Ochrona danych osobowych w firmie i szkolenia ABI
Poważne problemy wyszukiwarek internetowych m.in. Google

Poważne problemy wyszukiwarek internetowych m.in. Google

sad

Google po raz kolejny zostało upomniane i pouczone o prawie do zapomnienia w internecie. Tym razem wytyczne w tym zakresie wydała Grupa Robocza Art. 29 ds. Ochrony Danych- ciało doradcze Parlamentu Europejskiego i Rady Unii Europejskiej.  Temat poruszaliśmy już wcześniej i dotyczył on sprawy wyroku Europejskiego Trybunału Praw Człowieka z dnia 18 września 2014 r. w sprawie nr 21010/10, Brunet przeciwko Francji.

W dniu 13 maja 2014 r. Trybunał Sprawiedliwości UE w trybie art. 267 Traktatu o funkcjonowaniu Unii Europejskiej wydał wyrok w sprawie C-131/12. Zagadnienie prawne zostało przedstawione w ramach sporu, jaki zaistniał pomiędzy Google Spain SL oraz Google Inc. a Agencia Española de Protección de Datos (hiszpańską agencją ochrony danych, zwaną dalej „AEPD”- hiszpański odpowiednik Generalnego Inspektora Ochrony Danych Osobowych) i M. Costeją Gonzálezem w przedmiocie wydanej przez tą agencję decyzji uwzględniającej wniesioną przez M. Costeję Gonzáleza skargę na te dwie spółki i nakazującej Google Inc. przyjęcie środków koniecznych do usunięcia danych osobowych dotyczących M. Costejy Gonzáleza z jej indeksu oraz uniemożliwienie dostępu do tych danych w przyszłości.  Spór w skrócie dotyczył usunięcia lub zmiany odpowiednich stron internetowych w taki sposób, by nie pojawiały się na nich dane osobowe, lub też wykorzystania przez sronę narzędzi udostępnianych przez wyszukiwarki internetowe do ochrony danych osobowych skarżącego. M.Ceostejy Gonzalez domagał się również zobowiązania Google Spain lub Google Inc. do usunięcia lub ukrycia jego danych osobowych w taki sposób, by nie były one ujawniane w wynikach wyszukiwania i powiązane z linkami do publikacji w gazecie La Vanguardia.

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni art. 2 lit. b) i d), art. 4 ust. 1 lit. a) i c), art. 12 lit. b) oraz art. 14 akapit pierwszy lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31), a także art. 8 karty praw podstawowych Unii Europejskiej. O których także już wspominaliśmy.

W odpowiedzi na wniosek Google Spain i Google Inc. wyraziło zdanie, że działalności wyszukiwarek internetowych nie można uznać za przetwarzanie danych pojawiających się na stronach internetowych osób trzecich wyświetlanych w postaci listy wyników wyszukiwania, ponieważ te wyszukiwarki przetwarzają dostępne w Internecie dane jako jedną całość, nie dzieląc ich na dane o charakterze osobowym i pozostałe informacje. Ponadto, nawet przy założeniu, że taką działalność należałoby uznać za „przetwarzanie danych”, nie można uznać operatora wyszukiwarki internetowej za „administratora” odpowiedzialnego za przetwarzanie tych danych, gdyż nie posiada on o nich żadnej wiedzy i nie sprawuje nad nimi kontroli.

W odpowiedzi na to stanowisko p. Mario Costeja González, rządy austriacki, hiszpański, polski i włoski oraz Komisja stwierdzili natomiast, że taka działalność niewątpliwie wiąże się z przetwarzaniem danych w rozumieniu dyrektywy 95/46, które różni się od przetwarzania danych przez wydawców stron internetowych i realizuje zupełnie inne niż ono cele. Operator wyszukiwarki internetowej jest ich zdaniem „administratorem” odpowiedzialnym za przetwarzanie przezeń danych, skoro to on określa cele i sposoby tego przetwarzania. Przytoczono również stanowisko że wyszukiwarki służą jednie jako ogniwo pośrednie, a co za tym idzie nie można uznać przedsiębiorstw będących ich operatorami za „administratorów”, za wyjątkiem sytuacji, w których wyszukiwarki te przechowują dane w podręcznej pamięci buforowej („buffer cache”) przez okres czasu wykraczający poza to, co jest konieczne z technicznego punktu widzenia.

Trybunał stwierdził jednak, że w tym względzie należy wskazać, że zgodnie z art. 2 lit. b) dyrektywy 95/46 „przetwarzanie danych osobowych” („przetwarzanie”) stanowią „wszelkie operacje lub ciąg operacji dokonywany na danych osobowych, przy użyciu lub bez użycia środków automatycznych, takich jak gromadzenie, zapisywanie, porządkowanie, przechowywanie, dostosowywanie lub zmiana, odzyskiwanie, przeglądanie, wykorzystywanie, ujawnianie przez przesyłanie, rozpowszechnianie lub udostępnianie w inny sposób, zestawianie lub łączenie, blokowanie, usuwanie lub niszczenie”. Co potwierdza także wcześniejsze orzecznictwo gdzie już stwierdzono, że „operację polegającą na zamieszczeniu danych osobowych na stronie internetowej należy uznać za takie przetwarzanie [danych osobowych]” w rozumieniu art. 2 lit. b) dyrektywy 95/46 (zob. wyrok Lindqvist, C‑101/01, EU:C:2003:596, pkt 25).

Trybunał scharakteryzował cały proces przetwarzania danych przez operatorów wyszukiwarek. Stwierdził, że operator wyszukiwarki internetowej przeszukując Internet w zautomatyzowany, stały i systematyczny sposób w poszukiwaniu opublikowanych w nim informacji „gromadzi” takie dane „odzyskiwane”, „zapisywane” i „porządkowane” przezeń następnie za pomocą oprogramowania indeksującego, „przechowuje” je na swych serwerach oraz, w odpowiednim przypadku, „ujawnia” i „udostępnia” je swym użytkownikom w postaci listy wyników ich wyszukiwań. Ze względu na to, że te operacje zostały wyraźnie i bezwarunkowo wskazane w art. 2 lit. b) dyrektywy 95/46, należy uznać je za „przetwarzanie” w rozumieniu tego przepisu i bez znaczenia jest przy tym fakt, iż ten operator wyszukiwarki internetowej przeprowadza te same operacje również w odniesieniu do innego rodzaju informacji i nie wprowadza rozróżnienia między nimi a tymi danymi osobowymi.

Co do określenia Administratora danych Trybunał wskazał, że art. 2 lit. d) dyrektywy 95/46 określa administratora jako „osobę fizyczną lub prawną, organ publiczny, agencję lub inny organ, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych”. Zatem to właśnie operator wyszukiwarki internetowej określa cele i sposoby prowadzenia tej działalności, a zatem − przetwarzania przezeń w tych właśnie ramach danych osobowych i, co za tym idzie, powinien on na podstawie tego art. 2 lit. d) zostać uznany za „administratora” przetwarzanych w ten sposób danych. Jednak należy podkreślić, że przetwarzanie danych osobowych, które ma miejsce w ramach działania wyszukiwarki, istotnie różni się od tego dokonywanego przez wydawców stron internetowych i polegającego na zamieszczaniu tych danych na stronie internetowej oraz ma dodatkowy względem niego charakter.

Kontrola przetwarzania danych osobowych

Trybunał rozważył okoliczność polegająca także na tym, że wydawcy stron internetowych mogą wskazać operatorom wyszukiwarek internetowych, w szczególności za pomocą protokołów takich jak „robot.txt” czy też kodów takich jak „noindex” lub „noarchive”, iż życzą sobie, aby określona opublikowana na ich stronie informacja została całkowicie lub częściowo usunięta z automatycznych indeksów wyszukiwarek, nie oznacza, że brak takiego wskazania przez wydawców zwalnia operatora wyszukiwarki internetowej ze spoczywającej na nim odpowiedzialności za dokonywane przezeń w ramach działalności wyszukiwarki przetwarzanie danych osobowych. I jak wynika z powyższego  w przypadku sytuacji wyświetlania na liście wyników uzyskiwanej przez internautę prowadzącego za pomocą Google Search wyszukiwanie mające za punkt wyjścia imię i nazwisko danej osoby linków do archiwalnych stron internetowych dziennika, na których zamieszczone były zawierające imię i nazwisko tej osoby ogłoszenia w przedmiocie licytacji nieruchomości związanej z ich zajęciem wynikającym z niespłaconych należności na rzecz zakładu zabezpieczeń społecznych, należy uznać, że, biorąc pod uwagę znaczenie, jakie mają zawarte w tych ogłoszeniach informacje dla prywatności tej osoby oraz okoliczność, iż zostały one opublikowane ponad 16 lat temu, osoba, której dotyczą dane, ma uzasadnione prawo do tego, aby te informacje nie były już wiązane przez taką listę wyników wyszukiwania z jej imieniem i nazwiskiem. Ze względu zatem na to, że w przedstawionym przypadku nie zachodzą szczególne powody uzasadniające nadrzędny interes kręgu odbiorców polegający na posiadaniu w ramach takiego wyszukiwania dostępu do tych informacji osoba, której dotyczą dane, może na podstawie art. 12 lit. b) oraz art. 14 akapit pierwszy lit. a) dyrektywy 95/46 domagać się usunięcia tych linków z tej listy wyników wyszukiwania. Jak podkreślił Trybunał osoba może, ze względu na przysługujące jej i przewidziane także w art. 7 i 8 karty praw podstawowych, zażądać tego, aby dana informacja nie była już podawana do wiadomości szerokiego kręgu odbiorców poprzez zawarcie jej na takiej liście wyników wyszukiwania, prawa te są co do zasady nadrzędne nie tylko wobec interesu gospodarczego operatora wyszukiwarki internetowej, lecz również wobec interesu, jaki może mieć ten krąg odbiorców w znalezieniu tej informacji w ramach wyszukiwania prowadzonego w przedmiocie imienia i nazwiska tej osoby.

Google wobec tak przedstawionego stanowiska udostępniło formularz do składania wniosków o usuwanie linków. Dotyczyło to jednak tylko europejskich wersji wyszukiwarek. W wersji amerykańskiej, umieszczonej pod domeną Google.com, wciąż można odnaleźć usunięte odnośniki. Wytyczne Grupy Roboczej Art. 29 ds. Ochrony Danych oznaczają, że unijni inspektorzy ds. ochrony danych osobowych uważają podjęte przez koncern środki za niewystarczające. W dalszej konsekwencji grozi to Google podejmowanie wielu postępowań w przedmiocie usuwania odnośników z innych niż europejskie wersji wyszukiwarki.

W związku z wyrokiem, organy ochrony danych państw Unii Europejskiej w dniu 25 lipca 2014 r. spotkały się  z przedstawicielami Google, Microsoft oraz Yahoo!. Celem spotkania było zapytanie operatorów wyszukiwarek o kwestię wdrożenia przez nich wyroku w praktyce oraz zapewnienie wkładu do przyszłych wytycznych GR Art. 29.

Podczas 97 posiedzenia plenarnego w ramach Grupy Roboczej Artykułu 29 Europejskie organy ochrony danych postanowiły stworzyć wspólne ‘narzędzia’ (tzw. tool-box) w celu zapewnienia skoordynowanego podejścia do rozpatrywania skarg składanych w wyniku odmowy operatorów wyszukiwarek usunięcia linków do informacji dotyczących skarżących z list wyników wyszukiwania.

Jak można zauważyć w wytycznych w praktyce przedstawione stanowisko Grupy oznacza, że właściwe ich zastosowanie stworzy gwarancję skutecznej ochrony danych osobowych i zapobiegnie obchodzeniu prawa europejskiego m.in. przez Google, Microsoft czy Yahoo!. Odnosi się to głównie do faktu problemu skuteczności zasad prawa UE i jego stosowania w aspekcie przedstawionym powyżej oraz w odniesieniu do domen oznaczonych .com.

Wytyczne oznaczają obowiązek istotnej poprawy dbałości o ochronę danych osobowych przez operatorów wszystkich wyszukiwarek internetowych,a  w szczególności dotyczy to największego z nich czyli Google.

Więcej:

– Wyrok Trybunału z dnia 13 maja 2014 r. w sprawie C-131/12

Gazeta Prawna

Oświadczenie prasowe Grupy Roboczej art. 29 ds. ochrony danych z dnia 25 lipca 2014 r.

Oświadczenie prasowe Grupy Roboczej art. 29 ds. ochrony danych z dnia 18 września 2014 r.

Wytyczne w sprawie implementacji wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 13 maja 2014 r. w sprawie C -131/12 z dnia 26 listopada 2014 r. (wersja angielska)

Marcin Kaleta

Prezes Zarządu