Prawo do bycia zapomnianym w cyfrowej rzeczywistości. The Matrix has you

Świat wirtualny coraz bardziej wkracza w naszą realną rzeczywistość. Powodowani koniecznością codziennego funkcjonowania w życiu informacyjnego społeczeństwa, ale często po prostu z chęci czy potrzeby bycia częścią wielkiej społeczności cyfrowej, udostępniamy nasze dane osobowe różnym podmiotom, wysyłając je w nieograniczoną cyberprzestrzeń. Począwszy od instytucji państwowych, poprzez wydawców newsletterów, ulubionych dostawców i usługodawców, a skończywszy na podmiotach zaspokajających nasze potrzeby entertaintmentowe. Z dużą swobodą udostępniamy w sieci także nasze prywatne chwile, tagujemy znajomych, a także udostępniamy cudze treści. Może z przymrużeniem oka należy traktować ukute dawno powiedzenie: „Nie istniejesz na Facebooku – nie istniejesz wcale”, ale czy tego chcesz, czy nie – The Martix has you.

Już nie zapomnisz mnie, [Internet] ci nie da zapomnieć…

A sieć – jak wiadomo – nie zapomina. Wyobraźmy sobie, że po wpisaniu w wyszukiwarkę naszego imienia i nazwiska pojawią się informacje co najmniej niewygodne, a wręcz nieprawdziwe.  I dowiadujemy się o tym od rodziny i przyjaciół. Nieważne, czy mamy status powszechnie znanej osoby, bo to przecież nasze dane osobowe, a ich zestawienie „z tym stekiem bzdur” krążącym w sieci stawia nas w kłopotliwym położeniu w oczach naszej małej społeczności.

Poza sporem jest, że w pierwszym polu rażenia znajdują się politycy, celebryci, aktorzy, osobistości ze świata sportu, którzy rokrocznie wnoszą setki żądań o usunięcie przez operatorów wyszukiwarek internetowych wyników wyszukiwań zawierających informacje o sobie czy też linków do swoich zdjęć. W walce o ochronę dobrego imienia w związku z nieograniczonym dostępem do danych osobowych szlak przetarła argentyńska piosenkarka i celebrytka Virginia Da Cunha. W pozwie skierowanym przeciwko Google i Yahoo celebrytka żądała usunięcia ze stron internetowych niektórych treści, uzasadniając, że po wpisaniu w wyszukiwarki jej imienia i nazwiska pojawiają się linki do stron oferujących treści erotyczne. Powyższe odbywało się bez zgody celebrytki, a ponadto, zgodnie z jej twierdzeniem, rujnowało jej karierę modelki, aktorki i osobowości telewizyjnej. Ostatecznie sąd wydał wyrok przychylny dla powódki[1].

W niezręcznej cybersytuacji znalazł się także nikomu nieznany obywatela Hiszpanii, Mario Costeja Gonzalez. Oto przy wprowadzeniu jego imienia i nazwiska do wyszukiwarki Google pojawiał się link do stron katalońskiego dziennika „La Vanguardia” z 1998 roku, na których znajdowało się zawierające jego imię i nazwisko ogłoszenie w przedmiocie licytacji nieruchomości, związanej z zajęciem wynikającym z niespłaconych należności na rzecz zakładu zabezpieczeń społecznych. Pan Gonzalez poczuł się wyjątkowo źle z przypiętą mu łatką zusowskiego dłużnika, dlatego wniósł do hiszpańskiego GIODO skargę przeciwko wydawcy dziennika oraz przeciwko hiszpańskiemu oddziałowi Google, w której domagał się zobowiązania Google Spain (lub Google Inc.) do usunięcia lub ukrycia jego danych osobowych w taki sposób, by nie były one ujawniane w wynikach wyszukiwania i powiązane z linkami do publikacji. Pan Gonzalez podnosił, że dotyczące go zajęcie nieruchomości zostało całkowicie zakończone, kwestia ta została rozwiązana już wiele lat temu i że aktualnie nie ma żadnego znaczenia. Sprawa znalazła finał przed Trybunałem Sprawiedliwości Unii Europejskiej, który 13 maja 2014 r. wydał wyrok (C-131/12), który zrewolucjonizował wirtualną rzeczywistość i miał być początkiem jak najbardziej niewirtualnych problemów Google i operatorów mu pokrewnych. TSUE stanął bowiem na stanowisku, że Google, prowadząc działalność, która polega na lokalizowaniu informacji opublikowanych lub zamieszczonych w Internecie przez osoby trzecie, indeksowaniu ich w sposób automatyczny, czasowym przechowywaniu takich informacji i wreszcie udostępnianiu ich internautom w sposób uporządkowany zgodnie z określonymi preferencjami, przetwarza takie dane w rozumieniu Dyrektywy 95/46 WE. Ponadto Trybunał uznał, że sam Google jest administratorem danych osobowych ze wszelkimi konsekwencjami w zakresie obowiązków zapewnienia zgodności z prawem przetwarzania danych osobowych, wynikających z Dyrektywy[2].

Przełomowy wyrok w sprawie Mario Costeja Gonzaleza przypadł akurat na okres konsultacji RODO. Stał się on inspiracją dla wprowadzonego do treści RODO art. 17 zatytułowanego „Prawo do usunięcia danych („prawo do bycia zapomnianym”)”.

Weź niebieską pigułkę, a historia się skończy […] Weź czerwoną pigułkę, a zostaniesz w krainie czarów […]

Zgodnie z treścią art. 17 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki je usunąć. Obowiązek ten powstaje, gdy dane te nie są już administratorowi niezbędne, została cofnięta zgoda na ich przetwarzanie, osoba, której dane dotyczą wnosi sprzeciw co do ich przetwarzania bądź były one przetwarzane niezgodnie z prawem. Administrator danych musi ponadto zawiadomić innych administratorów, którym dane udostępnił, o tym, że osoba, której dane dotyczą, żąda, aby administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych lub ich replikacje.

Prawo do bycia zapomnianym już na etapie konsultacji RODO budziło skrajne emocje i doczekało się głosów za i głosów kategorycznie przeciwnych. Zwolennicy prawa do prywatności przychylają się do stanowiska TSUE, twierdząc, że prawo to jest gwarantem godności i prywatności jednostki. Każdy powinien mieć prawo do skutecznego dostępu do danych i żądania usunięcia danych, którymi nie chce dzielić się z otoczeniem, ze względu na interes prywatny i ochronę podstawowych praw i wolności. Nie budzą wątpliwości sytuacje oczywiste, w których np. dochodzi do niesłusznego postawienia zarzutów, sprawa zostaje nagłośniona w sieci i multiplikowana na niezliczonej liczbie serwerów, a osoba oskarżona zostaje ostatecznie z tych zarzutów oczyszczona. Z upływem czasu skandal pewnie przycichnie, ale niewygodne informacje o aresztowaniu i wymowne zdjęcia z doprowadzenia aresztanta nadal są możliwe do wyszukania w sieci. Ale nie zawsze sytuacja jest czarno-biała. Przeciwnicy stanowiska Trybunału podnoszą, że dowolne usuwanie rekordów może prowadzić do manipulacji danymi, nieuzasadnionej autocenzury, a co za tym idzie – do ograniczania społeczeństwu informacyjnemu prawa do informacji. Wybiórcze usuwanie historycznych danych przez samych zainteresowanych może prowadzić do nadużyć, szczególnie wtedy, gdy „nieskazitelny” obraz osoby jest przesłanką konieczną do jej udziału w życiu publicznym, w tym zwłaszcza politycznym, sportowym czy dla piastowania funkcji społecznych.

Nie jest oczywiście zaskoczeniem, że wśród najgorętszych krytyków unijnego prawa do bycia zapomnianym znajdują się firmy takie jak Google. Członkowie władz i prawnicy cyfrowego giganta podnoszą, że zagraża ono równowadze pomiędzy prawem do prywatności a prawem o powszechnym dostępie do informacji, którą Google próbuje zachować, analizując prośby o usunięcie danych z sieci. Liczba wniosków kierowanych do Google o usunięcie danych z sieci sięga już 2 milionów. Jedna z takich anonimowych spraw aktualnie rozpatrywana przez Europejski Trybunał Sprawiedliwości dotyczy usunięcia wrażliwych danych takich jak polityczne poglądy oraz informacje o kryminalnej przeszłości. Zdaniem członka władz Google w przypadku pozytywnego rozpatrzenia wniosku przez Trybunał będzie to jawne naruszenie prawa powszechności dostępu do informacji[3].

Nie bez znaczenia wreszcie jest to, że operatorzy przeglądarek takich jak Google czy Yahoo jedynie udostępniają internautom treści, które są publikowane przez niezależne podmioty będące faktycznymi autorami tych treści. Powstaje zatem pytanie, czy Trybunał, przypisując w wyroku C-131/12 operatorom przeglądarek status administratora danych, nie poszedł o krok za daleko?

Welcome to the real life

O ile teoretyczne rozważania na temat równowagi pomiędzy prawami i wolnościami jednostki a prawem ogółu do informacji mogą podsycać konstruktywny spór w przestrzeni naukowej i publicznej, o tyle przedsiębiorcy działający w cyfrowej rzeczywistości muszą już dziś zmierzyć się z praktycznymi problemami wdrożenia instytucji, która – czy tego chcemy, czy nie – została uchwalona.

A praktycznych problemów jest sporo. Poczynając od logistycznych i technologicznych przeszkód w skutecznym usuwaniu danych podmiotu danych, a skończywszy na kosztach wdrożenia technologii, która w ogóle umożliwi prześledzenie wszelkich zasobów przedsiębiorcy w celu odszukania rekordów, plików, linków, replik powiązanych z danymi wnioskodawcy. Ponadto, o ile już dziś największe firmy przetwarzające dane w sieci borykają się z tysiącami wniosków o usunięcie danych w oparciu o wyrok C-131/12, to po wejściu w życie RODO będzie ich kilkakrotnie więcej. I prawdopodobnie będą składane w tym samym czasie. Zatem załatwienie sprawy zainteresowanego podmiotu bez wymaganej przez RODO „zbędnej zwłoki” może okazać się iluzoryczne.

Rozporządzenie nie daje wskazówek proceduralnych ani technicznych w zakresie wdrożenia instytucji prawa do bycia zapomnianym, ani procedury informowania innych administratorów o żądaniu zgłoszonym przez podmiot danych. Uzasadnienie powyższego sprowadza się do potrzeby indywidualnego podejścia przez każdego przedsiębiorcę do wdrożenia RODO w swojej organizacji oraz „skrojenia” mechanizmu wdrożenia i przyjętych rozwiązań „na miarę” odpowiadającą działalności danej firmy. Jednakże brak jakichkolwiek praktycznych wskazówek zdecydowanie nie sprzyja wdrożeniu przedmiotowej instytucji.

Problemem praktycznym jest wreszcie zakres terytorialny prawa do bycia zapomnianym w kontekście oczekiwanego przez podmiot danych skutku, w postaci usunięcia wszelkich linków i replik jego danych osobowych w sieci. Oczywista jest oczekiwana przez zainteresowanych internautów ochrona ich danych także poza Unią Europejską, zwłaszcza w odniesieniu do takich podmiotów jak Facebook czy Google, które tworzą archiwa i kopie zapasowe danych osobowych na serwerach znajdujących się poza granicami Unii. A podkreślenia wymaga fakt, że wyrok TSUE z 2012 r. dotyczył jedynie domen państw członkowskich, a nie domen państw trzecich. Z pomocą zatem wprawnego kolegi informatyka dostęp do danych zarchiwizowanych lub danych z backupu można uzyskać, logując się z domeny kraju spoza Unii.

Z pytaniem prejudycjalnym dotyczącym tego, jak i szeregu innych praktycznych zagadnień odnośnie do faktycznego zasięgu terytorialnego prawa do bycia zapomnianym wystąpił do Europejskiego Trybunału Sprawiedliwości sąd francuski w lipcu 2017 r.[4].

Jak prawo do bycia zapomnianym będzie działać w praktyce, okaże się po 25 maja, ale bez wątpienia będzie ono istotnym środkiem ochrony prywatności, a skuteczność reagowania na żądania na tym prawie oparte powinna być uwzględniana przez przedsiębiorców w toku audytów i podczas wdrożeń RODO w ich organizacjach.

[1] http://law.emory.edu/eilr/content/volume-27/issue-1/recent-developments/argentinas-right-to-be-forgotten.html

[2] Wyrok TSUE z dnia 13 maja 2014 r. w sprawie C-131/12.

[3] https://www.dobreprogramy.pl/Google-prawo-do-bycia-zapomnianym-szkodzi-dostepowi-do-informacji,News,84246.htmldzenie GDPR, prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator.

[4] https://gdpr.pl/blog/2017/07/27/prawo-bycia-zapomnianym-poza-granicami-ue/