jeden. Zobowiązanie zaś do stosowania geoblokad jest fikcją. Aprobujemy w ten sposób sytuację, że gdy ktoś jest wystarczająco cwany i potrafi je obejść, poprzez VPN, to ma dostęp do informacji, które uznano za naruszające prawo – ocenia Maciej Gawroński, partner zarządzający w kancelarii Gawroński & Partners.

Wspomniane przez niego narzędzia VPN (Virtual Private Network) w dużym uproszczeniu pozwalają ukryć lokalizację użytkownika. Korzystając z amerykańskich serwerów VPN i siedząc w Warszawie, można udawać, że się łączy z internetem z USA. W UE usługa ta jest w pełni legalna (w przeciwieństwie do np. niektórych państw z Azji).

– W praktyce oznacza to, że w UE jakiekolwiek ograniczenia geograficzne wyszukiwania nie będą skuteczne. I nie jest ważne, ile osób rzeczywiście korzysta z VPN, ważne jest to, że geoblokadę każdy może bez problemów obejść – podkreśla dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński. Uważa on, że najnowszy wyrok TSUE nie tylko oznacza pewną fikcję, ale również jest przejawem niekonsekwencji.

– W sprawie Google Spain trybunał uznał, że operator wyszukiwarki podlega prawu Unii Europejskiej jako administrator danych. Teraz zaś doszedł do wniosku, że nie ciąży na nim obowiązek usunięcia linków w odniesieniu do wszystkich wersji wyszukiwarki. Tymczasem zarówno obowiązująca wcześniej dyrektywa 95/46, jak i dzisiaj RODO nie różnicują poziomu ochrony danych osobowych w zależności od kraju, w jakim dane się przetwarza. Jeżeli jakiś podmiot podlega unijnemu prawu ochrony danych, to ma je stosować i już – zauważa dr Paweł Litwiński.

Dane wrażliwe

Również we wtorek TSUE orzekał w sprawie innego pytania prejudycjalnego dotyczącego Google (sprawa C-136/17). Chodzi o skargi czterech osób, które przed francuskim organem ochrony danych osobowych domagały się od wyszukiwarki, by ta usunęła linki wyświetlające się po wpisaniu ich imion i nazwisk (m.in. kobiety pełniącej funkcje publiczne, która stała się obiektem satyrycznego fotomontażu, czy mężczyzny, na temat którego pojawiły się w sieci artykuły opisujące jego rzekome związki z kościołem scjentologicznym). Dane takie jak preferencje seksualne czy przekonania religijne mają szczególny charakter. Pytania francuskiego sądu zmierzały do ustalenia, czy wyszukiwarkę internetową obejmuje zakaz przetwarzania takich danych wrażliwych.

TSUE uznał, że z zastrzeżeniem pewnych wyjątków przetwarzanie tych informacji jest zabronione także przez wyszukiwarkę. Jednocześnie podkreślił, że operator wyszukiwarki odpowiada wyłącznie za wyświetlanie linku do danej strony, a nie za materiały na niej publikowane. Dlatego też Google musi reagować dopiero na wezwanie zainteresowanego do usunięcia danego linku. Decydując zaś o tym, czy wykasować dany adres URL, powinien zważyć z jednej strony prawo do prywatności, z drugiej zaś prawo do wolności informacji. Może się bowiem zdarzyć, że ten ostatni interes okaże się nadrzędny.

– Trybunał nie odpowiedział wprost na pytanie, jaka podstawa przetwarzania danych wrażliwych znajduje zastosowanie do wyszukiwarek, które wykorzystują przecież dane dotyczące stanu zdrowia czy poglądów politycznych w celu świadczenia usług wyszukiwania. Wskazał za to – słusznie – że tej podstawy trzeba szukać w odniesieniu do operacji przetwarzania polegających na odsyłaniu do stron internetowych, bo właśnie takie jest zadanie wyszukiwarki – komentuje dr Paweł Litwiński.

– Natomiast dalsze rozważania, w szczególności odwołanie się do swoistego testu niezbędności (operator wyszukiwarki ma sprawdzić, czy umieszczenie linku na liście wyników wyszukiwania jest ściśle niezbędne do ochrony prawa do wolności informacji przysługującego internautom), prowadzą do wniosku, że trybunał abstrahuje jednak od treści art. 8 dyrektywy 95/46, który w ogóle nie przewiduje takiego testu. Jest to o tyle istotne, że stosowanie art. 8 prowadziłoby do wniosku, że wyszukiwarka w ogóle nie może przetwarzać danych wrażliwych na potrzeby świadczenia usług wyszukiwania – dodaje ekspert. ©℗

>>> Czytaj też: Facebook chce kupić startup, który umożliwi kontrolę komputera za pomocą myśli