Przez lata nasze dane osobowe trafiły do niezliczonej ilości baz danych, w większości przypadków nawet nie mieliśmy świadomości, kto i do jakich celów je wykorzystywał. Sytuacja zmieniła się kiedy w życie weszło RODO.
Wraz z rozwojem usług internetowych ludzka aktywność w sieci stała się znacznie bardziej intensywna, niż jeszcze kilka lat temu. Na początku funkcjonowania internetu użytkownicy korzystali głównie ze stron i portali informacyjnych oraz rozrywkowych, by w kolejnych latach przenieść do sieci znaczną część swoich działań życiowych – robić zakupy, realizować płatności, korzystać z portali społecznościowych, czy usług oferowanych przez urzędy i organy publiczne. W efekcie, strony internetowe zaczęły zbierać mnóstwo informacji na nasz temat – dotyczących upodobań, preferencji, nawyków zakupowych, zainteresowań, miejsca pobytu, nawiązanych znajomości, a następnie profilować je m.in. pod kątem dostarczania nam dedykowanych usług i treści, w tym reklam. Poza tym, przez lata nasze dane osobowe trafiły do niezliczonej ilości baz danych, w większości przypadków nawet nie mieliśmy świadomości, kto i do jakich celów je wykorzystywał. Sytuacja zmieniła się w dniu 25 maja 2018 roku, kiedy w życie weszło Ogólne Rozporządzenie o Ochronie Danych (RODO), a wraz z nim nasze skrzynki mailowe zapełniły się dziesiątkami, jeśli nie setkami maili od podmiotów przetwarzających nasze dane osobowe.
Jeszcze mniejszą kontrolę mieliśmy nad informacjami na nasz temat zamieszczonymi w sieci. Tym bardziej, że internet nie zapomina i wszystko co do niego trafia, w ciągu chwil może zostać skopiowane przez kolejnych użytkowników oraz roboty wyszukujące różnego rodzaju treści. Zatem każda informacja, która choć na chwilę znajdzie się w sieci zaczyna żyć swoim życiem, zupełnie poza kontrolą osoby publikującej. Powstają kolejne kopie materiału, a następnie kopie ich kopii. Co zatem zrobić, jeśli uznamy, że nie chcemy już, by informacje w sieci na nasz temat nadal były dostępne dla ogółu internautów? Czy można w sposób trwały usunąć wpisy na swój temat w sieci? Z pewnością nie jest to proste, choć dziś i tak dużo łatwiejsze, niż przed wyrokiem wydanym przez Trybunał Sprawiedliwości w 2014 roku oraz wejściem w życie RODO w roku 2018.
Prawo do bycia zapomnianym w orzeczeniu Trybunału Sprawiedliwości Unii Europejskiej z 2014 roku w sprawie Google Spain – Mario Sosteja Gonzáles
Przez wiele lat funkcjonowania internetu usunięcie z niego danych było praktycznie niemożliwe, nie istniały bowiem regulacje prawne, które dawałyby uprawnienia osobom, których dane dotyczą do żądania usunięcia wpisów od właścicieli serwisów oraz narzędzi prawnych do egzekwowania takich uprawnień. W związku z tym Google skutecznie odmawiało usuwania wpisów, bądź zupełnie ignorowało wszelkie żądania wykasowania określonych treści.
Sytuacja zmieniła się nieco 13 maja 2014 roku, kiedy to Trybunał Sprawiedliwości Unii Europejskiej uznał w orzeczeniu wydanym w sprawie C – 131/12 (Google Spain przeciwko Mario Sosteja Gonzáles), że każdy ma prawo do bycia zapomnianym. Trybunał przyznał tym samym prawo do żądania od operatora internetowego usunięcia linku z listy wyników wyszukiwania, do którego prowadzi fraza kluczowa w postaci imienia i nazwiska. W przypadku braku reakcji ze strony operatora, osoba której dane dotyczą może wystąpić do organu nadzorczego (organu odpowiedzialnego w danym kraju za kwestie bezpieczeństwa danych osobowych), bądź sądu, by ten nakazał usunięcie linku.
Sukces Hiszpana był jednak połowiczny, ponieważ choć wygrał proces i Google musiało usunąć link, to paradoksalnie jego dane osobowe poznał cały świat. Do dziś po wpisaniu nazwiska powoda, w internecie można znaleźć mnóstwo informacji na temat procesu oraz wyroku. Wygrana miała zatem znaczenie symboliczne, pokazała, że osoba fizyczna może wygrać z gigantem oraz wyznaczyła nowe kierunki w zakresie ochrony danych osobowych w internecie.
Sprawa zaczęła się zaś od tego, że kilkanaście lat przed wyrokiem Hiszpan popadł w długi, w efekcie czego jego nieruchomość został zlicytowana. Mimo, że od tego zdarzania minęła ponad dekada, informacja o nim nadal była dostępna w wyszukiwarce Google po wpisaniu imienia i nazwiska powoda. Sąd uznał, iż sytuacja taka negatywnie wpływa na jego wizerunek i przyznał prawo do usunięcia linku, czyli bycia zapomnianym.
Ograniczony zakres prawa do bycia zapomnianym
Trybunał stwierdził w swym wyroku, iż operatorów wyszukiwarek przetwarzających dane osobowe uznać należy za administratorów danych w rozumieniu artykułu 2 dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Poza tym zgodnie z wyrokiem, prawa osoby, której dane dotyczą, są co do zasady nadrzędne wobec interesu gospodarczego wyszukiwarki oraz interesu użytkowników internetu w zakresie posiadania dostępu do danych osobowych za pośrednictwem wyszukiwarki. Jednakże przy ocenie tej równowagi należy brać także pod uwagę interes ogółu społeczeństwa w zakresie prawa dostępu do informacji. W związku z tym, może się zdarzyć tak, że przy rozstrzygnięciach w sprawach usunięcia danych z listy wyników wyszukiwania organ nadzorczy uzna, iż interes społeczeństwa będzie nadrzędny wobec osób, których dane dotyczą i nie zezwoli na usunięcie danych.
Poza tym, zgodnie z wyrokiem Trybunału, administrator ma obowiązek usunięcia wyłącznie linku do którego prowadzi zapytanie sformułowane przy użyciu imienia i nazwiska osoby. W efekcie pierwotne informacje nadal mogą być wyświetlane przy użyciu innych słów kluczowych wyszukiwania, bądź poprzez wpisanie bezpośredniego adresu strony zawierającej wpis obejmujący dane osobowe, np. jeśli na zapytanie „Jan Kowalski” pojawi się link prowadzący do publikacji dotyczącej Jana Kowalskiego, osoba może uzyskać nakaz usunięcia linku. Jednakże sąd, bądź organ nie nakażą usunięcia samej publikacji, do której można trafić przy użyciu innych słów zawartych w tekście, bądź przez wpisanie bezpośredniego adresu artykułu. Orzeczenie ETS dotyczyło zatem wyłącznie sytuacji, kiedy wyszukiwaną frazę stanowiło czyjeś imię i nazwisko.
Prawo do bycia zapomnianym w internecie
Prawo do usunięcia danych, czyli prawo do bycia zapomnianym w RODO
Kwestię prawa do bycia zapomnianym na szeroką skalę uregulowało dopiero RODO, które w art. 17 przyznaje uprawnienie osobie, której dane dotyczą, do żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych. Jednocześnie administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, pod warunkiem występowania jednej z następujących okoliczności:
- Dane osobowe nie są już niezbędne do celów, w których zostały zebrane
- Osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania.
- Osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania.
- Dane osobowe były przetwarzane niezgodnie z prawem.
- Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.
- Dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego osobom poniżej 16 roku życia (np. serwisy społecznościowe).
Jeśli administrator przetwarza dane we własnych zasobach, to ich usunięcie nie powinno być trudne. Jednakże jeśli administrator upublicznił dane osobowe, a więc np. zostały one zamieszczone w internecie, a ma on obowiązek usunąć te dane osobowe, to musi poinformować również innych administratorów przetwarzających te dane, że osoba, której dane dotyczą żąda, by oni również usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje. Spełnienie tego obowiązku przez pierwotnego administratora realizowane jest poprzez podjęcie „rozsądnych działań”, z uwzględnieniem dostępnych technologii oraz kosztów operacji usunięcia danych. Samo rozporządzenie zakłada zatem, że administrator zobowiązany jest do wyegzekwowania od innych przetwarzających, usunięcie danych, jeśli operacja będzie możliwa do zrealizowania pod kątem technologicznym oraz nie będzie związana z nadmiernymi kosztami.
Wyłączenia prawa do bycia zapomnianym
Niemniej jednak RODO przewiduje również przypadki, w których uprawnienie do żądanie usunięcia danych przez osobę, której dotyczą jest wyłączone. Prawo do bycia zapomnianym nie ma zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
- Do korzystania z prawa do wolności wypowiedzi i informacji.
- Do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
- Z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego.
- Do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że skorzystanie z prawa do bycia zapomnianym uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania.
- Do ustalenia, dochodzenia lub obrony roszczeń.
Jak widać RODO nadaje stosunkowo szerokie uprawnienia osobom, które nie chcą, by ich dane osobowe nadal były przetwarzane przez wybranych administratorów. Niemniej jednak rozporządzenie przyznaje prawo do usunięcia danych w sposób rozsądny, nie ma ono bowiem charakteru bezwzględnego – RODO definiuje okoliczności nadrzędne nad prawem do bycia zapomnianym, związane z interesem publicznym, społecznym, bądź interesem innych podmiotów.
1 komentarz
RODO, RODO, a zauważam, że o ile zaraz po wejściu ustawy w życie była ona aż nadinterpretowana w wielu przypadkach, tak z miesiąca na miesiąc wszystko w coraz większym stopniu wraca do poprzedniego stanu czy to w przychodniach, czy urzędach czy sklepach. 😉