"Prawo do bycia zapomnianym” – wzmocnienie autonomii informacyjnej, czy wprowadzenie cenzury w...
Transcript of "Prawo do bycia zapomnianym” – wzmocnienie autonomii informacyjnej, czy wprowadzenie cenzury w...
www.europapraw.org
„Prawo do bycia zapomnianym” – wzmocnienie autonomii informacyjnej, czy wprowadzenie cenzury w Internecie?
Joanna Smętek, Zuzanna Warso Jakimi możliwościami kontroli danych dysponuje osoba, która wpisując swoje imię i nazwisko w wyszukiwarce Google znalazła link do ogłoszenia, dotyczącego licytacji nieruchomości w związku z niezapłaceniem przez nią ubezpieczenia społecznego? Co z kolei może zrobić użytkownik, którego imię i nazwisko zostało zamieszczone we wpisie na blogu lub w serwisie społecznościowym, dodatkowo opatrzonym jego zdjęciem? Pierwsza z opisanych powyżej sytuacji miała miejsce w Hiszpanii, gdzie Urząd Ochrony Danych Osobowych („AEPD”) przyjął skargę od poszkodowanego i zażądał od wyszukiwarki Google wycofania danych skarżącego z jej indeksów. Urząd uznał jednocześnie, że dostępne na stronie internetowej gazety informacje o licytacji należy pozostawić ze względu na ich legalny charakter. Hiszpański sąd Audiencia Nacional miał wątpliwości co do słuszności nakazu usunięcia danych z indeksów wyszukiwarki i skierował sprawę do Trybunału Sprawiedliwości Unii Europejskiej („TS UE”, „Trybunał”)1. Sąd podkreślił, że skarga dotyczy zobowiązań jakie ciążą na obsługujących wyszukiwarki internetowe w zakresie ochrony danych osób, które nie życzą sobie, aby określone informacje, publikowane na stronach internetowych podmiotów trzecich, były umieszczane, indeksowane i udostępniane internautom. Z problemem opisanym w drugim przypadku co dzień borykają się dziesiątki internautów, na co zwraca uwagę między innymi Generalny Inspektor Danych Osobowych2.
1C-‐131/12. 2Por. „GIODO ostrzega przed Facebookiem”: http://prawo.gazetaprawna.pl/artykuly/636207,giodo_ostrzega_przed_facebookiem.html
Analiza, którą prezentujemy, ma za zadanie naświetlić kwestie związane z możliwościami usuwania danych osobowych i „prawem do bycia zapomnianym”, oraz odpowiedzieć na pytanie, jak wejście w życie Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych wpłynie na sytuację użytkowników Internetu. Obecny stan prawny – możliwości usuwania danych 1. Pierwszym z aktów, które trzeba wziąć pod uwagę, jest dyrektywa unijna w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych z 1995 r. Przewiduje ona możliwość sprostowania, usunięcia lub zablokowania danych, których przetwarzanie jest niezgodne z przepisami dyrektywy. Dyrektywa została implementowana do polskiego porządku prawnego w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych („UODO”). Ustawa przyznaje osobom, których dane dotyczą szereg praw, w tym prawo "żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia". W zawartym w dyrektywie i w UODO prawie żądania usunięcia danych osobowych można doszukiwać się podwalin proponowanego w nowym rozporządzeniu UE prawa do bycia
zapomnianym. Zgodnie z obowiązującą obecnie polską ustawą: a) Każdej osobie przysługuje prawo do kontroli przetwarzania danych, w tym usunięcia danych, które jej dotyczą3. b) UODO przewiduje, że z żądaniem usunięcia danych (lub innymi żądaniami) można wystąpić, gdy dane są "niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane" (art. 32 ust. 1 pkt. 6). Dane będą zebrane z naruszeniem ustawy jeśli nastąpi to bez odpowiedniej podstawy prawnej, czyli np. bez zgody użytkownika4. W tym kontekście uzasadnione jest pytanie, czy można domagać się usunięcia danych w sytuacji zaistnienia każdej z okoliczności, czy tylko w najpoważniejszych przypadkach, tzn. gdy zbieranie danych odbyło się z naruszeniem ustawy albo gdy dane są zbędne do realizacji założonego celu5. c) Obowiązek wykazania, że dane są niekompletne, nieprawdziwe, nieaktualne, zostały zebrane z naruszeniem prawa albo są już zbędne do realizacji celu, dla którego zostały zebrane spoczywa na uprawnionym 3 Zgodnie z literalnym brzemieniem art. 32 UODO, prawo do kontroli danych jest ograniczone do danych znajdujących się w zbiorach danych. Od istnienia zbioru zależy zatem istnienie prawa po stronie podmiotu danych. Jednak w tej sytuacji zakres przedmiotowy prawa żądania usunięcia danych nie pokrywa się z zakresem przedmiotowym ustawy, która odnosi się także do danych, które niekoniecznie są przechowywane w usystematyzowanych zbiorach danych. Jednocześnie, ograniczenia prawa żądania usunięcia danych ze względu na sposób przetwarzania danych poza zbiorem nie odnajdujemy w dyrektywie, którą polska ustawa implementuje (por. Barta J., Fajgielski P., Markiewicz R., Komentarz do artykułu 32 ustawy o ochronie danych osobowych [pkt 19]. Stan prawny 2011.06.01, System Informacji Prawnej Lex) 4 Mamy zatem do czynienia z zamkniętym katalogiem sytuacji, w których zainteresowany może z tego prawa skorzystać. Jeżeli dane nie przejawiają żadnej z wymienionych "wadliwości", nie można domagać się ich usunięcia. Co więcej, nie jest jasne, czy uprawnionemu przysługuje pełna swoboda w zakresie wyboru roszczenia, czy zależy ono od rodzaju "wadliwości". 5por. Barta J., Fajgielski P., Markiewicz R., Komentarz do artykułu 32 ustawy o ochronie danych osobowych [pkt 19]. Stan prawny 2011.06.01, System Informacji Prawnej Lex
(art. 35 UODO). Dopiero w razie wykazania wadliwości, administrator jest obowiązany zachować się w określony w ustawie sposób, czyli na przykład usunąć dane. Jednak i w tym wypadku mogą powstać wątpliwości odnośnie znaczenia terminu "wykazanie" oraz tego, kto ma oceniać, czy wykazanie nastąpiło6. Podsumowując, uprawniony podmiot, którego dane są przetwarzane może obecnie zwrócić się z odpowiednim żądaniem do administratora danych wykazując zaistnienie jednej z wymienionych w ustawie okoliczności. Jeśli administrator żądania nie spełni, uprawnionemu pozostaje zwrócenie się do Głównego Inspektora Danych Osobowych („GIODO”) z wnioskiem o nakazanie dopełnienia tego obowiązku, a potem ewentualnie do sądu. Gdyby omawiana wyżej sprawa Google'a miała miejsce w Polsce, podmiot danych powinien zwrócić się do zarządzającej wyszukiwarką spółki z roszczeniem o usunięcie danych, wykazując jednocześnie wadliwość danych. W praktyce może to rodzić szereg problemów. Po pierwsze należy ustalić, czy polskie przepisy będą miały zastosowanie do firmy, która ma swoją siedzibę poza naszym krajem. Wykazanie wadliwości w przypadku przywołanego kazusu także nie wydaje się łatwe, zważywszy na uznanie przez AEPD treści za legalne. Uznanie spółki Google za administratora danych, do którego można się z takim żądaniem zwrócić, także nie jest oczywiste. Do tego stopnia, że będzie ono przedmiotem orzeczenia TS UE, o które w trybie prejudycjalnym zwróciła się Audiecia Nacional. Trybunał wypowie się między innymi, czy na gruncie obecnej dyrektywy, którą implementuje polska UODO, działalność wyszukwarki Google można uznać za „przetwarzanie danych”. W przypadku wpisu na blogu lub na serwisie społecznościowym użytkownik powinien zwrócić się o usunięcie danych do twórców danego serwisu7. Zgodnie z zaleceniami GIODO w pierwszej kolejności należy jednak poprosić o to użytkownika, który jest autorem danego wpisu.
6Tamże. 7 Por. „GIODO ostrzega przed Facebookiem”: http://prawo.gazetaprawna.pl/artykuly/636207,giodo_ostrzega_przed_facebookiem.html
2. Drugą istotną przedmiotowo dyrektywą jest dyrektywa z dnia 8 czerwca 2000 r. dotycząca niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego na rynku wewnętrznym. Jej przepisy w Polsce implementowano ustawą o świadczeniu usług drogą elektroniczną („UŚUDE”). Art. 14 UŚUDE przewiduje tzw. procedurą „notice and takedown”, która umożliwia uwolnienie się od odpowiedzialności za przechowywane dane usługodawcom, którzy udostępniąją zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę. Przepis ten dotyczy zatem głównie podmiotów świadczących usługi hostingowe (np. cyber lockers takich jak Rapidshare, chomikuj.pl, YouTube czy portale blogowe)8, ale może być także wykorzystany jako narzędzie służące ochronie danych osobowych. Na podstawie art. 14 można żądać od usługodawcy uniemożliwienia dostępu do danych w przypadku „bezprawnego charakteru danych lub związanej z nimi działalności”. Usługodawca, który nie wie o bezprawnym charakterze danych lub działalności, a otrzyma urzędowe zawiadomienie lub wiarygodną wiadomość o bezprawności powinien niezwłocznie uniemożliwić dostęp do danych. Wykasowanie danych zwalnia od odpowiedzialności za przechowywane dane. Zasadniczą przesłanką uzyskania zablokowania dostępu do danych w przypadku UŚUDE jest bezprawność. Należy taką bezprawność zgłosić usługodawcy w urzędowym zawiadomieniu lub wiarygodnej wiadomości. Bezprawność może wynikać z naruszenia różnych przepisów prawnych, niekoniecznie samej UŚUDE9. Kluczową rolę odgrywa reakcja usługodawcy, który może zdecydować, że treści nie usunie i będzie gotowy w ich obronie wejść na drogę sądową. W przypadku wspomnianej sprawy Google, uznanie przez organ ochrony danych
8 Świerczyński M., Komentarz do art. 14 ustawy o świadczeniu usług drogą elektroniczną. Stan prawny na 2009.01.05. System Informacji Prawnej Lex 9Tamże.
osobowych treści dostępnych na źródłowej stronie internetowej za legalne utrudniłoby skorzystanie z UŚUDE, jako że przesłanką usunięcia jest bezprawność. Można by jednak argumentować, że o ile gazeta na której stronie pierwotnie zamieszczono ogłoszenie ma prawo przetwarzać dane użytkownika, takiego prawa pozbawiona jest firma Google. W drugim z opisanych przypadków, w którym mamy do czynienia z publikacją imienia i nazwiska wraz ze zdjęciem na blogu czy serwisie społecznościowym, UŚUDE może okazać się skutecznym narzędziem – skorzystanie z przepisów ustawy wymagałoby od użytkownika zwrócenia się do usługodawcy, czyli portalu umożliwiającego prowadzenie bloga lub do serwisu społecznościowego, z wiarygodną wiadomością o bezprawności przetwarzania danych, czyli w praktyce o fakcie przetwarzania danych bez wymaganej zgody osoby, której dane dotyczą. 3. Ostatnią możliwością z jakiej może obecnie skorzystać osoba w celu ochrony swoich danych są roszczenie z tytułu ochrony dóbr osobistych. Art. 23 Kodeksu cywilnego zawiera otwarty katalog dóbr osobistych, do którego doktryna dodaje między innymi sferę życia prywatnego10. Jako pochodną sfery życia prywatnego niektórzy rekonstruują dobro osobiste w postaci „prawa decydowania o dopuszczalności gromadzenia i udostępniania danych osobowych dotyczących osoby fizycznej (prawo do dysponowania swoimi danymi osobowymi)”11. Na mocy art. 24 „[t]en czyje dobro zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne”. Gdy już dojdzie do naruszenia podmiotowi danych dostępne są roszczenia o dopełnienie czynności w celu usunięcia skutków naruszenia, o zadośćuczynienie pieniężne lub zapłatę odpowiedniej sumy na wskazany cel społeczny, oraz naprawienia zaistniałej szkody majątkowej na zasadach ogólnych. Procesy takie bywają jednak długotrwałe i kosztowne. Podmioty danych poszukujące ochrony prawnej mają zatem do dyspozycji kilka rodzajów roszczeń. W prawie żądania
10 Pazdan M., [w:] Pietrzykowski K. (red.), KC. Komentarz, art. 23 Nb 9, Warszawa 2005, s. 104. 11 Tamże, s. 106.
usunięcia danych lub żądania uniemożliwienia dostępu do danych można upatrywać zalążków prawa do bycia zapomnianym. Co zatem się zmieni po wejściu w życie nowego rozporządzenia UE? Co zyska użytkownik wraz z wprowadzeniem do porządku prawnego prawa do bycie zapomnianym? Proponowane zmiany – prawo do bycia zapomnianym Różnorodność krajowych systemów ochrony danych osobowych przy jednoczesnym rozwoju zdigitalizowanego społeczeństwa i gospodarki wymusiły konieczność podjęcia dalszych działań legislacyjnych w zakresie ochrony danych osobowych. Odpowiedzią na zapotrzebowanie jest projekt rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych)12. Na mocy art. 17 ust. 1 rozporządzenia podmiot danych ma prawo do uzyskania od administratora usunięcia danych osobowych odnoszących się do niego oraz zaprzestania dalszego rozpowszechniania tych danych. W szczególności prawo to dotyczy danych osobowych, które podmiot danych udostępnił jako dziecko. Art. 17 ust. 8 potwierdza zaś, że w przypadku usunięcia danych, administrator nie przetwarza w inny sposób tych danych osobowych. Jest to tzw. prawo do bycia zapomnianym. Zgodnie z nowym projektem, usunięcie i zaprzestanie rozpowszechniania może mieć miejsce, gdy zaistnieje jedna z przesłanek:
• dane nie są już potrzebne do celów, do których były zebrane;
• podmiot danych odwołuje zgodę, na której opiera się przetwarzanie lub minął okres przechowywania, na który wyrażono zgodę oraz jeśli nie ma już podstawy prawnej przetwarzania danych;
• podmiot danych sprzeciwia się przetwarzaniu danych osobowych;
• przetwarzanie danych nie jest zgodne z rozporządzeniem.
12 COM (2012) 11 wersja ostateczna.
W stosunku do obecnych uregulowań polskiej UODO, jest to zdecydowane ułatwienie dla podmiotów danych. Przede wszystkim nowe rozporządzenie uwalnia podmiot danych od obowiązku wykazania wadliwości danych. W przeciwieństwie do obecnych uregulowań ciężar dowodu, że przetwarzanie można kontynuować, spoczywa bowiem na adminitstratorze. Obowiązki administratora w ramach prawa do bycia zapomnianym nie kończą się na usunięciu i zaprzestaniu rozpowszechniania danych. Zgodnie z art. 17 ust. 2 na administratorze ciąży także obowiązek informacyjny, który polega na tym, że jeśli administrator podał dane do wiadomości publicznej13, to jest zobowiązany podjąć „wszelkie uzasadnione kroki” aby poinformować osoby trzecie przetwarzające takie dane, iż podmiot danych wnioskuje o ich usunięcie. Wydaje się, że administrator nie będzie odpowiadał za upublicznienie danych dokonane przez użytkowników, ponieważ w tej sytuacji to nie on podał dane do wiadomości publicznej. Nowe rozporządzenie zapewnia większą ochronę prawną podmiotowi danych, w tym wprowadza możliwość nałożenia przez organ nadzorczy sankcji administracyjnych między innymi za nierespektowania prawa do bycia zapomnianym i do usunięcia danych. Wprowadzenie możliwości nakładania sankcji jest elementem, ktόry powinien przyczynić się do nadania prawu do bycia zapomnianym realnego charakteru i zmotywować opieszałych administratorów do rzetelnego przestrzegania praw użytkowników14.
13 Zgodnie z art. 17 ust. 2 projektu rozporządzenia także „[j]eśli administrator upoważnił osobę trzecią do publikacji danych osobowych, uważa się go za odpowiedzialnego za tę publikację”. 14 Art. 79 ust. 5 lit. c mówi o tym, że „[o]rgan nadzorczy nakłada grzywnę do wysokości 500 000 EUR lub w przypadku przedsiębiorstwa do 1 % jego rocznego światowego obrotu, na każdy podmiot, który umyślnie lub lekkomyślnie: [...] nie respektuje prawa do bycia zapomnianym i do usunięcia danych lub nie wprowadza mechanizmów, aby zapewnić, że terminy są przestrzegane lub nie podejmuje wszelkich właściwych kroków, aby poinformować osoby trzecie, że podmioty danych zażądały wszystkich usunięcia [sic!] linków do danych, lub kopii lub replikacji danych osobowych na podstawie art. 17”.
Wątpliwości wokół proponowanej regulacji prawa do bycia zapomnianym W założeniu nowe przepisy ochrony danych osobowych mają rozwiewać niejasności wynikające z niedostosowania obecnych regulacji do szybkiego postępu technologicznego i tym samym doprowadzić do wzmocnienia ochrony jednostki. Przepisy budzą jednak szereg wątpliwości, których egzemplifikacją mogą być kontrowersje związane z samą koncepcją prawa do bycia zapomnianym. Zakres prawa do bycia zapomnianym Zakres prawa do bycia zapomnianym, a szczególnie będący jego częścią obowiązek informacyjny spoczywający na administratorach danych, o którym mowa w art. 17 ust. 2, jest przedmiotem ożywionej dyskusji. Według krytyków proponowany obowiązek został sformułowany zbyt szeroko i może spowodować nieproporcjonalne obciążenie administratorów danych. Taką możliwość widzi Europejski Inspektor Danych Osobowych (EDPS), który, pozytywnie oceniając propozycję wprowadzenia prawa do bycia zapomnianym, jednocześnie zauważa konieczność sprecyzowania jego zakresu15. Obowiązek informacyjny z art. 17 rozporządzenia dotyczy sytuacji ograniczonej kilkoma przesłankami. Po pierwsze, chodzi o sytuacje, gdy to administrator podał dane osobowe do publicznej wiadomości. A contrario, jeśli to nie on je podał do publicznej wiadomości, wtedy obowiązek taki na nim nie ciąży, chyba że upoważnił osoby trzecie do publikacji tych danych. Po drugie, administrator podejmuje „wszelkie uzasadnione kroki”. Wreszcie, administrator informuje tylko osoby, ktόre przetwarzają dane. EDPS przyznaje, że art. 17 zawiera bardziej
15 Opinion of the European Data Protection Supervisor on the data protection reform package, 7.03.2012, s. 24-‐5. Dostępna na: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-‐03-‐07_EDPS_Reform_package_EN.pdf
realistyczne zobowiązanie starannego działania, a nie zobowiązanie rezultatu. Ponadto, artykuł ten zdaniem EDPS uwzględnia postanowienia art. 13 projektu rozporządzenia, który mówi o tym, że „administrator informuje o wszelkich operacjach poprawienia lub usunięcia dokonanych zgodnie z art. 16 i art. 17 każdego odbiorcę, któremu ujawniono dane, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku”. W artykule podkreślono zatem, że od administratorów nie będzie się żądać niemożliwego. Należy jednak zauważyć, że pojęcie „wszelkie uzasadnione kroki” jest nieostre i będzie podlegało dalszej interpretacji, ktόra może de facto określić zakres obowiązku informacyjnego i prawa do bycia zapomnianym. Nie stanowi wielkiego ułatwienia motyw 54 rozporządzenia, zgodnie z którym „administrator powinien podjąć wszelkie racjonalne kroki”. Podobnie dalszej wykładni będzie podlegać rόwnie niejasny termin „niewspółmiernie duży wysiłek”. W dobie Internetu, gdy dostęp do danych jest coraz łatwiejszy, a kontrola nad ich rozprzestrzenianiem znacznie trudniejsza, pojęcia te nabierają szczególnego znaczenia. Według EDPS, w celu zapewnienia efektywności prawa do bycia zapomnianym, projekt rozporządzenia potrzebuje konkretyzacji. Być może przydatne byłoby także stworzenie swego rodzaju katalogu dobrych praktyk dla administratorów danych w odniesieniu do wykonywania przez nich obowiązku informacyjnego. Grupa Robocza Art. 29, w której skład wchodzą krajowi Inspektorzy Danych Osobowych, również ostrzega, że w projekcie proponowanym przez Komisję Europejską prawo do bycia zapomnianym może nie być w pełni efektywne16. Zobowiązanie do działania na żądanie podmiotu danych i informowania o nim podmiotów trzecich nałożono bowiem jedynie na administratorów. Grupa wskazuje, że poinformowane osoby trzecie nie mają obowiązku działania na żądanie podmiotu danych, w tym dalszego informowania, chyba
16Opinion 01/2012 on the data protection reform proposals, 23.03.2012, s. 13-‐4. Dostępna na: http://ec.europa.eu/justice/data-‐protection/article-‐29/documentation/opinion-‐recommendation/files/2012/wp191_en.pdf
że także są administratorami danych. Wydaje się zatem, że pozycja podmiotów trzecich powinna zostać dokładniej zdefiniowana w projekcie rozporządzenia. Ponadto, jak wskazuje Grupa, nie pozostawiono podmiotom danych możliwości wykonywania prawa do bycia zapomnianym w sytuacjach, gdy administrator przestał istnieć, nie ma z nim kontaktu lub nie sposób go zlokalizować. Zdaniem EDPS i członków Grupy Roboczej Art. 29, wskazane powyżej wątpliwości powinny zostać rozstrzygnięte, jeśli prawo do bycia zapomnianym ma mieć szansę stać się rzeczywistym instrumentem kontroli własnych danych przez jednostki, a jednocześnie nie stanowić nadmiernego ciężaru dla administratorów danych. Akty delegowane Komisji Europejskiej W nowym rozporządzeniu przewidziano liczne upoważnienia ustawowe dla Komisji Europejskiej do uchwalenia tzw. aktów delegowanych. Wprowadzone Traktatem lizbońskim akty delegowane są, zgodnie z art. 290 Traktatu o Funkcjonowaniu Unii Europejskiej („TFUE”), aktami o charakterze nieprawodawczym o zasięgu ogólnym, które uzupełniają lub zmieniają niektóre, inne niż istotne, elementy aktu prawodawczego. W kontekście prawa do bycia zapomnianym, Komisja jest uprawniona do przyjmowania aktów w celu doprecyzowania:
• kryteriów i wymogów stosowania ust. 1 w poszczególnych sektorach oraz w szczególnych sytuacjach przetwarzania danych;
• warunków usuwania linków do danych, kopii lub replikacji danych osobowych z publicznie dostępnych usług łączności, o których mowa w ust. 2;
• kryteriów i warunków ograniczania przetwarzania danych osobowych, o których mowa w ust. 4.
Warto zadać pytanie, czy powyższe kwestie są elementami innymi niż istotne. Ustęp pierwszy art. 17 rozporządzenia dotyczy okoliczności, w których prawo do bycia zapomnianym może w ogóle zaistnieć po stronie podmiotu danych, zaś ustęp drugi obowiązku informacyjnego. Jednym z głównych zarzutów formułowanych pod adresem nowej propozycji legislacyjnej
jest niewystarczająca precyzyjność przepisów rozporządzenia. Pozostawienie Komisji dużego zakresu spraw do uregulowania w aktach delegowanych jest przedmiotem krytyki Grupy Roboczej Art. 29. Zdaniem Grupy istotne elementy regulacji powinny znaleźć się w treści rozporządzenia. Przedstawiciel Komisji Europejskiej, Viviane Reding, zauważyła jednak, że nowe środowisko regulacyjne musi być „przygotowane na przyszłość” i „technologicznie neutralne”17. Ogólne przepisy rozporządzenia mają być uszczegółowione w aktach delegowanych KE. Z jednej strony takie rozwiązanie wydaje się słuszne, ze względu na konieczność dostosowania prawa do szybko zmieniającej się rzeczywistości. Z drugiej, pamiętając o ryzyku zbyt nadgorliwego stosowaniem prawa do bycia zapomnianym w kontekście cyfrowym, należy rozważyć, czy szerokie kompetencje KE w tym zakresie nie powinny budzić zaniepokojenia. Charakter działalności wyszukiwarek internetowych Szereg wątpliwości z zakresu ochrony danych osobowych i prawa do bycia zapomnianym, na co wskazał przywołany hiszpański kazus, dotyczy charakteru działania wyszukiwarek internetowych. Pierwszym kontrowersyjnym aspektem działania wyszukiwarek jest zbieranie danych o użytkownikach oraz polityka prywatności. W tej sprawie na przykład do firmy Google zgłosił się w marcu bieżącego roku francuski urząd ochrony danych osobowych. Urząd chce wiedzieć, jak długo Google będzie przechowywał dane o aktywności użytkowników oraz czy będą one powiązane z rzeczywistą tożsamością danej osoby18. Wątpliwości budzi także podstawowa funkcja wyszukiwarki, tj. dostarczanie treści w postaci listy wyników wyszukiwania, która stanowi istotny element debaty na temat prawa do bycia zapomnianym. Nieodzownym elementem
17 Reding V., Speech/12/26, http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/12/26 18 http://www.cnil.fr/english/news-‐and-‐events/news/article/googles-‐new-‐privacy-‐policy-‐cnil-‐sends-‐a-‐detailed-‐questionnaire-‐to-‐google/
tworzenia listy wyników wyszukiwania jest indeksowanie stron internetowych, czyli kopiowanie ich zawartości przez specjalne aplikacje zwane robotami sieciowymi, w celu ułatwienia użytkownikom znalezienia określonych treści w sieci. W kontekście dyskusji na temat praktycznych konsekwencji obowiązywania prawa do bycia zapomnianym, nasuwa się pytanie czy można żądać usunięcia z wyników wyszukiwania, które pokazują się po wpisaniu imienia i nazwiska, odnośników do niepochlebnych czy też nieaktualnych informacji. We wspomnianej powyżej sprawie Google’a, hiszpański sąd Audiencia Nacional (AN) zgłosił podobne wątpliwości. Pierwsza z nich dotyczy zakresu terytorialnego dyrektywy 95/46/WE, a co za tym idzie, zakresu przepisów hiszpańskich dotyczących ochrony danych osobowych. Sędziowie pytają, czy przepisy wspólnotowe i krajowe w zakresie ochrony danych osobowych mogą zostać zastosowane w tym przypadku, albo czy, tak jak utrzymuje Google, poszkodowani powinni zwracać się do sądów amerykańskiego stanu Kalifornia, gdzie znajduje się siedziba spółki matki grupy. Druga grupa pytań dotyczy działalności wyszukiwarek, jako dostawców treści w stosunku do dyrektywy 95/46/WE. Sąd hiszpański interesuje, czy wyszukiwarki, gdy indeksują informacje, dokonują przetwarzania danych osobowych, a także czy są odpowiedzialne za przetwarzanie i powinny z tego względu przestrzegać prawa do usunięcia danych, mimo że informacja zostaje zachowana w źródłach oryginalnych, ponieważ została uznana za legalną. Trzecia kategoria wątpliwości dotyczy zakresu prawa do usunięcia danych lub sprzeciwu w stosunku do prawa do bycia zapomnianym. Sędziowie pytają, czy należy uznać, że prawa do usunięcia lub zablokowania danych oraz sprzeciwu oznaczają, że zainteresowany może zwracać się do wyszukiwarek w celu uniemożliwienia indeksowania informacji odnoszącej się do jego osoby, opublikowanej na stronach internetowych podmiotów trzecich, powołując się na swoją wolę, aby ta informacja nie była znana internautom, gdy uznaje, że mogłaby ona mu szkodzić lub życzy sobie, by została zapomniana, nawet jeśli dotyczy to informacji opublikowanej legalnie przez podmioty trzecie.
Jeśli chodzi o terytorialny zakres obowiązywania przepisów, nowe rozporządzenie rozwiewa wątpliwości Audiencia Nacional, stanowiąc w art. 3, że rozporządzenie ma zastosowanie do przetwarzania danych osobowych podmiotów danych mających miejsce zamieszkania w Unii przez administratora niemającego siedziby w UE, gdy przetwarzanie wiąże się z oferowaniem towarów lub usług takim podmiotom danych w UE lub monitorowaniem ich zachowania. W zakresie pozostałych pytań należy oczekiwać rozstrzygnięcia TS UE, które pomoże zdefiniować zakres prawa do bycia zapomnianym i ochrony danych osobowych w nowym środowisku regulacyjnym. Warto jednak przywołać opinię nr 1/2008 dotyczącą zagadnień ochrony danych związanych z wyszukiwarkami, opracowaną przez Grupę Roboczą Art. 29. W opinii podkreślono możliwości jakimi dysponują operatorzy wyszukiwarek. Wyszukiwarki pozyskując i porządkując rozproszone informacje dotyczące jednej osoby, są w stanie stworzyć profil danej osoby. W opinii Grupy stanowi to znacznie większe zagrożenie dla podmiotu danych, niż w przypadku, gdyby każdy element danych publikowanych w internecie pozostawał odrębny -‐ “zdolność wyszukiwarek do prezentacji i komasacji danych może mieć istotny wpływ na osoby fizyczne, zarówno w kontekście ich życia osobistego, jak i w kontekście społecznym, szczególnie w przypadkach, gdy dane osobowe udostępniane w wynikach wyszukiwania są niepoprawne, niepełne lub zbyt obszerne.” W związku z tym, Grupa nie ma wątpliwości, że w pewnych sytuacjach operatorów wyszukiwarek należy uznać za administratorów danych, z czego wynikają konkretne obowiązki względem podmiotόw danych. Zaliczenie operatorów wyszukiwarek do kategorii administratorów danych osobowych nie daje jednak odpowiedzi na pytanie czy podmiot danych w każdej sytuacji powinien mieć prawo żądać modyfikowania list wyszukiwania wedle jego uznania, oraz usunięcia odnośników do informacji, którymi nie życzy się dzielić z innymi internautami. Operatorzy wyszukiwarek, a także część ekspertów, sprzeciwia się takim próbom. W ich opinii, modyfikacja list wyszukiwania
ogranicza dostęp do informacji oraz swobodę wypowiedzi. W ekstremalnych przypadkach, biorąc pod uwagę znaczenie, jakie popularne wyszukiwarki internetowe odgrywają dziś w zakresie dostępu do wiedzy, usuwanie wyników z list wyszukiwania może prowadzić do zacierania prawdy historycznej i cenzury. Prawo do bycia zapomnianym jako prawo podstawowe Proponowane unijne regulacje ochrony danych osobowych, w tym dotyczące prawa do bycia zapomnianym, są próbą pełniejszej ochrony praw podstawowych, na których opiera się UE. W kontekście nowej regulacji prawa te, to zebrane w Traktacie o funkcjonowaniu UE, Europejskiej Konwencji Praw Człowieka („EKPCz”) i Karcie Praw Podstawowych („KPP”) prawa do ochrony danych osobowych oraz poszanowania życia rodzinnego i prywatnego. W myśl TFUE każda osoba ma prawo do ochrony danych osobowych, które jej dotyczą19. Zgodnie z EKPCz każdy ma prawo do poszanowania życia prywatnego i rodzinnego, mieszkania i swojej korespondencji20. Postanowienia KPP odwzorowują w zasadzie regulacje konwencyjne dotyczące poszanowania prywatności oraz postanowienia TFUE, precyzując warunki przetwarzania danych. Zgodnie z KPP przetwarzanie musi być dokonywane „rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą”. KPP mówi również o tym, że „każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania”21. Prawo do bycia zapomnianym konkretyzuje wymienione wyżej wartości. Jest to najsilniejszy instrument, w który można wyposażyć podmiot danych -‐ prawo do bycia zapomnianym ma najbardziej radykalny charakter na tle innych dostępnych instytucji, gdyż w założeniu umożliwia całkowitą eliminację informacji o użytkowniku z Internetu.
19 Art. 16 ust. 1. 20 Art. 8. 21 Art. 8 ust. 2
Niektórzy krytycy prawa do bycia zapomnianym argumentują, że może ono prowadzić do prób cenzurowania treści lub ingerencji w historię. Na tę ostatnią możliwość wskazywał także polski GIODO odwołując się do usunięcia przez niemiecką Wikipedię danych zabójców aktora Waltera Sedlmayra22. W tym kontekście warto zauważyć, że prawo do bycia zapomnianym może być rozumiane jako przeniesienie na grunt nowych technologii dużo starszej konstrukcji zatarcia skazania znanej prawu karnemu i poszerzenie jej zastosowania na inne informacje dotyczące podmiotu danych23. Można je także interpretować jako rozszerzenie, wcześniej wyartykułowanego przez Europejski Trybunał Praw Człowieka, obowiązku usuwania z archiwów gazet treści uznanych przez sąd za zniesławiające (sprawa Times v. UK)24. Głosy krytyczne wobec prawa do bycia zapomnianym są zrozumiałe. W świetle orzeczenia TS UE, prawo do ochrony danych osobowych, którego pochodną jest omawiane prawo, „nie stanowi prerogatywy o charakterze absolutnym”25. Jak stwierdza Trybunał, musi ono być rozpatrywane w odniesieniu do roli jaką spełnia w społeczeństwie. Nowe rozporządzenie stara się w jak najpełniejszym wymiarze zapewnić realizację zarówno prawa do prywatności, jak i prawa do informacji i wolności słowa. W tym celu w art. 17 ust. 3 przewidziane są wyłączenia obowiązku usunięcia danych osobowych w następujących przypadkach:
• wykonywania prawa wolności wypowiedzi;
• realizacji interesu publicznego w dziedzinie zdrowia publicznego;
• dokumentacji, statystyki i badań naukowych;
22 Rzeczpospolita z dnia 4.03.2012, http://www.rp.pl/artykul/833086.html. 23 Jeffrey Rosen, The right to be forgotten, Stanford Law Review, http://www.stanfordlawreview.org/online/privacy-‐paradox/right-‐to-‐be-‐forgotten. 24 Times Newspaper Limited przeciwko UK, wyrok ETPCz z dnia 10 marca 2009 r., Skarga nr 3002/03 i 23676/03. 25Trybunał Sprawiedliwości UE, wyrok z dnia 9.11.2010 r., sprawy połączone C-‐92/09 i C-‐93/09 Volker und Markus Schecke oraz Eifert.
• wypełnienia obowiązku administratora wynikającego z przepisów prawa UE lub krajowego i innych.
Ograniczenia prawa do bycia zapomnianym dopuszcza także art. 21 rozporządzenia, który mówi o tym, że UE lub państwo członkowskie może „w drodze środka ustawodawczego, ograniczyć zakres obowiązków i praw przewidzianych w art. 5 lit. a)-‐e), art. 11-‐20 i art. 32, gdy takie ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie” służący osiągnięciu wymienionych w artykule celów. Ponadto, na mocy art. 80 rozporządzenia państwa członkowskie stanowią przepisy przewidujące wyłączenia i odstępstwa miedzy innymi od przepisów rozdziału III dotyczącego praw podmiotów danych, w przypadku przetwarzania danych osobowych wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego, aby pogodzić prawo do ochrony danych osobowych z przepisami o wolności wypowiedzi. Podsumowanie – co dobrego przyniesie nowa regulacja, jakie zagrożenia, rekomendacje Dyrektywa 95/46/WE, jako instrument harmonizacji pośredniej, podlegała implementacji do porządkόw krajowych i pozwoliła na utrzymanie pluralizmu państwowych systemόw ochrony danych, również w odniesieniu do prawa do bycia zapomnianym. Celem przyświecającym obecnym reformom jest chęć ujednolicenia przepisόw o ochronie danych osobowych. Wprowadzenie zmian w rozporządzeniu, ktόre po wejściu w życie będzie bezpośrednio skuteczne, jest krokiem w dobrym kierunku. Umieszczenie w projekcie rozporządzenia regulacji dotyczącej prawa do bycia zapomnianym jest kolejnym krokiem w stronę zapewnienia podmiotom danych skuteczniejszej ochrony prywatności oraz autonomii informacyjnej. Wśrόd pozytywnych zmian uwzględnić należy także możliwość całkowitego usunięcia danych, nałożenia przez organ ochrony danych sankcji na podmioty niestosujące się do zapisόw rozporządzenia, czy też wyjaśnienie kwestii zakresu terytorialnego obowiązywania przepisόw o ochronie danych osobowych, a przede wszystkim rozciągnięcie ich stosowania na
administratorów nie mających siedziby w UE. Wobec przywoływanych powyżej wątpliwości dotyczących regulacji prawa do bycia zapomnianym należy jednak podkreślić zasadność wprowadzenia szeregu rozwiązań prawnych, technicznych oraz społecznych, w tym:
• dokładniejszego określenia w rozporządzeniu zakresu prawa do bycia zapomnianym, w szczególności obowiązkόw osόb trzecich informowanych przez administratorόw o żądaniu usunięcia danych;
• uwzględnienia przepisów pozwalających podmiotom danych egzekwować ich prawo, np. bezpośrednio u osόb trzecich, w sytuacji niemożności zidentyfikowania administratora;
• ułatwienie administratorom wykonywania obowiązku informacyjnego w ramach prawa do bycia zapomnianym poprzez wyjaśnienie nieostrych pojęć, np. „wszelkie uzasadnione kroki” i „niewspόłmiernie duży wysiłek”;
• wypracowanie katalogu dobrych praktyk stanowiącego wyznacznik odpowiedniego zachowania administratorów, którym przyszło funkcjonować w warunkach ciągłego postępu technologicznego i nieustającego rozprzestrzeniania informacji (np. poprzez obowiązek umieszczania przez administatora „terminu wygaśnięcia danych” (expiry date for information) dostosowanego do celόw, dla których dane są przetwarzane, czy też wprowadzenie możliwości domagania się przez podmioty danych umieszczenia znaczników NoIndex/NoArchive przez redaktorów na konkretnych stronach internetowych zawierających dane o żądającym).
Wobec ograniczonej skuteczności rozwiązań prawnych i technicznych chroniących prawo do prywatności danych, należy podkreślić konieczność prowadzenia działań edukacyjnych i uświadamiających wśród społeczeństwa w zakresie zarządzania danymi osobowymi26. Wprowadzane przez państwa 26Opinia Europejskiego Komitetu Ekonomiczno-‐
rozwiązania prawne i techniczne nie będą w stanie odpowiednio zabezpieczyć podmiotu danych, ponieważ zawsze pozostają w tyle za rozwojem technologii. W wielu przypadkach to jednostka ma największy wpływ na bezpieczeństwo swoich danych, podejmując na podstawie dostępnych informacji decyzje o ich ujawnieniu. Państwo, poprzez regulacje, powinno przede wszystkim zapewnić dostęp do informacji niezbędnych do podjęcia decyzji o ich upublicznieniu oraz chronić podmioty w sytuacjach, gdy ich dane zostały ujawnione bez ich zgody.
Joanna Smętek i Zuzanna Warso są prawniczkami w programie „Europa Praw
Człowieka” Helsińskiej Fundacji Praw Człowieka. Projekt jest finansowany ze
środków “Open Society Institute”.
Społecznego z 25.08.2011 w sprawie komunikatu Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komietetu Ekonomiczno-‐Społecznego oraz Komitetu Regionów „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej”, 2011/C248/21, pkt. 3.4.