www.europapraw.org  

   

„Prawo  do  bycia  zapomnianym”  –  wzmocnienie  autonomii  informacyjnej,  czy  wprowadzenie  cenzury  w  Internecie?  

Joanna  Smętek,  Zuzanna  Warso    Jakimi   możliwościami   kontroli   danych  dysponuje   osoba,   która   wpisując   swoje   imię   i  nazwisko  w  wyszukiwarce  Google  znalazła  link  do   ogłoszenia,   dotyczącego   licytacji  nieruchomości   w   związku   z   niezapłaceniem  przez   nią   ubezpieczenia   społecznego?   Co   z  kolei   może   zrobić   użytkownik,   którego   imię   i  nazwisko   zostało   zamieszczone   we   wpisie   na  blogu   lub   w   serwisie   społecznościowym,  dodatkowo  opatrzonym  jego  zdjęciem?      Pierwsza   z   opisanych   powyżej   sytuacji   miała  miejsce   w   Hiszpanii,   gdzie   Urząd   Ochrony  Danych  Osobowych  („AEPD”)  przyjął  skargę  od  poszkodowanego   i   zażądał   od   wyszukiwarki  Google   wycofania   danych   skarżącego   z   jej  indeksów.   Urząd   uznał   jednocześnie,   że  dostępne   na   stronie   internetowej   gazety  informacje   o   licytacji   należy   pozostawić   ze  względu   na   ich   legalny   charakter.   Hiszpański  sąd  Audiencia  Nacional  miał  wątpliwości  co  do  słuszności   nakazu   usunięcia   danych   z  indeksów  wyszukiwarki  i  skierował  sprawę  do  Trybunału   Sprawiedliwości   Unii   Europejskiej  („TS   UE”,   „Trybunał”)1.   Sąd   podkreślił,   że  skarga   dotyczy   zobowiązań   jakie   ciążą   na  obsługujących   wyszukiwarki   internetowe   w  zakresie  ochrony  danych  osób,  które  nie  życzą  sobie,   aby   określone   informacje,   publikowane  na   stronach   internetowych   podmiotów  trzecich,   były   umieszczane,   indeksowane   i  udostępniane   internautom.   Z   problemem  opisanym   w   drugim   przypadku   co   dzień  borykają   się   dziesiątki   internautów,   na   co  zwraca   uwagę   między   innymi   Generalny  Inspektor  Danych  Osobowych2.  

1C-­‐131/12.  2Por.  „GIODO  ostrzega  przed  Facebookiem”:  http://prawo.gazetaprawna.pl/artykuly/636207,giodo_ostrzega_przed_facebookiem.html  

Analiza,   którą   prezentujemy,   ma   za   zadanie  naświetlić   kwestie   związane   z   możliwościami  usuwania   danych   osobowych   i   „prawem   do  bycia   zapomnianym”,   oraz   odpowiedzieć   na  pytanie,   jak   wejście   w   życie   Rozporządzenia  Parlamentu   Europejskiego   i   Rady   Unii  Europejskiej   w   sprawie   ochrony   osób  fizycznych   w   związku   z   przetwarzaniem  danych   osobowych   i   swobodnym  przepływem  takich   danych   wpłynie   na   sytuację  użytkowników  Internetu.      Obecny  stan  prawny  –  możliwości  usuwania  danych    1.  Pierwszym  z  aktów,  które   trzeba  wziąć  pod  uwagę,   jest   dyrektywa   unijna   w   sprawie  ochrony   osób   fizycznych   w   zakresie  przetwarzania   danych   osobowych   i  swobodnego  przepływu   tych  danych  z  1995   r.  Przewiduje   ona   możliwość   sprostowania,  usunięcia   lub   zablokowania   danych,   których  przetwarzanie   jest   niezgodne   z   przepisami  dyrektywy.    Dyrektywa   została   implementowana   do  polskiego  porządku  prawnego  w  ustawie  z  29  sierpnia   1997   r.   o   ochronie   danych  osobowych   („UODO”).   Ustawa   przyznaje  osobom,  których  dane  dotyczą  szereg  praw,  w  tym   prawo   "żądania   uzupełnienia,  uaktualnienia,   sprostowania   danych  osobowych,   czasowego   lub   stałego  wstrzymania   ich   przetwarzania   lub   ich  usunięcia".      W   zawartym  w   dyrektywie   i   w   UODO   prawie  żądania   usunięcia   danych   osobowych   można  doszukiwać   się   podwalin   proponowanego   w  nowym   rozporządzeniu   UE   prawa   do   bycia  

zapomnianym.  Zgodnie  z  obowiązującą  obecnie  polską  ustawą:    a)  Każdej  osobie  przysługuje  prawo  do  kontroli  przetwarzania   danych,   w   tym   usunięcia  danych,  które  jej  dotyczą3.  b)  UODO  przewiduje,   że   z   żądaniem  usunięcia  danych   (lub   innymi   żądaniami)   można  wystąpić,   gdy   dane   są   "niekompletne,  nieaktualne,  nieprawdziwe  lub  zostały  zebrane  z   naruszeniem   ustawy   albo   są   już   zbędne   do  realizacji   celu,   dla   którego   zostały   zebrane"  (art.   32   ust.   1   pkt.   6).   Dane   będą   zebrane   z  naruszeniem   ustawy   jeśli   nastąpi   to   bez  odpowiedniej   podstawy  prawnej,   czyli   np.   bez  zgody   użytkownika4.   W   tym   kontekście  uzasadnione   jest   pytanie,   czy  można   domagać  się   usunięcia   danych   w   sytuacji   zaistnienia  każdej   z   okoliczności,   czy   tylko   w  najpoważniejszych   przypadkach,   tzn.   gdy  zbieranie   danych   odbyło   się   z   naruszeniem  ustawy   albo   gdy   dane   są   zbędne   do   realizacji  założonego  celu5.    c)   Obowiązek   wykazania,   że   dane   są  niekompletne,   nieprawdziwe,   nieaktualne,  zostały   zebrane   z   naruszeniem   prawa   albo   są  już   zbędne   do   realizacji   celu,   dla   którego  zostały   zebrane   spoczywa   na   uprawnionym   3  Zgodnie  z  literalnym  brzemieniem  art.  32  UODO,  prawo  do  kontroli  danych  jest  ograniczone  do  danych  znajdujących  się  w  zbiorach  danych.  Od  istnienia  zbioru  zależy  zatem  istnienie  prawa  po  stronie  podmiotu  danych.  Jednak  w  tej  sytuacji  zakres  przedmiotowy  prawa  żądania  usunięcia  danych  nie  pokrywa  się  z  zakresem  przedmiotowym  ustawy,  która  odnosi  się  także  do  danych,  które  niekoniecznie  są  przechowywane  w  usystematyzowanych  zbiorach  danych.  Jednocześnie,  ograniczenia  prawa  żądania  usunięcia  danych  ze  względu  na  sposób  przetwarzania  danych  poza  zbiorem  nie  odnajdujemy  w  dyrektywie,  którą  polska  ustawa  implementuje  (por.  Barta  J.,  Fajgielski  P.,  Markiewicz  R.,  Komentarz  do  artykułu  32  ustawy  o  ochronie  danych  osobowych  [pkt  19].  Stan  prawny  2011.06.01,    System  Informacji  Prawnej  Lex)  4  Mamy  zatem  do  czynienia  z  zamkniętym  katalogiem  sytuacji,  w  których  zainteresowany  może  z  tego  prawa  skorzystać.  Jeżeli  dane  nie  przejawiają  żadnej  z  wymienionych  "wadliwości",  nie  można  domagać  się  ich  usunięcia.  Co  więcej,  nie  jest  jasne,  czy  uprawnionemu  przysługuje  pełna  swoboda  w  zakresie  wyboru  roszczenia,  czy  zależy  ono  od  rodzaju  "wadliwości".  5por.  Barta  J.,  Fajgielski  P.,  Markiewicz  R.,  Komentarz  do  artykułu  32  ustawy  o  ochronie  danych  osobowych  [pkt  19].  Stan  prawny  2011.06.01,    System  Informacji  Prawnej  Lex  

(art.   35   UODO).   Dopiero   w   razie   wykazania  wadliwości,   administrator   jest   obowiązany  zachować   się   w   określony   w   ustawie   sposób,  czyli  na  przykład  usunąć  dane.   Jednak   i  w  tym  wypadku  mogą  powstać  wątpliwości  odnośnie  znaczenia   terminu   "wykazanie"   oraz   tego,   kto  ma  oceniać,  czy  wykazanie  nastąpiło6.      Podsumowując,   uprawniony   podmiot,   którego  dane   są   przetwarzane   może   obecnie   zwrócić  się   z   odpowiednim   żądaniem   do  administratora   danych   wykazując   zaistnienie  jednej  z  wymienionych  w  ustawie  okoliczności.  Jeśli   administrator   żądania   nie   spełni,  uprawnionemu   pozostaje   zwrócenie   się   do  Głównego   Inspektora   Danych   Osobowych  („GIODO”)   z   wnioskiem   o   nakazanie  dopełnienia   tego   obowiązku,   a   potem  ewentualnie  do  sądu.      Gdyby  omawiana  wyżej  sprawa  Google'a  miała  miejsce   w   Polsce,   podmiot   danych   powinien  zwrócić   się   do   zarządzającej   wyszukiwarką  spółki   z   roszczeniem   o   usunięcie   danych,  wykazując   jednocześnie  wadliwość   danych.  W  praktyce  może  to  rodzić  szereg  problemów.  Po  pierwsze   należy   ustalić,   czy   polskie   przepisy  będą   miały   zastosowanie   do   firmy,   która   ma  swoją   siedzibę   poza   naszym   krajem.  Wykazanie   wadliwości   w   przypadku  przywołanego   kazusu   także   nie   wydaje   się  łatwe,   zważywszy   na   uznanie   przez   AEPD  treści   za   legalne.   Uznanie   spółki   Google   za  administratora  danych,  do  którego  można  się  z  takim   żądaniem   zwrócić,   także   nie   jest  oczywiste.   Do   tego   stopnia,   że   będzie   ono  przedmiotem   orzeczenia   TS   UE,   o   które   w  trybie   prejudycjalnym   zwróciła   się   Audiecia  Nacional.   Trybunał   wypowie   się   między  innymi,   czy   na   gruncie   obecnej   dyrektywy,  którą   implementuje   polska   UODO,   działalność  wyszukwarki   Google   można   uznać   za  „przetwarzanie  danych”.    W   przypadku   wpisu   na   blogu   lub   na   serwisie  społecznościowym   użytkownik   powinien  zwrócić   się   o   usunięcie   danych   do   twórców  danego  serwisu7.  Zgodnie  z  zaleceniami  GIODO  w  pierwszej  kolejności  należy   jednak  poprosić  o   to   użytkownika,   który   jest   autorem   danego  wpisu.    

6Tamże.  7  Por.  „GIODO  ostrzega  przed  Facebookiem”:  http://prawo.gazetaprawna.pl/artykuly/636207,giodo_ostrzega_przed_facebookiem.html  

 2.  Drugą  istotną  przedmiotowo  dyrektywą  jest  dyrektywa  z  dnia  8  czerwca  2000  r.  dotycząca  niektórych   aspektów   prawnych   usług  społeczeństwa   informacyjnego,   w  szczególności  handlu  elektronicznego  na  rynku  wewnętrznym.   Jej   przepisy   w   Polsce  implementowano   ustawą   o   świadczeniu  usług  drogą  elektroniczną  („UŚUDE”).      Art.   14   UŚUDE   przewiduje   tzw.   procedurą  „notice   and   takedown”,   która   umożliwia  uwolnienie   się   od   odpowiedzialności   za  przechowywane   dane   usługodawcom,   którzy  udostępniąją   zasoby   systemu  teleinformatycznego   w   celu   przechowywania  danych  przez  usługobiorcę.  Przepis  ten  dotyczy  zatem   głównie   podmiotów   świadczących  usługi  hostingowe  (np.  cyber  lockers  takich  jak  Rapidshare,   chomikuj.pl,   YouTube   czy   portale  blogowe)8,   ale   może   być   także   wykorzystany  jako   narzędzie   służące   ochronie   danych  osobowych.    Na   podstawie   art.   14   można   żądać   od  usługodawcy   uniemożliwienia   dostępu   do  danych  w  przypadku  „bezprawnego  charakteru  danych   lub   związanej   z   nimi   działalności”.  Usługodawca,   który   nie   wie   o   bezprawnym  charakterze  danych  lub  działalności,  a  otrzyma  urzędowe   zawiadomienie   lub   wiarygodną  wiadomość   o   bezprawności   powinien  niezwłocznie   uniemożliwić   dostęp   do   danych.  Wykasowanie   danych     zwalnia   od  odpowiedzialności  za  przechowywane  dane.    Zasadniczą   przesłanką   uzyskania  zablokowania  dostępu  do  danych  w  przypadku  UŚUDE   jest   bezprawność.   Należy   taką  bezprawność   zgłosić   usługodawcy   w  urzędowym   zawiadomieniu   lub   wiarygodnej  wiadomości.   Bezprawność   może   wynikać   z  naruszenia   różnych   przepisów   prawnych,  niekoniecznie   samej   UŚUDE9.   Kluczową   rolę  odgrywa   reakcja   usługodawcy,   który   może  zdecydować,   że   treści   nie   usunie   i   będzie  gotowy  w  ich  obronie  wejść  na  drogę  sądową.    W   przypadku   wspomnianej   sprawy   Google,  uznanie   przez   organ   ochrony   danych  

8  Świerczyński  M.,  Komentarz  do  art.  14  ustawy  o  świadczeniu  usług  drogą  elektroniczną.  Stan  prawny  na  2009.01.05.  System  Informacji  Prawnej  Lex  9Tamże.  

osobowych   treści   dostępnych   na   źródłowej  stronie   internetowej   za   legalne   utrudniłoby  skorzystanie   z   UŚUDE,   jako   że   przesłanką  usunięcia   jest   bezprawność.   Można   by   jednak  argumentować,  że  o  ile  gazeta  na  której  stronie  pierwotnie  zamieszczono  ogłoszenie  ma  prawo  przetwarzać  dane  użytkownika,   takiego  prawa  pozbawiona   jest   firma   Google.   W   drugim   z  opisanych   przypadków,   w   którym   mamy   do  czynienia  z  publikacją  imienia  i  nazwiska  wraz  ze   zdjęciem   na   blogu   czy   serwisie  społecznościowym,   UŚUDE   może   okazać   się  skutecznym   narzędziem   –   skorzystanie   z  przepisów   ustawy   wymagałoby   od  użytkownika   zwrócenia   się   do   usługodawcy,  czyli   portalu   umożliwiającego   prowadzenie  bloga   lub   do   serwisu   społecznościowego,   z  wiarygodną   wiadomością   o   bezprawności  przetwarzania   danych,   czyli   w   praktyce   o  fakcie   przetwarzania   danych   bez   wymaganej  zgody  osoby,  której  dane  dotyczą.    3.   Ostatnią  możliwością   z   jakiej  może   obecnie  skorzystać   osoba   w   celu   ochrony   swoich  danych   są  roszczenie   z   tytułu  ochrony  dóbr  osobistych.   Art.   23   Kodeksu   cywilnego  zawiera   otwarty   katalog   dóbr   osobistych,   do  którego   doktryna   dodaje  między   innymi   sferę  życia  prywatnego10.   Jako  pochodną   sfery   życia  prywatnego   niektórzy   rekonstruują   dobro  osobiste   w   postaci   „prawa   decydowania   o  dopuszczalności   gromadzenia   i   udostępniania  danych   osobowych   dotyczących   osoby  fizycznej   (prawo   do   dysponowania   swoimi  danymi  osobowymi)”11.    Na   mocy   art.   24   „[t]en   czyje   dobro   zostaje  zagrożone   cudzym   działaniem,   może   żądać  zaniechania   tego   działania,   chyba   że   nie   jest  ono  bezprawne”.  Gdy  już  dojdzie  do  naruszenia  podmiotowi   danych   dostępne   są   roszczenia   o  dopełnienie   czynności   w   celu   usunięcia  skutków   naruszenia,   o   zadośćuczynienie  pieniężne   lub   zapłatę   odpowiedniej   sumy   na  wskazany   cel   społeczny,   oraz   naprawienia  zaistniałej   szkody   majątkowej   na   zasadach  ogólnych.   Procesy   takie   bywają   jednak  długotrwałe  i  kosztowne.        Podmioty   danych   poszukujące   ochrony  prawnej   mają   zatem   do   dyspozycji   kilka  rodzajów   roszczeń.   W   prawie   żądania  

10  Pazdan  M.,  [w:]  Pietrzykowski  K.  (red.),  KC.  Komentarz,  art.  23  Nb  9,  Warszawa  2005,  s.  104.  11  Tamże,  s.  106.  

usunięcia  danych   lub  żądania  uniemożliwienia  dostępu  do  danych  można  upatrywać  zalążków  prawa   do   bycia   zapomnianym.   Co   zatem   się  zmieni   po   wejściu   w   życie   nowego  rozporządzenia  UE?  Co  zyska  użytkownik  wraz  z   wprowadzeniem   do   porządku   prawnego  prawa  do  bycie  zapomnianym?    Proponowane   zmiany   –   prawo   do   bycia  zapomnianym      Różnorodność   krajowych   systemów   ochrony  danych   osobowych   przy   jednoczesnym  rozwoju   zdigitalizowanego   społeczeństwa   i  gospodarki   wymusiły   konieczność   podjęcia  dalszych   działań   legislacyjnych   w   zakresie  ochrony   danych   osobowych.   Odpowiedzią   na  zapotrzebowanie   jest   projekt  rozporządzenia  Parlamentu   Europejskiego   i   Rady   Unii  Europejskiej   w   sprawie   ochrony   osób  fizycznych   w   związku   z   przetwarzaniem  danych   osobowych   i   swobodnym  przepływem  takich   danych   (ogólne   rozporządzenie   o  ochronie  danych)12.    Na  mocy  art.  17  ust.  1  rozporządzenia  podmiot  danych   ma   prawo   do   uzyskania   od  administratora   usunięcia   danych  osobowych   odnoszących   się   do   niego   oraz  zaprzestania   dalszego   rozpowszechniania  tych   danych.   W   szczególności   prawo   to  dotyczy   danych   osobowych,   które   podmiot  danych   udostępnił   jako   dziecko.   Art.   17   ust.   8  potwierdza   zaś,   że   w   przypadku   usunięcia  danych,   administrator   nie   przetwarza   w   inny  sposób   tych   danych   osobowych.   Jest   to   tzw.  prawo  do  bycia  zapomnianym.    Zgodnie   z   nowym   projektem,   usunięcie   i  zaprzestanie   rozpowszechniania   może   mieć  miejsce,  gdy  zaistnieje  jedna  z  przesłanek:  

• dane  nie  są   już  potrzebne  do  celów,  do  których  były  zebrane;  

• podmiot   danych   odwołuje   zgodę,   na  której   opiera   się   przetwarzanie   lub  minął  okres  przechowywania,  na  który  wyrażono   zgodę   oraz   jeśli   nie   ma   już  podstawy   prawnej   przetwarzania  danych;  

• podmiot   danych   sprzeciwia   się  przetwarzaniu  danych  osobowych;  

• przetwarzanie  danych  nie  jest  zgodne  z  rozporządzeniem.    

12  COM  (2012)  11  wersja  ostateczna.  

W   stosunku   do   obecnych   uregulowań   polskiej  UODO,   jest   to   zdecydowane   ułatwienie   dla  podmiotów   danych.   Przede   wszystkim   nowe  rozporządzenie   uwalnia   podmiot   danych   od  obowiązku   wykazania   wadliwości   danych.   W  przeciwieństwie   do   obecnych   uregulowań  ciężar   dowodu,   że   przetwarzanie   można  kontynuować,   spoczywa   bowiem   na  adminitstratorze.    Obowiązki  administratora  w  ramach  prawa  do  bycia   zapomnianym   nie   kończą   się   na  usunięciu   i   zaprzestaniu   rozpowszechniania  danych.   Zgodnie   z   art.   17   ust.   2   na  administratorze   ciąży   także   obowiązek  informacyjny,   który   polega   na   tym,   że   jeśli  administrator   podał   dane   do   wiadomości  publicznej13,   to   jest   zobowiązany   podjąć  „wszelkie   uzasadnione   kroki”   aby  poinformować   osoby   trzecie   przetwarzające  takie  dane,   iż  podmiot  danych  wnioskuje  o   ich  usunięcie.   Wydaje   się,   że   administrator   nie  będzie   odpowiadał   za   upublicznienie   danych  dokonane  przez  użytkowników,  ponieważ  w  tej  sytuacji   to   nie   on   podał   dane   do   wiadomości  publicznej.    Nowe   rozporządzenie   zapewnia   większą  ochronę   prawną   podmiotowi   danych,   w   tym  wprowadza   możliwość   nałożenia   przez   organ  nadzorczy   sankcji   administracyjnych   między  innymi   za   nierespektowania   prawa   do   bycia  zapomnianym   i   do   usunięcia   danych.  Wprowadzenie   możliwości   nakładania   sankcji  jest  elementem,  ktόry  powinien  przyczynić  się  do   nadania   prawu   do   bycia   zapomnianym  realnego   charakteru   i   zmotywować  opieszałych   administratorów   do   rzetelnego  przestrzegania  praw  użytkowników14.    

13  Zgodnie  z  art.  17  ust.  2  projektu  rozporządzenia  także  „[j]eśli  administrator  upoważnił  osobę  trzecią  do  publikacji  danych  osobowych,  uważa  się  go  za  odpowiedzialnego  za  tę  publikację”.  14  Art.  79  ust.  5  lit.  c  mówi  o  tym,  że  „[o]rgan  nadzorczy  nakłada  grzywnę  do  wysokości  500  000  EUR  lub  w  przypadku  przedsiębiorstwa  do  1  %  jego  rocznego  światowego  obrotu,  na  każdy  podmiot,  który  umyślnie  lub  lekkomyślnie:  [...]  nie  respektuje  prawa  do  bycia  zapomnianym  i  do  usunięcia  danych  lub  nie  wprowadza  mechanizmów,  aby  zapewnić,  że  terminy  są  przestrzegane  lub  nie  podejmuje  wszelkich  właściwych  kroków,  aby  poinformować  osoby  trzecie,  że  podmioty  danych  zażądały  wszystkich  usunięcia  [sic!]  linków  do  danych,  lub  kopii  lub  replikacji  danych  osobowych  na  podstawie  art.  17”.  

 Wątpliwości  wokół  proponowanej  regulacji  prawa  do  bycia  zapomnianym    W   założeniu   nowe   przepisy   ochrony   danych  osobowych   mają   rozwiewać   niejasności  wynikające   z   niedostosowania   obecnych  regulacji   do   szybkiego   postępu  technologicznego  i  tym  samym  doprowadzić  do  wzmocnienia   ochrony   jednostki.   Przepisy  budzą   jednak   szereg   wątpliwości,   których  egzemplifikacją   mogą   być   kontrowersje  związane   z   samą   koncepcją   prawa   do   bycia  zapomnianym.    Zakres  prawa  do  bycia  zapomnianym    Zakres   prawa   do   bycia   zapomnianym,   a  szczególnie   będący   jego   częścią   obowiązek  informacyjny   spoczywający   na  administratorach   danych,   o   którym   mowa   w  art.   17   ust.   2,   jest   przedmiotem   ożywionej  dyskusji.      Według   krytyków   proponowany   obowiązek  został   sformułowany   zbyt   szeroko   i   może  spowodować   nieproporcjonalne   obciążenie  administratorów   danych.   Taką   możliwość  widzi  Europejski  Inspektor  Danych  Osobowych  (EDPS),   który,   pozytywnie   oceniając  propozycję   wprowadzenia   prawa   do   bycia  zapomnianym,   jednocześnie   zauważa  konieczność  sprecyzowania  jego  zakresu15.    Obowiązek   informacyjny   z   art.   17  rozporządzenia   dotyczy   sytuacji   ograniczonej  kilkoma   przesłankami.   Po   pierwsze,   chodzi   o  sytuacje,   gdy   to   administrator   podał   dane  osobowe   do   publicznej   wiadomości.   A  contrario,   jeśli  to  nie  on  je  podał  do  publicznej  wiadomości,  wtedy  obowiązek   taki  na  nim  nie  ciąży,   chyba   że   upoważnił   osoby   trzecie   do  publikacji   tych   danych.   Po   drugie,  administrator   podejmuje   „wszelkie  uzasadnione   kroki”.   Wreszcie,   administrator  informuje   tylko   osoby,   ktόre   przetwarzają  dane.      EDPS   przyznaje,   że   art.   17   zawiera   bardziej  

15  Opinion  of  the  European  Data  Protection  Supervisor  on  the  data  protection  reform  package,  7.03.2012,  s.  24-­‐5.  Dostępna  na:  http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-­‐03-­‐07_EDPS_Reform_package_EN.pdf  

realistyczne   zobowiązanie   starannego  działania,   a   nie   zobowiązanie   rezultatu.  Ponadto,  artykuł  ten  zdaniem  EDPS  uwzględnia  postanowienia  art.  13  projektu  rozporządzenia,  który  mówi  o  tym,  że  „administrator  informuje  o   wszelkich   operacjach   poprawienia   lub  usunięcia  dokonanych  zgodnie  z  art.  16  i  art.  17  każdego   odbiorcę,   któremu   ujawniono   dane,  chyba   że   okaże   się   to   niemożliwe   lub   będzie  wymagać  niewspółmiernie  dużego  wysiłku”.  W  artykule   podkreślono   zatem,   że   od  administratorów   nie   będzie   się   żądać  niemożliwego.    Należy   jednak   zauważyć,   że   pojęcie   „wszelkie  uzasadnione   kroki”   jest   nieostre   i   będzie  podlegało   dalszej   interpretacji,   ktόra  może   de  facto   określić   zakres   obowiązku  informacyjnego   i   prawa   do   bycia  zapomnianym.   Nie   stanowi   wielkiego  ułatwienia  motyw  54   rozporządzenia,   zgodnie  z   którym   „administrator   powinien   podjąć  wszelkie   racjonalne   kroki”.   Podobnie   dalszej  wykładni   będzie   podlegać   rόwnie   niejasny  termin   „niewspółmiernie   duży   wysiłek”.   W  dobie   Internetu,   gdy   dostęp   do   danych   jest  coraz   łatwiejszy,   a   kontrola   nad   ich  rozprzestrzenianiem   znacznie   trudniejsza,  pojęcia   te   nabierają   szczególnego   znaczenia.  Według   EDPS,   w   celu   zapewnienia  efektywności   prawa   do   bycia   zapomnianym,  projekt   rozporządzenia   potrzebuje  konkretyzacji.   Być   może   przydatne   byłoby  także   stworzenie   swego   rodzaju   katalogu  dobrych   praktyk   dla   administratorów   danych  w   odniesieniu   do   wykonywania   przez   nich  obowiązku  informacyjnego.    Grupa  Robocza  Art.  29,  w  której  skład  wchodzą  krajowi   Inspektorzy   Danych   Osobowych,  również   ostrzega,   że   w   projekcie  proponowanym   przez   Komisję   Europejską  prawo  do  bycia  zapomnianym  może  nie  być  w  pełni   efektywne16.   Zobowiązanie   do   działania  na  żądanie  podmiotu  danych  i   informowania  o  nim   podmiotów   trzecich   nałożono   bowiem  jedynie   na   administratorów.   Grupa   wskazuje,  że   poinformowane   osoby   trzecie   nie   mają  obowiązku   działania   na   żądanie   podmiotu  danych,   w   tym   dalszego   informowania,   chyba  

16Opinion  01/2012  on  the  data  protection  reform  proposals,  23.03.2012,  s.  13-­‐4.  Dostępna  na:  http://ec.europa.eu/justice/data-­‐protection/article-­‐29/documentation/opinion-­‐recommendation/files/2012/wp191_en.pdf  

że   także   są   administratorami   danych.   Wydaje  się   zatem,   że   pozycja   podmiotów   trzecich  powinna   zostać   dokładniej   zdefiniowana   w  projekcie   rozporządzenia.   Ponadto,   jak  wskazuje  Grupa,  nie  pozostawiono  podmiotom  danych   możliwości   wykonywania   prawa   do  bycia   zapomnianym   w   sytuacjach,   gdy  administrator   przestał   istnieć,   nie   ma   z   nim  kontaktu  lub  nie  sposób  go  zlokalizować.    Zdaniem  EDPS  i  członków  Grupy  Roboczej  Art.  29,   wskazane   powyżej   wątpliwości   powinny  zostać   rozstrzygnięte,   jeśli   prawo   do   bycia  zapomnianym   ma   mieć   szansę   stać   się  rzeczywistym  instrumentem  kontroli  własnych  danych   przez   jednostki,   a   jednocześnie   nie  stanowić   nadmiernego   ciężaru   dla  administratorów  danych.    Akty  delegowane  Komisji  Europejskiej    W  nowym  rozporządzeniu  przewidziano  liczne  upoważnienia   ustawowe   dla   Komisji  Europejskiej   do   uchwalenia   tzw.   aktów  delegowanych.   Wprowadzone   Traktatem  lizbońskim   akty   delegowane   są,   zgodnie   z   art.  290   Traktatu   o   Funkcjonowaniu   Unii  Europejskiej   („TFUE”),   aktami   o   charakterze  nieprawodawczym   o   zasięgu   ogólnym,   które  uzupełniają   lub   zmieniają   niektóre,   inne   niż  istotne,  elementy  aktu  prawodawczego.      W   kontekście   prawa   do   bycia   zapomnianym,  Komisja   jest   uprawniona   do   przyjmowania  aktów  w  celu  doprecyzowania:  

• kryteriów  i  wymogów  stosowania  ust.  1  w   poszczególnych   sektorach   oraz   w  szczególnych   sytuacjach  przetwarzania  danych;  

• warunków  usuwania  linków  do  danych,  kopii   lub   replikacji   danych   osobowych  z   publicznie   dostępnych   usług  łączności,  o  których  mowa  w  ust.  2;  

• kryteriów   i   warunków   ograniczania  przetwarzania   danych   osobowych,   o  których  mowa  w  ust.  4.  

 Warto  zadać  pytanie,  czy  powyższe  kwestie  są  elementami  innymi  niż  istotne.  Ustęp  pierwszy  art.  17  rozporządzenia  dotyczy  okoliczności,  w  których  prawo  do  bycia  zapomnianym  może  w  ogóle   zaistnieć   po   stronie   podmiotu   danych,  zaś  ustęp  drugi  obowiązku  informacyjnego.      Jednym   z   głównych   zarzutów   formułowanych  pod   adresem   nowej   propozycji   legislacyjnej  

jest   niewystarczająca   precyzyjność   przepisów  rozporządzenia.  Pozostawienie  Komisji  dużego  zakresu   spraw   do   uregulowania   w   aktach  delegowanych  jest  przedmiotem  krytyki  Grupy  Roboczej   Art.   29.   Zdaniem   Grupy   istotne  elementy  regulacji  powinny  znaleźć  się  w  treści  rozporządzenia.    Przedstawiciel   Komisji   Europejskiej,   Viviane  Reding,  zauważyła  jednak,  że  nowe  środowisko  regulacyjne   musi   być   „przygotowane   na  przyszłość”   i   „technologicznie   neutralne”17.  Ogólne   przepisy   rozporządzenia   mają   być  uszczegółowione  w  aktach  delegowanych  KE.  Z  jednej   strony   takie   rozwiązanie   wydaje   się  słuszne,   ze   względu   na   konieczność  dostosowania   prawa   do   szybko   zmieniającej  się   rzeczywistości.   Z   drugiej,   pamiętając   o  ryzyku  zbyt  nadgorliwego  stosowaniem  prawa  do   bycia   zapomnianym   w   kontekście  cyfrowym,   należy   rozważyć,   czy   szerokie  kompetencje   KE   w   tym   zakresie   nie   powinny  budzić  zaniepokojenia.        Charakter   działalności   wyszukiwarek  internetowych      Szereg  wątpliwości   z   zakresu   ochrony   danych  osobowych  i  prawa  do  bycia  zapomnianym,  na  co   wskazał   przywołany   hiszpański   kazus,  dotyczy   charakteru   działania   wyszukiwarek  internetowych.   Pierwszym   kontrowersyjnym  aspektem   działania   wyszukiwarek   jest  zbieranie   danych   o   użytkownikach   oraz  polityka   prywatności.   W   tej   sprawie   na  przykład   do   firmy   Google   zgłosił   się  w  marcu  bieżącego   roku   francuski   urząd   ochrony  danych   osobowych.   Urząd   chce   wiedzieć,   jak  długo   Google   będzie   przechowywał   dane   o  aktywności   użytkowników   oraz   czy   będą   one  powiązane   z   rzeczywistą   tożsamością   danej  osoby18.    Wątpliwości   budzi   także   podstawowa   funkcja  wyszukiwarki,   tj.  dostarczanie  treści  w  postaci  listy   wyników   wyszukiwania,   która   stanowi  istotny   element   debaty   na   temat   prawa   do  bycia  zapomnianym.  Nieodzownym  elementem  

17  Reding  V.,  Speech/12/26,  http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/12/26  18   http://www.cnil.fr/english/news-­‐and-­‐events/news/article/googles-­‐new-­‐privacy-­‐policy-­‐cnil-­‐sends-­‐a-­‐detailed-­‐questionnaire-­‐to-­‐google/  

tworzenia   listy   wyników   wyszukiwania   jest  indeksowanie   stron   internetowych,   czyli  kopiowanie   ich   zawartości   przez   specjalne  aplikacje   zwane   robotami   sieciowymi,   w   celu  ułatwienia   użytkownikom   znalezienia  określonych   treści   w   sieci.   W   kontekście  dyskusji   na   temat   praktycznych   konsekwencji  obowiązywania  prawa  do  bycia  zapomnianym,  nasuwa  się  pytanie  czy  można  żądać  usunięcia  z   wyników   wyszukiwania,   które   pokazują   się  po   wpisaniu   imienia   i   nazwiska,   odnośników  do   niepochlebnych   czy   też   nieaktualnych  informacji.      We   wspomnianej   powyżej   sprawie   Google’a,  hiszpański  sąd  Audiencia  Nacional  (AN)  zgłosił  podobne  wątpliwości.  Pierwsza  z  nich  dotyczy  zakresu   terytorialnego   dyrektywy   95/46/WE,  a   co   za   tym   idzie,   zakresu   przepisów  hiszpańskich   dotyczących   ochrony   danych  osobowych.   Sędziowie   pytają,   czy     przepisy  wspólnotowe   i   krajowe   w   zakresie   ochrony  danych   osobowych  mogą     zostać   zastosowane  w   tym   przypadku,   albo   czy,   tak   jak   utrzymuje  Google,    poszkodowani  powinni  zwracać  się  do  sądów  amerykańskiego  stanu  Kalifornia,    gdzie  znajduje  się  siedziba  spółki  matki  grupy.    Druga   grupa   pytań   dotyczy   działalności  wyszukiwarek,   jako   dostawców   treści   w  stosunku   do   dyrektywy   95/46/WE.   Sąd  hiszpański   interesuje,   czy   wyszukiwarki,   gdy  indeksują  informacje,  dokonują    przetwarzania  danych   osobowych,   a   także   czy   są  odpowiedzialne   za   przetwarzanie   i   powinny   z  tego  względu  przestrzegać  prawa  do  usunięcia  danych,  mimo  że  informacja  zostaje  zachowana  w   źródłach   oryginalnych,   ponieważ   została  uznana  za  legalną.      Trzecia  kategoria  wątpliwości  dotyczy  zakresu  prawa   do   usunięcia   danych   lub   sprzeciwu   w  stosunku   do   prawa   do   bycia   zapomnianym.  Sędziowie   pytają,   czy   należy   uznać,   że   prawa  do   usunięcia   lub   zablokowania   danych   oraz  sprzeciwu   oznaczają,   że   zainteresowany  może  zwracać   się   do   wyszukiwarek   w   celu  uniemożliwienia   indeksowania   informacji  odnoszącej   się   do   jego   osoby,   opublikowanej  na   stronach   internetowych   podmiotów  trzecich,   powołując   się   na   swoją   wolę,   aby   ta  informacja   nie   była   znana   internautom,   gdy  uznaje,  że  mogłaby  ona  mu  szkodzić   lub  życzy  sobie,   by   została   zapomniana,   nawet   jeśli  dotyczy   to   informacji   opublikowanej   legalnie  przez  podmioty  trzecie.  

 Jeśli   chodzi   o   terytorialny   zakres  obowiązywania   przepisów,   nowe  rozporządzenie   rozwiewa   wątpliwości  Audiencia   Nacional,   stanowiąc   w   art.   3,   że  rozporządzenie   ma   zastosowanie   do  przetwarzania   danych   osobowych   podmiotów  danych  mających  miejsce  zamieszkania  w  Unii  przez   administratora   niemającego   siedziby   w  UE,   gdy   przetwarzanie   wiąże   się   z  oferowaniem   towarów   lub   usług   takim  podmiotom  danych  w  UE  lub  monitorowaniem  ich  zachowania.      W   zakresie   pozostałych   pytań   należy  oczekiwać   rozstrzygnięcia   TS   UE,   które  pomoże   zdefiniować   zakres   prawa   do   bycia  zapomnianym   i  ochrony  danych  osobowych  w  nowym   środowisku   regulacyjnym.   Warto  jednak  przywołać   opinię   nr   1/2008  dotyczącą  zagadnień   ochrony   danych   związanych   z  wyszukiwarkami,   opracowaną   przez   Grupę  Roboczą   Art.   29.   W   opinii   podkreślono  możliwości   jakimi   dysponują   operatorzy  wyszukiwarek.   Wyszukiwarki   pozyskując   i  porządkując  rozproszone  informacje  dotyczące  jednej  osoby,  są  w  stanie  stworzyć  profil  danej  osoby.   W   opinii   Grupy   stanowi   to   znacznie  większe  zagrożenie  dla  podmiotu  danych,  niż  w  przypadku,   gdyby   każdy   element   danych  publikowanych   w   internecie   pozostawał  odrębny   -­‐   “zdolność   wyszukiwarek   do  prezentacji   i   komasacji   danych   może   mieć  istotny   wpływ   na   osoby   fizyczne,   zarówno   w  kontekście   ich   życia   osobistego,   jak   i   w  kontekście   społecznym,   szczególnie   w  przypadkach,  gdy  dane  osobowe  udostępniane  w   wynikach   wyszukiwania   są   niepoprawne,  niepełne  lub  zbyt  obszerne.”  W  związku  z  tym,  Grupa   nie   ma   wątpliwości,   że   w   pewnych  sytuacjach   operatorów   wyszukiwarek   należy  uznać   za   administratorów   danych,   z   czego  wynikają   konkretne   obowiązki   względem  podmiotόw  danych.      Zaliczenie   operatorów   wyszukiwarek   do  kategorii   administratorów   danych   osobowych  nie   daje   jednak   odpowiedzi   na   pytanie   czy  podmiot   danych   w   każdej   sytuacji   powinien  mieć   prawo   żądać   modyfikowania   list  wyszukiwania   wedle   jego   uznania,   oraz  usunięcia   odnośników   do   informacji,   którymi  nie   życzy   się   dzielić   z   innymi   internautami.  Operatorzy   wyszukiwarek,   a   także   część  ekspertów,  sprzeciwia  się  takim  próbom.  W  ich  opinii,   modyfikacja   list   wyszukiwania  

ogranicza   dostęp   do   informacji   oraz   swobodę  wypowiedzi.   W   ekstremalnych   przypadkach,  biorąc   pod   uwagę   znaczenie,   jakie   popularne  wyszukiwarki   internetowe   odgrywają   dziś   w  zakresie   dostępu   do   wiedzy,   usuwanie  wyników  z   list  wyszukiwania  może  prowadzić  do  zacierania  prawdy  historycznej  i  cenzury.    Prawo   do   bycia   zapomnianym   jako   prawo  podstawowe      Proponowane  unijne  regulacje  ochrony  danych  osobowych,   w   tym   dotyczące   prawa   do   bycia  zapomnianym,   są   próbą   pełniejszej   ochrony  praw  podstawowych,  na  których  opiera  się  UE.  W   kontekście   nowej   regulacji   prawa   te,   to  zebrane   w   Traktacie   o   funkcjonowaniu   UE,  Europejskiej   Konwencji   Praw   Człowieka  („EKPCz”)   i   Karcie   Praw   Podstawowych  („KPP”)   prawa  do  ochrony  danych  osobowych  oraz   poszanowania   życia   rodzinnego   i  prywatnego.      W   myśl   TFUE   każda   osoba   ma   prawo   do  ochrony   danych   osobowych,   które   jej  dotyczą19.  Zgodnie  z  EKPCz  każdy  ma  prawo  do  poszanowania   życia   prywatnego   i   rodzinnego,  mieszkania   i   swojej   korespondencji20.  Postanowienia   KPP   odwzorowują   w   zasadzie  regulacje   konwencyjne   dotyczące  poszanowania   prywatności   oraz  postanowienia   TFUE,   precyzując   warunki  przetwarzania   danych.   Zgodnie   z   KPP  przetwarzanie   musi   być   dokonywane  „rzetelnie   w   określonych   celach   i   za   zgodą  osoby   zainteresowanej   lub   na   innej  uzasadnionej   podstawie   przewidzianej  ustawą”.   KPP  mówi   również   o   tym,   że   „każdy  ma  prawo  dostępu  do  zebranych  danych,  które  go   dotyczą,   i   prawo   do   dokonania   ich  sprostowania”21.                Prawo   do   bycia   zapomnianym   konkretyzuje  wymienione   wyżej   wartości.   Jest   to  najsilniejszy   instrument,   w   który   można  wyposażyć   podmiot   danych   -­‐   prawo   do   bycia  zapomnianym   ma   najbardziej   radykalny  charakter   na   tle   innych   dostępnych   instytucji,  gdyż   w   założeniu   umożliwia   całkowitą  eliminację   informacji   o   użytkowniku   z  Internetu.    

19  Art.  16  ust.  1.  20  Art.  8.  21  Art.  8  ust.  2  

Niektórzy   krytycy   prawa   do   bycia  zapomnianym   argumentują,   że   może   ono  prowadzić   do   prób   cenzurowania   treści   lub  ingerencji  w  historię.  Na  tę  ostatnią  możliwość  wskazywał   także   polski   GIODO   odwołując   się  do   usunięcia   przez   niemiecką   Wikipedię  danych   zabójców   aktora  Waltera   Sedlmayra22.  W   tym   kontekście   warto   zauważyć,   że   prawo  do   bycia   zapomnianym   może   być   rozumiane  jako  przeniesienie  na  grunt  nowych  technologii  dużo   starszej   konstrukcji   zatarcia   skazania  znanej   prawu   karnemu   i   poszerzenie   jej  zastosowania   na   inne   informacje   dotyczące  podmiotu   danych23.   Można   je   także  interpretować   jako   rozszerzenie,   wcześniej  wyartykułowanego  przez  Europejski   Trybunał  Praw   Człowieka,   obowiązku   usuwania   z  archiwów   gazet   treści   uznanych   przez   sąd   za  zniesławiające  (sprawa  Times  v.  UK)24.      Głosy   krytyczne   wobec   prawa   do   bycia  zapomnianym   są   zrozumiałe.   W   świetle  orzeczenia   TS   UE,   prawo   do   ochrony   danych  osobowych,   którego   pochodną   jest   omawiane  prawo,   „nie   stanowi   prerogatywy  o  charakterze   absolutnym”25.   Jak   stwierdza  Trybunał,   musi   ono   być   rozpatrywane   w  odniesieniu   do   roli   jaką   spełnia   w  społeczeństwie.      Nowe   rozporządzenie   stara   się   w   jak  najpełniejszym   wymiarze   zapewnić   realizację  zarówno  prawa  do  prywatności,  jak  i  prawa  do  informacji   i  wolności  słowa.  W  tym  celu  w  art.  17   ust.   3   przewidziane   są   wyłączenia  obowiązku   usunięcia   danych   osobowych   w  następujących  przypadkach:  

• wykonywania   prawa   wolności  wypowiedzi;  

• realizacji   interesu   publicznego   w  dziedzinie  zdrowia  publicznego;  

• dokumentacji,   statystyki   i   badań  naukowych;  

22  Rzeczpospolita  z  dnia  4.03.2012,  http://www.rp.pl/artykul/833086.html.  23  Jeffrey  Rosen,  The  right  to  be  forgotten,  Stanford  Law  Review,  http://www.stanfordlawreview.org/online/privacy-­‐paradox/right-­‐to-­‐be-­‐forgotten.  24  Times  Newspaper  Limited  przeciwko  UK,  wyrok  ETPCz  z  dnia  10  marca  2009  r.,  Skarga  nr  3002/03  i  23676/03.    25Trybunał  Sprawiedliwości  UE,  wyrok  z  dnia  9.11.2010  r.,  sprawy  połączone  C-­‐92/09  i  C-­‐93/09  Volker  und  Markus  Schecke  oraz  Eifert.  

• wypełnienia  obowiązku  administratora  wynikającego   z   przepisów   prawa   UE  lub  krajowego  i  innych.  

 Ograniczenia   prawa   do   bycia   zapomnianym  dopuszcza   także   art.   21   rozporządzenia,   który  mówi  o   tym,   że  UE   lub  państwo   członkowskie  może   „w   drodze   środka   ustawodawczego,  ograniczyć   zakres   obowiązków   i   praw  przewidzianych  w   art.   5   lit.   a)-­‐e),   art.   11-­‐20   i  art.   32,   gdy   takie   ograniczenie   stanowi  konieczny   i   proporcjonalny   środek   w  demokratycznym   społeczeństwie”   służący  osiągnięciu   wymienionych   w   artykule   celów.  Ponadto,   na   mocy   art.   80   rozporządzenia  państwa   członkowskie   stanowią   przepisy  przewidujące  wyłączenia   i   odstępstwa  miedzy  innymi  od  przepisów  rozdziału  III  dotyczącego  praw   podmiotów   danych,   w   przypadku  przetwarzania  danych  osobowych  wyłącznie  w  celach   dziennikarskich   lub   w   celu   uzyskania  wyrazu   artystycznego   lub   literackiego,   aby  pogodzić  prawo  do  ochrony  danych  osobowych  z  przepisami  o  wolności  wypowiedzi.      Podsumowanie   –   co   dobrego   przyniesie  nowa   regulacja,   jakie   zagrożenia,  rekomendacje        Dyrektywa   95/46/WE,   jako   instrument  harmonizacji   pośredniej,   podlegała  implementacji   do   porządkόw   krajowych   i  pozwoliła   na   utrzymanie   pluralizmu  państwowych   systemόw   ochrony   danych,  również   w   odniesieniu   do   prawa   do   bycia  zapomnianym.   Celem   przyświecającym  obecnym   reformom   jest   chęć   ujednolicenia  przepisόw   o   ochronie   danych   osobowych.  Wprowadzenie  zmian  w  rozporządzeniu,  ktόre  po   wejściu   w   życie   będzie   bezpośrednio  skuteczne,  jest  krokiem  w  dobrym  kierunku.            Umieszczenie   w   projekcie   rozporządzenia  regulacji   dotyczącej   prawa   do   bycia  zapomnianym  jest  kolejnym  krokiem  w  stronę  zapewnienia   podmiotom   danych  skuteczniejszej   ochrony   prywatności   oraz  autonomii   informacyjnej.   Wśrόd   pozytywnych  zmian   uwzględnić   należy   także   możliwość  całkowitego  usunięcia  danych,  nałożenia  przez  organ   ochrony   danych   sankcji   na   podmioty  niestosujące   się   do   zapisόw   rozporządzenia,  czy   też   wyjaśnienie   kwestii   zakresu  terytorialnego   obowiązywania   przepisόw   o  ochronie   danych   osobowych,   a   przede  wszystkim   rozciągnięcie   ich   stosowania   na  

administratorów  nie  mających  siedziby  w  UE.    Wobec   przywoływanych   powyżej   wątpliwości  dotyczących   regulacji   prawa   do   bycia  zapomnianym   należy   jednak   podkreślić  zasadność   wprowadzenia   szeregu   rozwiązań  prawnych,   technicznych   oraz   społecznych,   w  tym:  

• dokładniejszego   określenia   w  rozporządzeniu   zakresu   prawa   do  bycia   zapomnianym,   w   szczególności  obowiązkόw   osόb   trzecich  informowanych  przez  administratorόw  o  żądaniu  usunięcia  danych;  

• uwzględnienia   przepisów  pozwalających   podmiotom   danych  egzekwować   ich   prawo,   np.  bezpośrednio   u   osόb   trzecich,   w  sytuacji   niemożności   zidentyfikowania  administratora;  

• ułatwienie   administratorom  wykonywania   obowiązku  informacyjnego   w   ramach   prawa   do  bycia   zapomnianym   poprzez  wyjaśnienie   nieostrych   pojęć,   np.  „wszelkie   uzasadnione   kroki”   i  „niewspόłmiernie  duży  wysiłek”;  

• wypracowanie   katalogu   dobrych  praktyk   stanowiącego   wyznacznik  odpowiedniego   zachowania  administratorów,   którym   przyszło  funkcjonować   w   warunkach   ciągłego  postępu   technologicznego   i  nieustającego   rozprzestrzeniania  informacji   (np.   poprzez   obowiązek  umieszczania   przez   administatora  „terminu   wygaśnięcia   danych”   (expiry  date   for   information)   dostosowanego  do   celόw,   dla   których   dane   są  przetwarzane,   czy   też   wprowadzenie  możliwości   domagania   się   przez  podmioty   danych   umieszczenia  znaczników   NoIndex/NoArchive   przez  redaktorów   na   konkretnych   stronach  internetowych   zawierających   dane   o  żądającym).    

Wobec   ograniczonej   skuteczności   rozwiązań  prawnych   i   technicznych   chroniących   prawo  do   prywatności   danych,   należy   podkreślić  konieczność   prowadzenia   działań  edukacyjnych   i   uświadamiających   wśród  społeczeństwa  w  zakresie  zarządzania  danymi  osobowymi26.   Wprowadzane   przez   państwa   26Opinia  Europejskiego  Komitetu  Ekonomiczno-­‐

rozwiązania   prawne   i   techniczne   nie   będą   w  stanie   odpowiednio   zabezpieczyć   podmiotu  danych,   ponieważ   zawsze   pozostają   w   tyle   za  rozwojem  technologii.  W  wielu  przypadkach  to  jednostka   ma   największy   wpływ   na  bezpieczeństwo  swoich  danych,  podejmując  na  podstawie  dostępnych  informacji  decyzje  o  ich  ujawnieniu.   Państwo,   poprzez   regulacje,  powinno   przede   wszystkim   zapewnić   dostęp  do   informacji   niezbędnych  do  podjęcia  decyzji  o   ich   upublicznieniu   oraz   chronić   podmioty  w  sytuacjach,  gdy  ich  dane  zostały  ujawnione  bez  ich  zgody.      

Joanna  Smętek  i  Zuzanna  Warso  są  prawniczkami  w programie „Europa Praw

Człowieka” Helsińskiej Fundacji Praw Człowieka. Projekt jest finansowany ze

środków “Open Society Institute”.    

Społecznego  z  25.08.2011  w  sprawie  komunikatu  Komisji  do  Parlamentu  Europejskiego,  Rady,  Europejskiego  Komietetu  Ekonomiczno-­‐Społecznego  oraz  Komitetu  Regionów  „Całościowe  podejście  do  kwestii  ochrony  danych  osobowych  w  Unii Europejskiej”,  2011/C248/21,  pkt.  3.4.