OPINIA RZECZNIKA GENERALNEGO
NIILA JÄÄSKINENA
przedstawiona w dniu 25 czerwca 2013 r.(1)
Sprawa C‑131/12
Google Spain SL
Google Inc.
przeciwko
Agencia Española de Protección de Datos (AEPD)
Mario Costeja González
[wniosek o wydanie orzeczenia w trybie prejudycjalnym
złożony przez Audiencia Nacional (Hiszpania)]
World Wide Web – Dane osobowe – Wyszukiwarka internetowa – Dyrektywa 95/46 w sprawie ochrony danych osobowych – Wykładnia art. 2 lit. b) i d), art. 4 ust. 1 lit. a) i c), art. 12 lit. b) i art. 14 lit. a) – Terytorialny zakres stosowania – Pojęcie prowadzenia działalności gospodarczej na terenie państwa członkowskiego – Przedmiotowy zakres stosowania – Pojęcie przetwarzania danych osobowych – Pojęcie administratora przetwarzania danych osobowych – Prawo do usunięcia i zablokowania danych – „Prawo do bycia zapomnianym” – Karta praw podstawowych Unii Europejskiej – Artykuły 7, 8, 11 i 16
I – Wprowadzenie
1. W 1890 r. w zamieszczonym w Harvard Law Review przełomowym artykule zatytułowanym „Prawo do prywatności”(2) Samuel D. Warren i Louis D. Brandeis ubolewali, że „najnowsze wynalazki i metody prowadzenia działalności gospodarczej” takie jak „błyskawiczne fotografie i branża gazet codziennych wtargnęły na uświęcony teren życia prywatnego i domowego”. W tym samym artykule odnieśli się do „następnego kroku, który należy powziąć celem ochrony osób”.
2. Obecnie ochrona danych osobowych oraz prywatności jednostek nabiera coraz większego znaczenia. Wszelkie treści, w tym dane osobowe, czy to w formie tekstów, czy też materiałów audiowizualnych, mogą być natychmiast i stale udostępniane w formacie cyfrowym na całym świecie. Internet zrewolucjonizował nasze życie poprzez usunięcie barier technicznych i instytucjonalnych w rozpowszechnianiu oraz odbiorze informacji, jak również stworzył platformę dla różnych usług społeczeństwa informacyjnego. Sytuacja ta przynosi korzyści konsumentom, przedsiębiorstwom i społeczeństwu w ogólności. Jej skutkiem jest powstanie bezprecedensowych okoliczności, w których należy zachować równowagę pomiędzy różnymi prawami podstawowymi, takimi jak wolność wypowiedzi, wolność informacji oraz wolność prowadzenia działalności gospodarczej z jednej strony, a ochroną danych osobowych oraz prywatności jednostek z drugiej strony.
3. W kontekście Internetu należy rozróżnić trzy sytuacje, które odnoszą się do danych osobowych. Pierwszą z nich jest opublikowanie elementów danych osobowych na jakiejkolwiek stronie WWW w Internecie(3) (zwanej dalej „źródłową stroną internetową”)(4). Drugą stanowi przypadek, w którym wyszukiwarka internetowa przedstawia wyniki wyszukiwania, które kierują użytkownika Internetu do źródłowej strony internetowej. Trzecie, bardziej niewidoczne działanie ma miejsce, gdy użytkownik Internetu dokonuje przeszukiwania za pomocą wyszukiwarki internetowej, a niektóre z jego danych osobowych takie jak adres IP, z którego dokonywane jest przeszukiwanie, są automatycznie przenoszone do dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej(5).
4. Jeśli chodzi o sytuację pierwszą, Trybunał orzekł już w wyroku w sprawie Lindqvist, że dyrektywa 95/46/WE(6) (zwana dalej „dyrektywą w sprawie ochrony danych” lub „dyrektywą”) znajduje zastosowanie do niniejszej sytuacji. Sytuacja trzecia nie dotyczy niniejszego postępowania, przy czym toczą się postępowania administracyjne wszczęte przez krajowe organy ochrony danych celem wyjaśnienia zakresu zastosowania uregulowań UE w zakresie ochrony danych wobec użytkowników wyszukiwarek internetowych(7).
5. Wniosek o wydanie orzeczenia w trybie prejudycjalnym w niniejszej sprawie dotyczy sytuacji drugiej. Złożony został przez Audiencia Nacional (sąd najwyższy Hiszpanii) w trakcie postępowania pomiędzy Google Spain SL i Google Inc. (zwanymi dalej odrębnie bądź łącznie „Google”) z jednej strony a Agencia Española de Protección de Datos (hiszpańskim organem ds. ochrony danych, zwanym dalej „AEPD”) i Mariem Costeją Gonzálezem (zwanym dalej „osobą, której dane dotyczą”) z drugiej strony. Postępowanie dotyczy stosowania dyrektywy w sprawie ochrony danych do wyszukiwarki internetowej obsługiwanej przez Google, jako dostawcę usług. W postępowaniu głównym bezsporne jest, że dane osobowe osoby, której dane dotyczą, zostały opublikowane przez hiszpańską gazetę w jej dwóch wydaniach wydrukowanych w 1998 r., przy czym oba z nich zostały ponownie opublikowane w późniejszym czasie w wersji elektronicznej udostępnionej w Internecie. Osoba, której dane dotyczą obecnie, sądzi, że informacje te nie powinny być już wyświetlane w wynikach wyszukiwania przedstawianych przez wyszukiwarkę internetową obsługiwaną przez Google, gdy wyszukiwanie wykorzystuje jego imię i nazwiska.
6. Pytania przedłożone Trybunałowi dzielą się na trzy kategorie(8). Pierwsza grupa pytań dotyczy terytorialnego zakresu stosowania unijnych uregulowań dotyczących ochrony danych. Druga grupa dotyczy zagadnień odnoszących się do statusu prawnego dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej(9) w świetle dyrektywy, w szczególności jeśli chodzi o przedmiotowy zakres stosowania. Wreszcie pytanie trzecie dotyczy tzw. prawa do bycia zapomnianym oraz zagadnienia, czy osoby, których dane dotyczą, mogą domagać się, aby niektóre czy też wszystkie wyniki wyszukiwania ich dotyczące przestały być dostępne poprzez wyszukiwarkę. Wszystkie te pytania, które również podnoszą istotne zagadnienia dotyczące ochrony praw podstawowych, są nowe dla Trybunału.
7. Wydaje się, że jest to pierwsza sprawa, w której wystąpiono do Trybunału o wykładnię dyrektywy w sprawie ochrony danych w kontekście wyszukiwarek internetowych. Zagadnienie to w widoczny sposób jest aktualne dla organów ochrony danych osobowych oraz sądów państw członkowskich. Sąd odsyłający wskazał bowiem, że toczy się przed nim kilka innych zbliżonych spraw.
8. Najważniejszą dotychczas sprawą rozpatrywaną przez Trybunał, w której podniesione zostały zagadnienia ochrony danych oraz Internetu, była sprawa Lindqvist(10). Niemniej jednak sprawa ta nie dotyczyła wyszukiwarek internetowych. Wykładnia samej dyrektywy dokonywana była w szeregu spraw, spośród których szczególne znaczenie mają Österreichischer Rundfunk(11), Satakunnan Markkinapörssi i Satamedia(12) oraz Volker und Markus Schecke i Eifert(13). Rola wyszukiwarek internetowych odnośnie do praw własności intelektualnej oraz właściwości sądów była również poruszana w orzecznictwie Trybunału w sprawach Google France i Google, L’Oréal i in., Interflora i Interflora British Unit, jak również Wintersteiger(14).
9. Już po przyjęciu dyrektywy w sprawie ochrony danych osobowych przepis dotyczący ochrony danych osobowych został włączony do art. 16 TFUE i art. 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”). Co więcej, w 2012 r. Komisja złożyła wniosek dotyczący ogólnego rozporządzenia w sprawie ochrony danych osobowych(15) celem zastąpienia dyrektywy. Niemniej jednak spór musi zostać rozstrzygnięty na podstawie prawa istniejącego.
10. Na wniosek o wydanie w niniejszej sprawie orzeczenia w trybie prejudycjalnym wpływa okoliczność, że wniosek dotyczący dyrektywy Komisji został złożony w 1990 r., kiedy to Internet w dzisiejszym znaczeniu światowej sieci Word Wide Web nie istniał i nie było żadnych wyszukiwarek. Moment przyjęcia dyrektywy w 1995 r. przypadał na początki Internetu, kiedy to zaczęły się pojawiać pierwsze podstawowe wyszukiwarki, jednakże nikt nie mógł przewidzieć, jak bardzo zrewolucjonizuje to świat. Obecnie niemal każdą osobę dysponującą smartfonem lub komputerem można uznać za zaangażowaną w działalność internetową, do której dyrektywa w sprawie ochrony danych mogłaby potencjalnie znajdować zastosowanie.
II – Ramy prawne
A – Dyrektywa w sprawie ochrony danych
11. Zgodnie z art. 1 dyrektywy 95/46/WE wymaga ona, aby państwa członkowskie chroniły podstawowe prawa i wolności osób fizycznych, w szczególności ich prawa do prywatności w odniesieniu do przetwarzania danych osobowych z przepisami dyrektywy.
12. Artykuł 2 definiuje między innymi pojęcia: „dane osobowe” i „osoba, której dane dotyczą”, „przetwarzanie danych osobowych”, „administrator” przetwarzania danych osobowych oraz „osoba trzecia”.
13. Zgodnie z art. 3 dyrektywa stosuje się do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz w niektórych sytuacjach do przetwarzania innego niż w sposób zautomatyzowany.
14. Zgodnie z art. 4 ust. 1 dyrektywy państwo członkowskie stosuje w odniesieniu do przetwarzania danych osobowych przepisy prawa krajowego przyjmowane na mocy dyrektywy wówczas, gdy administrator danych prowadzi działalność na jego terytorium lub w przypadkach, gdy administrator danych nie prowadzi działalności gospodarczej na terytorium Unii, jeśli do celów przetwarzania danych osobowych wykorzystuje środki znajdujące się na terytorium wymienionego państwa członkowskiego.
15. Artykuł 12 dyrektywy stanowi, że osobom, których dane dotyczą, przysługuje „prawo dostępu” do danych osobowych przetwarzanych przez administratora, natomiast na podstawie art. 14 „prawo sprzeciwu” do przetwarzania danych osobowych w niektórych sytuacjach.
16. Artykuł 29 dyrektywy ustanawia działającą w sposób niezależny grupę roboczą o charakterze doradczym, w której skład wchodzą między innymi przedstawiciele organów nadzorczych powołanych przez każde państwo członkowskie (zwaną dalej „Grupą Roboczą Artykułu 29”).
B – Prawo krajowe
17. Ley Orgánica 15/1999 de Protección de Datos (ustawa organiczna 15/1999 w sprawie ochrony danych osobowych) dokonała transpozycji dyrektywy do prawa hiszpańskiego(16).
III – Okoliczności faktyczne oraz pytania prejudycjalne
18. Na początku 1998 r. gazeta szeroko rozpowszechniana w Hiszpanii opublikowała w swoim wydaniu drukowanym dwa komunikaty dotyczące licytacji nieruchomości w związku z ich zajęciem wynikającym z niespłaconych należności na rzecz zakładu ubezpieczeń społecznych. Osoba, której dane dotyczą, wymieniona była jako właściciel. W późniejszym terminie wydawca udostępnił elektroniczną wersję gazety w Internecie.
19. W listopadzie 2009 r. osoba, której dane dotyczą, skontaktowała się z wydawcą gazety, twierdząc, że po wpisaniu jej imienia i nazwisk do wyszukiwarki Google ukazywało się odwołanie do stron gazety z ogłoszeniami dotyczącymi licytacji nieruchomości. Twierdziła ona, że zajęcie nieruchomości w związku z niespłaceniem należności na rzecz zakładu ubezpieczeń społecznych zostało zakończone i zamknięte wiele lat temu i nie przedstawiało żadnego znaczenia dla teraźniejszości. Wydawca udzielił odpowiedzi, zgodnie z którą usunięcie danych nie jest właściwe, biorąc pod uwagę fakt, że publikacja została zrealizowana na podstawie zarządzenia ministerstwa pracy i polityki społecznej.
20. W lutym 2010 r. osoba, której dane dotyczą, zwróciła się do Google Spain z żądaniem, by wyniki wyszukiwania nie wskazywały żadnych linków do gazety po wpisaniu jej imienia i nazwisk do wyszukiwarki Google. Wniosek ten został przekazany przez Google Spain do Google Inc. (zwanego dalej „Google”), mającego siedzibę w Kalifornii (Stany Zjednoczone), w oparciu o okoliczność, iż to właśnie to ostatnie przedsiębiorstwo świadczy usługę wyszukiwania w Internecie.
21. Następnie osoba, której dane dotyczą, złożyła skargę do AEPD, wnosząc o to, by wydawca został zobowiązany do usunięcia lub zmiany publikacji w taki sposób, by nie pojawiały się jej dane osobowe lub też, by wykorzystał narzędzia udostępniane przez wyszukiwarki internetowe do ochrony jej danych osobowych. Domagała się również zobowiązania Google Spain lub Google Inc. do usunięcia lub ukrycia jej danych osobowych w taki sposób, by nie były one ujawniane w wynikach wyszukiwania i powiązane z linkami do publikacji w gazecie.
22. Decyzją z dnia 30 lipca 2010 r. dyrektor AEPD przychylił się do skargi wniesionej przez osobę, której dane dotyczą przeciwko Google Spain i Google Inc., zobowiązując te podmioty do przyjęcia środków niezbędnych do usunięcia danych osobowych z ich indeksów wyszukiwania i uniemożliwienia dostępu do tych danych w przyszłości. Wspomniany organ oddalił jednakże skargę przeciwko wydawcy ze względu na okoliczność, że publikacja danych w prasie była prawnie uzasadniona. Google Spain i Google Inc. wniosły dwa odwołania od tej decyzji do sądu odsyłającego, żądając uchylenia decyzji AEPD.
23. Sąd odsyłający zawiesił postępowanie i zwrócił się do Trybunału Sprawiedliwości z następującymi pytaniami prejudycjalnymi:
„1) Co się tyczy terytorialnego zakresu stosowania [dyrektywy] i w konsekwencji hiszpańskiego ustawodawstwa ochrony danych osobowych:
1.1. Czy należy uznać, iż ma miejsce »działalność gospodarcza« w rozumieniu art. 4 ust. 1 lit. a) [dyrektywy], gdy zachodzi jeden lub kilka z następujących przypadków:
– gdy przedsiębiorstwo będące dostawcą wyszukiwania ustanawia w danym państwie członkowskim biuro lub oddział [oddział lub spółkę zależną], których celem jest promocja i sprzedaż powierzchni reklamowych w wyszukiwarce, której działalność jest skierowana do osób zamieszkujących to państwo,
lub
– gdy spółka dominująca wyznacza oddział znajdujący [spółkę zależną znajdującą] się w tym państwie członkowskim jako swojego przedstawiciela i jednocześnie jako administratora danych odpowiedzialnego za przetwarzanie dwóch określonych zbiorów, które wykazują związek z danymi klientów, którzy zamówili usługi reklamowe w rzeczonym przedsiębiorstwie,
lub
– gdy biuro lub oddział [oddział lub spółka zależna] ustanowione w danym państwie członkowskim przekazują swojej spółce dominującej znajdującej się poza Unią Europejską wnioski i żądania kierowane do niej zarówno przez osoby, których dane dotyczą, jak i przez właściwe organy w związku z przestrzeganiem prawa do ochrony danych osobowych, nawet jeśli taka współpraca jest dobrowolna?
1.2. Czy art. 4 ust. 1 lit. c) [dyrektywy] należy interpretować w ten sposób, że »wykorzyst[anie] środk[ów] znajdując[ych] się na terytorium wymienionego państwa członkowskiego« następuje w sytuacji:
– gdy wyszukiwarka korzysta z robotów internetowych lub tzw. pająków, by zlokalizować i zindeksować treści stron internetowych umieszczonych na serwerach znajdujących w tym państwie członkowskim,
lub
– gdy wyszukiwarka posługuje się nazwą domeny przypisaną do danego państwa członkowskiego i porządkuje wyszukiwanie i wyniki z uwzględnieniem języka tego państwa członkowskiego?
1.3. Czy można uznać za wykorzystanie środków w rozumieniu art. 4 ust. 1 lit. c) [dyrektywy] czasowe przechowywanie informacji zindeksowanych przez wyszukiwarki internetowe? Jeżeli odpowiedź na to ostatnie pytanie będzie twierdząca, czy można uznać, iż ten łącznik występuje, gdy przedsiębiorstwo odmawia wskazania miejsca przechowywania tych indeksów, powołując się na względy konkurencyjności?
1.4. Niezależnie od odpowiedzi na wcześniejsze pytania i w szczególności w przypadku, gdyby [Trybunał] uznał, że nie występują łączniki przewidziane w art. 4 dyrektywy:
Czy należy stosować [dyrektywę] z uwzględnieniem art. 8 [karty], w tym państwie członkowskim, w którym mieści się punkt ciężkości konfliktu, tak by umożliwić bardziej skuteczną ochronę praw obywateli Unii Europejskiej?
2) Co się tyczy działalności wyszukiwarek internetowych jako dostawców treści w odniesieniu do [dyrektywy]:
2.1. W związku z działalnością wyszukiwarki przedsiębiorstwa »Google« w Internecie jako dostawcy treści, która to działalność polega na zlokalizowaniu informacji opublikowanych lub zamieszczonych w sieci przez osoby trzecie, indeksowaniu ich w sposób automatyczny, czasowym przechowywaniu takich informacji i wreszcie ich udostępnianiu internautom w sposób uporządkowany zgodnie z określonymi preferencjami, w sytuacji gdy takie informacje zawierają dane osobowe osób trzecich:
Czy należy uznać opisaną powyżej działalność za »przetwarzanie danych« w rozumieniu definicji zawartej w art. 2 lit. b) [dyrektywy]?
2.2. W przypadku gdy odpowiedź na powyższe pytanie będzie twierdząca i w związku z taką działalnością jak opisana powyżej: czy należy interpretować art. 2 lit. d) [dyrektywy] w ten sposób, że przedsiębiorstwo, które zarządza wyszukiwarką »Google«, jest »administratorem danych« osobowych zawartych na stronach internetowych indeksowanych przez tę wyszukiwarkę?
2.3. W przypadku gdy odpowiedź na powyższe pytanie będzie twierdząca:
Czy krajowy organ ochrony danych (w tym przypadku [AEPD]), strzegąc praw zawartych w art. 12 lit. b) i art. 14 lit. a) [dyrektywy], może zażądać bezpośrednio od przedsiębiorstwa »Google«, prowadzącego wyszukiwarkę internetową, usunięcia z jego indeksów informacji opublikowanych przez osoby trzecie, bez uprzedniego lub jednoczesnego zwrócenia się z takim żądaniem do podmiotu będącego właścicielem strony internetowej, na której zamieszczona została ta informacja?
2.4. W przypadku gdy odpowiedź na to ostatnie pytanie będzie twierdząca:
Czy odpowiedzialność podmiotów prowadzących wyszukiwarki internetowe za przestrzeganie tych praw jest wyłączona w sytuacji, gdy informacja zawierająca dane osobowe została opublikowana zgodnie z prawem przez osoby trzecie i nadal znajduje się na źródłowej stronie internetowej?
3) Co się tyczy zakresu prawa do unieważnienia lub sprzeciwu w kontekście [»derecho al olvido«] (»prawa do bycia zapomnianym«), pojawia się następujące pytanie:
3.1. Czy należy interpretować prawo do usunięcia i zablokowania danych ustanowione w art. 12 lit. b) oraz prawo sprzeciwu wynikające z art. 14 lit. a) [dyrektywy] jako obejmujące prawo zainteresowanego do zwracania się do wyszukiwarek w celu uniemożliwienia indeksowania dotyczącej go informacji, opublikowanej na stronach internetowych osób trzecich, a takie żądania byłyby podyktowane wolą zainteresowanego, by te informacje nie były dostępne dla internautów, gdyż uważa, że mogą mu zaszkodzić, lub też życzy sobie »być zapomnianym«, nawet jeśli dotyczy to informacji opublikowanych zgodnie z prawem przez osoby trzecie?”.
24. Uwagi na piśmie przedstawiły Google, rządy hiszpański, grecki, włoski, austriacki i polski oraz Komisja Europejska. Z wyłączeniem rządu polskiego wszyscy uczestnicy postępowania stawili się na rozprawie w dniu 26 lutego 2013 r., podobnie jak pełnomocnik osoby, której dane dotyczą, i przedstawili stanowiska ustnie.
IV – Uwagi wstępne
A – Uwagi wprowadzające
25. Głównym zagadnieniem w niniejszej sprawie jest to, w jaki sposób należy interpretować rolę dostawców usług wyszukiwania za pomocą wyszukiwarek internetowych w świetle istniejących instrumentów prawnych UE w dziedzinie ochrony danych, a w szczególności dyrektywy. Zatem należałoby rozpocząć od kilku uwag dotyczących rozwoju danych osobowych, Internetu oraz wyszukiwarek internetowych.
26. W momencie negocjowania i przyjmowania dyrektywy w 1995 r.(17) nadano jej szeroki przedmiotowy zakres stosowania. Zrobiono to w celu sprostania zmianom technologicznym dotyczącym przetwarzania danych przez administratorów, które miało charakter bardziej zdecentralizowany niż systemy archiwizacji oparte o tradycyjne banki danych i obejmowało również nowe typy danych osobowych, takie jak wizerunki oraz techniki przetwarzania danych takie jak swobodne wyszukiwanie tekstów(18).
27. W 1995 r. powszechny dostęp do Internetu był zjawiskiem nowym. Obecnie, niemal po dwudziestu latach, nastąpiła erupcja, jeśli chodzi o ilość treści w formacie cyfrowym dostępnych w Internecie. Można uzyskać do nich łatwy dostęp, zapoznawać się z nimi oraz rozpowszechniać je poprzez media społecznościowe, jak również pobierać na rozmaite nośniki takie jak tablety, smartfony i laptopy. Niemniej jednak jasne jest, że prawodawca wspólnotowy nie przewidział rozwoju Internetu we wszechstronny globalny zbiór informacji, do którego można uzyskać powszechny dostęp i który można przeszukiwać.
28. Sednem wniosku o wydanie orzeczenia w trybie prejudycjalnym w niniejszych sprawach jest okoliczność, że Internet zwielokrotnia i ułatwia w sposób bezprecedensowy rozpowszechnianie informacji(19). Podobnie jak wynalezienie druku w XV w. umożliwiło reprodukcję nieograniczonej ilości egzemplarzy, które wcześniej trzeba było przepisywać ręcznie, umieszczenie materiałów w Internecie umożliwia masowy dostęp do informacji, które wcześniej prawdopodobnie można było uzyskać wyłącznie po mozolnych poszukiwaniach w ograniczonych fizycznie miejscach. Powszechny dostęp do informacji znajdujących się w Internecie jest możliwy wszędzie, z wyłączeniem tych państw, w których władze ograniczyły, za pomocą różnych środków technicznych (takich jak elektroniczne blokady) dostęp do Internetu lub w których dostęp do usług telekomunikacyjnych jest kontrolowany bądź rzadki.
29. Z uwagi na te uwarunkowania potencjalny zakres stosowania dyrektywy we współczesnym świecie stał się zaskakująco szeroki. Wyobraźmy sobie profesora prawa europejskiego, który pobrał ze strony internetowej Trybunału niezbędne orzecznictwo na swój komputer przenośny. W rozumieniu dyrektywy profesora można by uznać za „administratora” danych osobowych pochodzących od osób trzecich. Profesor posiada pliki, zawierające dane osobowe, które są automatycznie przetwarzane w celu wyszukiwania oraz konsultowania w kontekście działalności, która nie jest całkowicie osobista, czy też związana z gospodarstwem domowym. W istocie obecnie każda osoba czytająca gazetę na tablecie lub śledząca media społecznościowe na smartfonie wydaje się zaangażowana w przetwarzanie danych osobowych za pomocą środków automatycznych i potencjalnie mogłaby być objęta zakresem dyrektywy w zakresie, w jakim ma to miejsce poza wymiarem ściśle prywatnym(20). Ponadto wykładnia rozszerzająca nadana przez Trybunał prawu podstawowemu do prywatności w kontekście ochrony danych osobowych wydaje się poddawać wszelką komunikację ludzką z wykorzystaniem środków elektronicznych kontroli poprzez odwołanie się do tego prawa.
30. W obecnym stanie rzeczy szerokie definicje danych osobowych, przetwarzania danych osobowych oraz administratora danych mogą objąć bezprecedensowo szeroki zakres nowych okoliczności faktycznych ze względu na rozwój technologiczny. Jest tak dlatego, że wiele, jeśli nie większość, stron internetowych i plików dostępnych dzięki nim zawiera dane osobowe, takie jak nazwiska żyjących osób fizycznych. Zobowiązuje to Trybunał do zastosowania reguły rozsądku, innymi słowy – zasady proporcjonalności, przy interpretowaniu zakresu dyrektywy celem uniknięcia nieuzasadnionych i nadmiernych skutków prawnych. Takie umiarkowane podejście zastosowane już zostało przez Trybunał w sprawie Lindqvist, w którym odrzucił on wykładnię, która mogłaby doprowadzić do nadmiernie szerokiego zastosowania art. 25 dyrektywy dotyczącego przekazywania danych osobowych do państw trzecich w kontekście Internetu(21).
31. W związku z tym w niniejszej sprawie niezbędne będzie prawidłowe, zasadne i proporcjonalne wyważenie pomiędzy ochroną danych osobowych, spójną wykładnią celów społeczeństwa informacyjnego i uzasadnionymi interesami podmiotów gospodarczych i szeroko rozumianych internautów. Choć dyrektywa nie została zmieniona od jej przyjęcia w 1995 r., stosowanie jej do nowej sytuacji było nieuniknione. Jest to złożona dziedzina, w której spotykają się prawo oraz nowa technologia. Opinie przyjęte przez Grupę Roboczą Artykułu 29 dostarczają niezwykle pomocnej analizy w tym względzie(22).
B – Wyszukiwarki internetowe oraz ochrona danych
32. Przy dokonywaniu analizy sytuacji prawnej dotyczącej wyszukiwarki internetowej w odniesieniu do uregulowań dotyczących ochrony danych odnotować należy następujące elementy(23).
33. Po pierwsze, w swojej formie podstawowej wyszukiwarka internetowa nie tworzy, co do zasady, nowych autonomicznych treści. W najprostszej postaci wskazuje jedynie, gdzie można znaleźć już istniejącą treść udostępnioną przez osoby trzecie w Internecie poprzez podanie hiperłącza do strony zawierającej wyszukiwane terminy.
34. Po drugie, wyniki wyszukiwania wyświetlane przez wyszukiwarki internetowe nie są oparte na bezpośrednim przeszukiwaniu całej sieci, ale zbierane są z treści uprzednio przetworzonych przez wyszukiwarkę internetową. Oznacza to, że wyszukiwarka internetowa pozyskała treści z istniejących stron internetowych oraz skopiowała, przeanalizowała i zindeksowała te treści na swoich własnych urządzeniach. Takie wyszukane treści zawierają dane osobowe, jeśli zawierają je którekolwiek ze stron źródłowych.
35. Po trzecie, aby ułatwić użytkownikowi korzystanie z wyników wyszukiwania, wyszukiwarki internetowe często wyświetlają dodatkowe treści wraz z linkiem do oryginalnej strony. Mogą być to fragmenty tekstów, treści audiowizualne lub nawet migawki źródłowych stron internetowych. Takie informacje, do których dostępny jest podgląd, mogą być przynajmniej w części pobierane z urządzeń dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej, a nie bezpośrednio ze strony oryginalnej. Oznacza to, że usługodawca w istocie posiada informacje w ten sposób wyświetlane.
C – Uregulowanie zagadnienia wyszukiwarek internetowych
36. Unia Europejska przywiązuje ogromną wagę do rozwoju społeczeństwa informacyjnego. W kontekście tym poświęcono uwagę również pośrednikom społeczeństwa informacyjnego. Działalność takich pośredników polega na budowie pomostu pomiędzy dostawcami treści a użytkownikami Internetu. Szczególna rola pośredników została uznana przykładowo w dyrektywie (motyw 47), w dyrektywie o handlu elektronicznym(24) (art. 21 ust. 2 oraz motyw 18), jak również w opinii 1/2008 Grupy Roboczej Artykułu 29. Rola dostawców usług internetowych została uznana za kluczową dla społeczeństwa informacyjnego, a ich odpowiedzialność za treści osób trzecich, które dostawcy ci przekazują lub przechowują, została ograniczona w celu usprawnienia ich zgodnych z prawem działań.
37. Rola oraz sytuacja prawna dostawców usług wyszukiwania za pomocą wyszukiwarek internetowych nie została uregulowana w sposób bezpośredni w prawodawstwie UE. Jako „usługi udostępniania narzędzi lokalizacji informacji” są „świadczone na odległość drogą elektroniczną oraz na indywidualny wniosek odbiorcy usług” i w ten sposób odpowiadają usługom społeczeństwa informacyjnego polegającym na udostępnieniu narzędzi pozwalających na wyszukiwanie, dostęp i pobieranie danych. Niemniej jednak wydaje się, że dostawcy usług wyszukiwania za pomocą wyszukiwarek tacy jak Google, którzy nie świadczą swoich usług za wynagrodzeniem od internautów, znajdują się poza zakresem stosowania dyrektywy o handlu elektronicznym(25).
38. Pomimo to konieczne jest przeanalizowanie ich sytuacji w świetle zasad prawnych leżących u podstaw ograniczeń odpowiedzialności dostawców usług internetowych. Innymi słowy, do jakiego stopnia czynności dokonywane przez dostawcę usług wyszukiwania za pomocą wyszukiwarki internetowej są analogicznie, z punktu widzenia zasad odpowiedzialności, do usług wymienionych w dyrektywie o handlu elektronicznym (zwykłe przekazanie, caching, hosting), czy usług transmisyjnych wspomnianych w motywie 47 dyrektywy oraz w jakim stopniu dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej działa w charakterze dostawcy treści w ramach przysługującego mu prawa.
D – Rola i odpowiedzialność wydawców źródłowych stron internetowych
39. Trybunał orzekł w wyroku w sprawie Lindqvist, że „operację polegającą na zamieszczeniu danych osobowych na stronie internetowej należy uznać za […] przetwarzanie [danych osobowych]”(26). Co więcej, „zamieszczenie tych informacji na stronie internetowej wymaga, według aktualnie stosowanych procedur technicznych i informatycznych, załadowania tej strony na serwer oraz przeprowadzenia niezbędnych operacji, które uczynią tę stronę dostępną dla osób, które mają połączenie z Internetem. Operacje te są realizowane, przynajmniej częściowo, w sposób zautomatyzowany”. Trybunał podsumował, że „operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków […] stanowi »przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany« w rozumieniu art. 3 ust. 1 dyrektywy 95/46”.
40. Z powyższych ustaleń w sprawie Lindqvist wynika, że wydawca źródłowych stron internetowych zawierających dane osobowe jest administratorem przetwarzania danych osobowych w rozumieniu dyrektywy. W związku z tym statusem wydawcę wiążą wszystkie obowiązki, które dyrektywa nakłada na administratorów danych.
41. Źródłowe strony internetowe przechowywane są na serwerach podłączonych do Internetu. Wydawca źródłowych stron internetowych może zastosować „kody wyłączenia”(27) do obsługi wyszukiwarek internetowych. Kody wyłączenia polecają wyszukiwarkom internetowym zaniechanie indeksowania czy też zaniechanie przechowywania źródłowej strony internetowej oraz niewyświetlanie jej w ramach wyników wyszukiwania(28). Zastosowanie ich świadczy o tym, że wydawca nie życzy sobie, aby niektóre informacje zawarte na źródłowej stronie internetowej były pobierane za pomocą wyszukiwarek internetowych w celu rozpowszechniania.
42. W związku z tym technicznie wydawca ma możliwość zamieszczenia na swoich stronach internetowych kodów wyłączenia ograniczających indeksowanie i archiwizowanie strony, tym samym zwiększając ochronę danych osobowych. W skrajnych przypadkach wydawca może usunąć stronę z serwera, opublikować ją bez kontrowersyjnych danych osobowych oraz zażądać aktualizacji strony znajdującej się w pamięci podręcznej wyszukiwarek.
43. Zatem osoba, która publikuje treść źródłowej strony internetowej, występuje w charakterze administratora danych odpowiadającego za dane osobowe opublikowane na stronie i osoba ta dysponuje różnymi środkami celem wypełnienia swoich zobowiązań w tym względzie. Takie skanalizowanie odpowiedzialności prawnej jest zgodne z ustalonymi zasadami odpowiedzialności wydawcy w kontekście tradycyjnych nośników(29).
44. Niemniej jednak odpowiedzialność wydawcy nie daje gwarancji, że problemy dotyczące ochrony danych można rozwiązać ostatecznie wyłącznie poprzez odwołanie się do administratorów źródłowych stron internetowych. Jak wskazał sąd odsyłający, możliwe jest, że te same dane osobowe zostały opublikowane na niezliczonych stronach, co mogłoby utrudnić lub wręcz uniemożliwić śledzenie i kontaktowanie się ze wszystkimi istotnymi wydawcami. Co więcej, wydawca mógłby znajdować się w państwie trzecim, a przedmiotowe strony internetowe mogłyby nie wchodzić w zakres stosowania uregulowań UE dotyczących ochrony danych osobowych. Mogłyby również wystąpić przeszkody prawne takie jak w niniejszej sprawie, gdy zachowanie oryginalnej publikacji w Internecie zostało uznane za zgodne z prawem.
45. W istocie, powszechny dostęp do informacji znajdujących się w Internecie opiera się na wyszukiwarkach, ponieważ znalezienie odpowiednich informacji bez nich byłoby zbyt złożone i skomplikowane oraz dawałoby ograniczone wyniki. Jak słusznie zauważył sąd odsyłający, zdobycie informacji na temat ogłoszeń dotyczących sprzedaży przymusowej mienia osoby, której dane dotyczą, dawniej wymagałoby odwiedzenia archiwum gazety. Obecnie informacje te można uzyskać poprzez wpisanie nazwiska takiej osoby do wyszukiwarki internetowej, co znacznie zwiększa efektywność rozpowszechniania takich danych, a jednocześnie uciążliwość dla osoby, której dane dotyczą. Wyszukiwarki internetowe mogą być wykorzystywane do szeroko zakrojonego profilowania osób poprzez wyszukiwanie i zbieranie ich danych osobowych. Niemniej jednak obawa dotycząca profilowania osób stanowiła inspirację dla rozwoju nowoczesnych przepisów dotyczących ochrony danych(30).
46. Z tych względów istotne jest zbadanie odpowiedzialności dostawców usług wyszukiwania za pomocą wyszukiwarek internetowych odnośnie do danych osobowych publikowanych na źródłowych stronach internetowych osób trzecich, które są dostępne za pośrednictwem ich wyszukiwarek. Innymi słowy, Trybunał stoi tu w obliczu zagadnienia „odpowiedzialności wtórnej” tej kategorii usługodawców społeczeństwa informacyjnego analogicznej do tej, jaka była przedmiotem jego orzecznictwa w zakresie znaków towarowych i rynków elektronicznych(31).
E – Działalność dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej
47. Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej może prowadzić różnorodną działalność. Charakter i ocena tych działań z punktu widzenia ochrony danych osobowych mogą być odmienne.
48. Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej może automatycznie pozyskiwać dane osobowe dotyczące swoich użytkowników(32), to znaczy osób, które wprowadzają określone terminy do wyszukiwarki. Te automatycznie przesyłane dane mogą zawierać ich adres IP, preferencje użytkownika (język itd.) oraz oczywiście same wyszukiwane hasła, które w przypadku tak zwanych wyszukań „vanity search” (tzn. wyszukiwań dokonywanych przez użytkownika w swoim własnym imieniu) z łatwością ujawniają tożsamość użytkowników. Co więcej, w przypadku osób, które posiadają konta użytkownika i które w ten sposób dokonały rejestracji, dane osobowe takie jak nazwisko, adres poczty elektronicznej czy numer telefonu, niemal zawsze trafiają do dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej.
49. Dochody dostawcy wyszukiwania za pomocą wyszukiwarki internetowej nie pochodzą od użytkowników, którzy wpisują szukane hasła do wyszukiwarki, ale od reklamodawców, którzy kupują szukane hasła jako słowa kluczowe, w celu wyświetlania swoich reklam równocześnie z wynikami wyszukiwania za pomocą danego słowa kluczowego(33). To oczywiste, że dane osobowe dotyczące klientów będących reklamodawcami znajdują się w posiadaniu dostawcy usług.
50. Jednakże odesłanie prejudycjalne w niniejszej sprawie dotyczy Google działającego w charakterze dostawcy usługi prostej wyszukiwarki odnośnie do danych, w tym danych osobowych, opublikowanych w Internecie na źródłowych stronach internetowych osób trzecich oraz przetworzonych i zindeksowanych przez wyszukiwarkę Google. W związku z tym problemy użytkowników i klientów będących reklamodawcami, do których danych bez wątpienia dyrektywa znajduje zastosowanie w odniesieniu do ich związku z Google, nie mają wpływu na analizę drugiej grupy pytań prejudycjalnych. Jednakże biorąc pod uwagę zagadnienia jurysdykcji w ramach pierwszej grupy pytań prejudycjalnych, te grupy klientów mogą mieć znaczenie.
V – Pierwsza grupa pytań dotyczących terytorialnego zakresu stosowania dyrektywy
A – Wprowadzenie
51. Pierwsza grupa pytań prejudycjalnych dotyczy wykładni art. 4 dyrektywy w świetle kryteriów określania terytorialnego zakresu stosowania krajowych przepisów implementujących.
52. Sąd odsyłający podzielił swoje pytania prejudycjalne dotyczące terytorialnego stosowania hiszpańskiego prawa dotyczącego ochrony danych na cztery pytania cząstkowe. Pierwsze pytanie cząstkowe dotyczy pojęcia „działalność gospodarcza” w rozumieniu art. 4 ust. 1 lit. a) dyrektywy, natomiast drugie – okoliczności, w których administrator „wykorzystuje środki […] znajdujące się na terytorium wymienionego państwa członkowskiego” w rozumieniu art. 4 ust. 1 lit. c) dyrektywy. Trzecie pytanie cząstkowe podnosi zagadnienie, czy możliwe jest uznanie za wykorzystanie środków tymczasowego przechowywania informacji zindeksowanych przez wyszukiwarki internetowe, a w przypadku odpowiedzi twierdzącej na powyższe pytanie, czy obecność tego łącznika można domniemywać w przypadku, gdy przedsiębiorstwo odmawia ujawnienia miejsca przechowywania tych indeksów. Czwarte pytanie cząstkowe dotyczy tego, czy przepisy implementujące dyrektywę muszą znajdować zastosowanie, w świetle art. 8 karty, w państwie członkowskim, w którym znajduje się punkt ciężkości sporu i w którym możliwa jest bardziej skuteczna ochrona praw obywateli Unii Europejskiej.
53. W pierwszej kolejności zajmę się ostatnim pytaniem cząstkowym, które przedłożył sąd krajowy „niezależnie od odpowiedzi na wcześniejsze pytania i w szczególności w przypadku, gdyby [Trybunał] uznał, że nie występują łączniki przewidziane w art. 4 dyrektywy”.
B – Sam geograficzny punkt ciężkości sporu nie wystarczy, aby umożliwić stosowanie dyrektywy
54. Artykuł 51 ust. 2 karty stanowi, że karta nie rozszerza zakresu zastosowania prawa Unii poza kompetencje Unii, nie ustanawia nowych kompetencji ani zadań Unii, ani też nie zmienia kompetencji i zadań określonych w traktatach(34). Zasada ta znajduje również zastosowanie do art. 8 karty dotyczącego ochrony danych osobowych. W związku z tym wykładnia dyrektywy zgodna z kartą nie może dodawać żadnych nowych elementów, które mogłyby spowodować terytorialne stosowanie przepisów krajowych dokonujących transpozycji dyrektywy, do postanowień zawartych w art. 4 ust. 1 dyrektywy. Oczywiście przy dokonywaniu wykładni pojęć zastosowanych w art. 4 ust. 1 dyrektywy należy wziąć pod uwagę art. 8 karty, ale łączniki zdefiniowane przez prawodawcę UE nie mogą być uzupełniane całkowicie nowym kryterium opartym na tym prawie podstawowym(35).
55. Grupa Robocza Artykułu 29 słusznie podkreśliła, że terytorialny zakres stosowania dyrektywy oraz krajowych przepisów implementujących jest wyznaczany albo przez miejsce prowadzenia działalności gospodarczej administratora danych, albo przez położenie wykorzystywanych środków, w przypadku, gdy administrator ma siedzibę poza EOG. Obywatelstwo lub stałe miejsce zamieszkania osób, których dotyczą dane, nie ma charakteru rozstrzygającego, podobnie jak fizyczne położenie danych osobowych(36).
56. Grupa Robocza Artykułu 29 zaproponowała możliwość odpowiedniego zakreślania w przyszłym ustawodawstwie grupy docelowej jednostek w przypadku administratorów danych nieposiadających siedziby w Unii Europejskiej(37). We wniosku Komisji dotyczącym ogólnego rozporządzenia w sprawie ochrony danych (2012)(38) oferowanie towarów lub usług osobom, których dane dotyczą, zamieszkałym na terenie Unii Europejskiej stanowiłoby czynnik zastosowania prawa UE w zakresie ochrony danych do administratorów z państw trzecich. Takie podejście wiążące terytorialne stosowanie prawa UE z grupą użytkowników docelowych jest zgodne z orzecznictwem Trybunału w przedmiocie stosowania dyrektywy 2000/31(39), rozporządzenia 44/2001(40) oraz dyrektywy 2001/29(41) do sytuacji transgranicznych.
57. Natomiast jeśli chodzi o kryterium grupy docelowej, w niniejszej sprawie hiszpańscy użytkownicy wyszukiwarki Google, w oczach których reputacja podmiotu, którego dane dotyczą, mogłaby ponieść uszczerbek w wyniku ogłoszeń stanowiących przedmiot sporu, nie wydaje się czynnikiem uruchamiającym stosowanie terytorialne dyrektywy oraz krajowych przepisów implementujących ją.
58. W związku z tym punktu ciężkości sporu w Hiszpanii nie można dodać do kryteriów ustalonych w art. 4 ust. 1 dyrektywy, która moim zdaniem w pełni harmonizuje terytorialny zakres stosowania przepisów państw członkowskich w sprawie ochrony danych. Wniosek ten znajduje zastosowanie niezależnie od tego, czy taki punkt ciężkości stanowi miejsce zamieszkania danej osoby, której dane dotyczą, położenie spornych danych osobowych na stronie internetowej gazety, czy też okoliczność, że strona internetowa Google Spain skierowana była w szczególności do odbiorców hiszpańskich(42).
59. Z podanych powodów proponuję, aby w przypadku uznania przez Trybunał za konieczne udzielenia odpowiedzi na to pytanie udzielił on odpowiedzi przeczącej na czwarte pytanie cząstkowe.
C – Zastosowanie kryterium „prowadzenia działalności gospodarczej w UE” do dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej z państwa trzeciego
60. Zgodnie z art. 4 ust. 1 dyrektywy głównym czynnikiem, który powoduje terytorialne stosowanie krajowych przepisów o ochronie danych osobowych, jest przetwarzanie danych osobowych, dokonywane w kontekście prowadzenia przez administratora danej działalności gospodarczej na terytorium państwa członkowskiego. Co więcej, gdy administrator nie prowadzi działalności gospodarczej na terytorium Unii Europejskiej, ale do celów przetwarzania danych wykorzystuje środki(43) znajdujące się na terytorium wymienionego państwa członkowskiego, o ile środki te nie są wykorzystywane wyłącznie do celów tranzytu przez terytorium Unii Europejskiej, wówczas przepisy tego państwa członkowskiego znajdują zastosowanie.
61. Jak wspomniano powyżej, dyrektywa oraz jej art. 4 zostały przyjęte, zanim pojawiło się świadczenie usług internetowych na szeroką skalę. Co więcej, w tym względzie jej brzmienie nie jest spójne i kompletne(44). Nic dziwnego, że specjaliści ds. ochrony danych mieli spore trudności z zinterpretowaniem jej w odniesieniu do Internetu. Okoliczności faktyczne niniejszej sprawy ilustrują te problemy.
62. Google Inc. jest spółką kalifornijską posiadającą spółki zależne w różnych państwach członkowskich UE. Jej działalność europejska do pewnego stopnia koordynowana jest przez jej irlandzką spółkę zależną. Obecnie posiada centra danych co najmniej w Belgii i Finlandii. Informacje na temat dokładnego położenia geograficznego funkcji dotyczących jej wyszukiwarki nie są powszechnie dostępne. Google twierdzi, że w Hiszpanii nie odbywa się żadne przetwarzanie danych osobowych pozostające w związku z jej wyszukiwarką. Google Spain działa jako przedstawiciel handlowy Google w zakresie działalności reklamowej. W tym charakterze przejęła odpowiedzialność za przetwarzanie danych osobowych dotyczących jej hiszpańskich klientów będących reklamodawcami. Google zaprzecza, jakoby jej wyszukiwarka dokonywała jakichkolwiek operacji na serwerach źródłowych stron internetowych lub gromadziła informacje niezarejestrowanych użytkowników wyszukiwarki za pomocą plików cookie.
63. W tym kontekście faktycznym brzmienie art. 4 ust. 1 dyrektywy nie jest bardzo pomocne. Google posiada szereg ośrodków działalności gospodarczej na terytorium Unii Europejskiej. Powyższa okoliczność, zgodnie z wykładnią językową, wyłącza stosowanie przesłanki środków ustanowionej w art. 4 ust. 1 lit. c) dyrektywy. Z drugiej strony nie jest jasne, w jakim stopniu i gdzie odbywa się przetwarzanie danych osobowych osób, których dane dotyczą, zamieszkujących w UE w kontekście europejskich podmiotów zależnych Google.
64. Moim zdaniem Trybunał powinien podejść do zagadnienia stosowania terytorialnego z perspektywy modelu biznesowego dostawców usługi wyszukiwania za pomocą wyszukiwarek internetowych. Jak już wspomniałem, opiera się on zazwyczaj na reklamie kontekstowej, co stanowi źródło dochodu i w związku z tym uzasadnienie ekonomiczne dla bezpłatnego udostępniania narzędzia lokalizacji informacji w formie wyszukiwarki. Podmiot odpowiadający za reklamę kontekstową w wyszukiwarkach (zwany w orzecznictwie Trybunału „podmiotem świadczącym usługę odsyłania”(45)) jest powiązany z wyszukiwarką. Podmiot ten musi być obecny na krajowych rynkach reklamy. Z tego powodu Google utworzyło spółki zależne w wielu państwach członkowskich, które wyraźnie prowadzą działalność gospodarczą w rozumieniu art. 4 ust. 1 lit. a) dyrektywy. Udostępniło również krajowe domeny internetowe takie jak google.es czy też google.fi. Działanie wyszukiwarki uwzględnia takie zróżnicowanie krajowe w różny sposób w odniesieniu do wyświetlania wyników wyszukiwania, ponieważ tradycyjny model finansowy reklamy kontekstowej kieruje się zasadą „płatność-za-kliknięcie”(46).
65. Z tej przyczyny przychyliłbym się do wniosku Grupy Roboczej Artykułu 29, zgodnie z którym to wnioskiem należy uwzględnić model biznesowy dostawcy wyszukiwania za pomocą wyszukiwarki internetowej w tym sensie, że jego działalność odgrywa istotną rolę w przetwarzaniu danych osobowych, jeśli jest związana z usługą polegającą na sprzedaży ukierunkowanych reklam mieszkańcom danego państwa członkowskiego(47).
66. Ponadto, nawet jeśli z punktu widzenia jego przepisów materialnych art. 4 dyrektywy opiera się na jednolitym pojęciu administratora, sądzę, że dla celów rozstrzygnięcia w przedmiocie wstępnego zagadnienia stosowania terytorialnego podmiot gospodarczy należy uznać za pojedynczą jednostkę, a zatem na tym etapie analizy nie należy dokonywać jego rozbicia w oparciu o jego poszczególne działania dotyczące przetwarzania danych osobowych lub stosownie do różnych grup osób, których dane dotyczą, będących adresatami tych działań.
67. Podsumowując, przetwarzanie danych osobowych odbywa się w kontekście działalności gospodarczej administratora, jeśli działalność ta stanowi pomost dla usługi odsyłania do rynku reklamowego tego państwa członkowskiego, nawet jeśli operacje techniczne przetwarzania danych osobowych mają miejsce w innych państwach członkowskich lub państwach trzecich.
68. Z tego powodu proponuję, aby Trybunał udzielił odpowiedzi na pierwszą grupę pytań prejudycjalnych w ten sposób, że przetwarzanie danych osobowych odbywa się w kontekście „działalności gospodarczej” administratora danych w rozumieniu art. 4 ust. 1 lit. a) dyrektywy, gdy przedsiębiorstwo udostępniające wyszukiwarkę ustanawia w danym państwie członkowskim, dla celów promowania i sprzedaży powierzchni reklamowych w wyszukiwarce internetowej, oddział lub spółkę zależną, których działalność skierowana jest do osób mieszkających w tym państwie.
VI – Druga grupa pytań dotyczących przedmiotowego zakresu stosowania dyrektywy
69. Druga grupa pytań odnosi się do sytuacji prawnej dostawcy usługi wyszukiwania za pomocą wyszukiwarki internetowej oferującego dostęp do wyszukiwarki internetowej w świetle przepisów dyrektywy. Sąd krajowy sformułował je jako dotyczące pojęć „przetwarzania” danych osobowych (pytanie 2.1) i „administratora” (pytanie 2.2), kompetencji krajowych organów ds. ochrony danych osobowych w zakresie wydawania nakazów bezpośrednio dostawcy wyszukiwania za pomocą wyszukiwarki internetowej (pytanie 2.3) oraz ewentualnego wyłączenia ochrony danych osobowych przez dostawcę usług wyszukiwania za pomocą wyszukiwarki internetowej w zakresie informacji zgodnie z prawem opublikowanych w Internecie przez osoby trzecie (pytanie 2.4). Ostatnie dwa pytania cząstkowe są istotne wyłącznie, jeśli dostawcę usług wyszukiwania za pomocą wyszukiwarki internetowej uznać można za przetwarzającego dane osobowe na źródłowych stronach internetowych osób trzecich oraz za ich administratora.
A – Przetwarzanie danych osobowych przez wyszukiwarkę internetową
70. Pierwsze pytanie cząstkowe w tej grupie dotyczy stosowania pojęć „dane osobowe” i ich „przetwarzanie” do dostawcy usługi wyszukiwania za pomocą wyszukiwarki internetowej, takiego jak Google, zakładając, że nie ma tu mowy o danych osobowych użytkowników lub reklamodawców, ale o danych osobowych opublikowanych na źródłowych stronach internetowych osób trzecich oraz przetworzonych przez wyszukiwarkę prowadzoną przez usługodawcę. Sąd krajowy określa to przetwarzanie jako polegające na zlokalizowaniu informacji opublikowanych lub umieszczonych w Internecie przez osoby trzecie, ich automatyczne indeksowanie, czasowe przechowywanie oraz wreszcie udostępnianie ich użytkownikom Internetu zgodnie z określoną kolejnością preferencji.
71. Moim zdaniem odpowiedź twierdząca na niniejsze pytanie cząstkowe nie wymaga szerszego omówienia. W dyrektywie pojęciu danych osobowych przypisano szeroką definicję, która została wykorzystana przez Grupę Roboczą Artykułu 29, a potwierdzona przez Trybunał(48).
72. Co się tyczy „przetwarzania”, źródłowe strony internetowe mogą zawierać i często zawierają nazwy, wizerunki, adresy, numery telefonów, opisy oraz inne oznaczenia, za pomocą których można zidentyfikować osobę fizyczną. Okoliczność, że ich charakter, jako danych osobowych, pozostawałby „nieznany” dla dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej, którego wyszukiwarka działa bez żadnego udziału czynnika ludzkiego przy zbieraniu, indeksowaniu i wyświetlaniu danych dla celów wyszukiwania, nie zmienia tego stwierdzenia(49). To samo odnosi się do okoliczności, że obecność danych osobowych na źródłowych stronach internetowych ma w pewnym sensie charakter losowy dla dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej, ponieważ dla niego, a ściślej rzecz ujmując, dla funkcji wyszukiwarki polegających na pobieraniu, analizowaniu i indeksowaniu nakierowanych na wszystkie dostępne strony w Internecie może nie występować żadna różnica techniczna bądź operacyjna pomiędzy stroną źródłową w sieci zawierającą dane osobowe a inną stroną niezawierającą takich danych(50). Moim zdaniem okoliczności te powinny jednak mieć wpływ na wykładnię pojęcia „administrator danych”.
73. Funkcja tzw. pająka wyszukiwarki Google zwana „googlebot” nieustannie i systematycznie przeszukuje Internet i przechodząc z jednej strony źródłowej do innej za pomocą hiperłącz pomiędzy stronami, zwraca się do odwiedzanych witryn o przesłanie odwiedzonej strony(51). Kopie takich stron źródłowych są analizowane za pomocą funkcji indeksowania Google. Ciągi znaków (słowa kluczowe, wyszukiwane hasła) znajdowane na stronach są zapisywane w indeksie wyszukiwarki(52). Opracowany algorytm wyszukiwania Google dokonuje również oceny trafności wyników wyszukiwania. Kombinacje tych słów kluczowych przy użyciu adresów URL, na których można je znaleźć, tworzą indeks wyszukiwarki. Wyszukiwania inicjowane przez użytkowników odbywają się w ramach indeksu. Dla celów indeksowania i wyświetlania wyników wyszukiwania kopia stron zapisywana jest w pamięci podręcznej wyszukiwarki(53).
74. Kopie przeszukiwanych źródłowych stron internetowych, przechowywane w pamięci podręcznej, mogą być wyświetlane po dokonaniu wyszukiwania przez użytkownika. Jednakże użytkownik może uzyskać dostęp do oryginalnej strony, jeśli na przykład stara się wyświetlić zdjęcia znajdujące się na stronie internetowej. Pamięć podręczna jest często aktualizowana, ale mogą zaistnieć sytuacje, w których strona wyświetlana przez wyszukiwarkę nie odpowiada źródłowym stronom internetowym znajdującym się na serwerze z powodu zmian do niej wprowadzonych lub jej usunięcia(54).
75. Oczywiste jest, że operacje opisane w poprzednich punktach oznaczają przetwarzanie danych osobowych na internetowej stronie źródłowej – kopiowanej, indeksowanej, przechowywanej w pamięci podręcznej oraz wyświetlanej przez wyszukiwarki. W szczególności wiążą się one z gromadzeniem, zapisywaniem, organizowaniem i przechowywaniem takich danych osobowych i mogą wiązać się z ich wykorzystywaniem, ujawnianiem przez transmisję, rozpowszechnianiem oraz innym udostępnianiem i łączeniem danych osobowych w rozumieniu art. 2 lit. b) dyrektywy.
B – Pojęcie administratora danych
76. Administrator danych(55) oznacza zgodnie z art. 2 lit. d) dyrektywy „osobę fizyczną lub prawną, […] któr[a] samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych”. Moim zdaniem głównym problemem niniejszej sprawy jest to, czy oraz do jakiego stopnia dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej objęty jest powyższą definicją.
77. Wszystkie strony poza Google oraz rządem greckim proponują udzielenie odpowiedzi twierdzącej na niniejsze pytanie, co łatwo da się obronić, jako logiczny wniosek wykładni językowej, a być może nawet i celowościowej dyrektywy, biorąc pod uwagę, że podstawowe definicje dyrektywy zostały sformułowane w sposób obszerny w celu objęcia nowych rozwiązań. Jednakże moim zdaniem takie podejście stanowiłoby metodę całkowicie niebiorącą pod uwagę okoliczności, że kiedy dyrektywa była redagowana, nie było możliwości uwzględnienia pojawienia się Internetu, a także związanych z nim różnych nowych zjawisk.
78. W momencie przyjmowania dyrektywy sieć World Wide Web dopiero stawała się rzeczywistością, a wyszukiwarki znajdowały się w fazie początkowej. Przepisy dyrektywy nie uwzględniają okoliczności, że ogromne ilości, zamieszczanych w sposób rozproszony, dokumentów elektronicznych i plików dostępne są z dowolnego miejsca na świecie oraz że ich treść może być kopiowana i analizowana, jak również rozpowszechniana przez osoby niemające żadnego związku z autorami, lub osoby, które umieściły je na serwerze podłączonym do Internetu.
79. Pragnę przypomnieć, że w wyroku w sprawie Lindqvist Trybunał nie przychylił się do maksymalistycznego podejścia zaproponowanego przez Komisję odnośnie do wykładni pojęcia przekazywania danych do państw trzecich. Trybunał orzekł: „[j]eśli uwzględnić z jednej strony stan rozwoju Internetu w okresie trwania prac nad dyrektywą 95/46 i z drugiej strony brak określenia w jej rozdziale IV kryteriów mających zastosowanie do korzystania z Internetu, to nie można przypisać prawodawcy wspólnotowemu zamiaru objęcia w przyszłości pojęciem przekazywania danych do państw trzecich faktu zamieszczenia przez osobę znajdującą się w sytuacji B. Lindqvist danych na stronie internetowej, nawet jeżeli stały się one w ten sposób dostępne dla osób znajdujących się w państwach trzecich i posiadających środki techniczne pozwalające na dostęp do nich” (56). Moim zdaniem oznacza to, że przy wykładni dyrektywy wobec zjawisk technologicznych należy uwzględnić – aby osiągnąć zrównoważony i uzasadniony wynik – zasadę proporcjonalności, cele dyrektywy oraz środki przewidziane w niej w celu ich osiągnięcia.
80. Moim zdaniem jednym z kluczowych pytań jest to, czy ma znaczenie okoliczność, iż w ramach definicji administratora danych dyrektywa odnosi się do administratora będącego osobą, która „określa cele i sposoby przetwarzania danych osobowych” (podkreślenie własne). Strony, które uważają Google za administratora danych, opierają swoją ocenę o niezaprzeczalny fakt, że dostawca usług prowadzący wyszukiwarkę internetową określa cele i sposoby przetwarzania danych dla swoich celów.
81. Jednakże wątpię, czy prowadzi to do zgodnej z prawdą wykładni dyrektywy w sytuacji, w której przedmiot przetwarzania składa się z plików łączących dane osobowe oraz inne dane w sposób przypadkowy, niewybiórczy i losowy. Czy profesor prawa europejskiego wymieniony w moim przykładzie w pkt 29 powyżej określa cele i sposoby przetwarzania danych osobowych, zawartych w orzecznictwie Trybunału, które pobrał na swój komputer przenośny? Ustalenia Grupy Roboczej Artykułu 29, zgodnie z którymi „użytkownicy usługi wyszukiwarki internetowej mogliby, wyrażając się ściśle, zostać uznani za administratorów”, ujawniają irracjonalny charakter ślepo stosowanej wykładni językowej dyrektywy w kontekście Internetu(57). Trybunał nie powinien przyjmować wykładni, zgodnie z którą administratorem przetwarzania danych osobowych opublikowanych w Internecie staje się praktycznie każdy posiadacz smartfona, tableta czy też laptopa.
82. Moim zdaniem ogólna systematyka dyrektywy, większość wersji językowych oraz indywidualne obowiązki, które nakłada na administratora, opierają się na idei odpowiedzialności administratora za dane osobowe przetwarzane w tym sensie, że administrator zdaje sobie sprawę z istnienia pewnej określonej kategorii informacji oznaczających dane osobowe, przy czym administrator przetwarza te dane z pewnym zamiarem, który odnosi się do ich przetwarzania jako danych osobowych(58).
83. Grupa Robocza Artykułu 29 słusznie zauważa, że „pojęcie administratora stanowi pojęcie funkcjonalne mające na celu powierzenie obowiązków osobom mającym faktyczny wpływ, i jest ono zatem oparte raczej na analizie faktycznej niż formalnej”(59). Grupa stwierdza dalej, że „administrator musi określić, które dane zostaną przetworzone w przewidzianym celu lub przewidzianych celach”(60). Moim zdaniem materialne przepisy dyrektywy, a w szczególności jej art. 6, 7 i 8, są oparte na założeniu, że administrator zdaje sobie sprawę z tego, co robi odnośnie do określonych danych osobowych, w tym sensie, że jest on świadomy, jakiego rodzaju dane przetwarza oraz w jakim celu. Innymi słowy, przetwarzanie danych musi jawić mu się jako przetwarzanie danych osobowych, to znaczy „informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej” w jakiś semantycznie istotny sposób, a nie jedynie jako kod informatyczny(61).
C – Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej nie jest „administratorem” danych osobowych znajdujących się na internetowych stronach źródłowych osób trzecich
84. Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej, dostarczający jedynie narzędzie lokalizacji informacji, nie administruje danymi osobowymi znajdującymi się na stronach internetowych osób trzecich. Usługodawca nie jest „świadomy” istnienia danych osobowych w jakimkolwiek innym znaczeniu niż jako fakt statystyczny, że strony internetowe mogą zawierać dane osobowe. W trakcie przetwarzania źródłowych stron internetowych dla celów przeszukiwania, analizowania i indeksowania dane osobowe nie jawią się jako takie w żaden szczególny sposób.
85. Z tego powodu uważam podejście Grupy Roboczej Artykułu 29 za odpowiednie, gdyż dąży do wyznaczenia linii demarkacyjnej pomiędzy funkcjami całkowicie biernymi i pośredniczącymi wyszukiwarek internetowych a sytuacjami, w których ich działalność stanowi rzeczywistą kontrolę nad przetwarzanymi danymi osobowymi(62). Tytułem uzupełnienia należy dodać, iż zagadnienie, czy dane osobowe zostały upublicznione(63), czy też zostały ujawnione zgodnie z prawem na źródłowych stronach internetowych osób trzecich, nie ma znaczenia dla stosowania dyrektywy(64).
86. Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej nie ma związku z zawartością źródłowych stron internetowych osób trzecich w Internecie, na których mogą pojawić się dane osobowe. Co więcej, skoro wyszukiwarka działa w oparciu o kopie źródłowych stron internetowych, które jej przeszukiwarka [tzw. pająk] pobrała i skopiowała, dostawca nie dysponuje żadnymi środkami w zakresie zmiany informacji na serwerach. Udostępnienie narzędzi lokalizacji informacji nie oznacza żadnej kontroli nad treścią. Nie umożliwia nawet dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej dokonania rozróżnienia pomiędzy danymi osobowymi w rozumieniu dyrektywy, to znaczy dotyczącymi możliwej do zidentyfikowania żyjącej osoby fizycznej, a innymi danymi.
87. W tym miejscu pragnę zwrócić uwagę na zasadę wyrażoną w motywie 47 dyrektywy. Stanowi ona, że w przypadku przekazywania komunikatu zawierającego dane osobowe przy pomocy urządzeń telekomunikacyjnych lub poczty elektronicznej za administratora uważać się będzie osobę, od której komunikat wychodzi, nie zaś osobę wykonującą usługę w zakresie transmisji danych. Zarówno ten motyw, jak i wyłączenia z odpowiedzialności przewidziane w dyrektywie o handlu elektronicznym (art. 12, 13 i 14) opierają się na zasadzie prawnej, zgodnie z którą związki z elektronicznie przechowywanymi lub przekazywanymi treściami mające charakter zautomatyzowany, techniczny i bierny nie powodują kontroli nad tymi treściami czy też odpowiedzialności za nie.
88. Grupa Robocza Artykułu 29 podkreśliła, że po pierwsze i przede wszystkim, celem pojęcia administratora jest ustalenie, kto ma być odpowiedzialny za przestrzeganie uregulowań dotyczących ochrony danych i przypisanie tej odpowiedzialności miejscu faktycznego wpływu(65). Zdaniem grupy roboczej „zasada proporcjonalności wymaga, aby w zakresie, w którym dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej działa wyłącznie w charakterze pośrednika, nie był uznawany za głównego administratora w odniesieniu do mającego miejsce przetwarzania danych osobowych związanego z treścią. W tym przypadku głównymi administratorami danych osobowych są dostawcy informacji”(66).
89. Moim zdaniem dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej nie może faktycznie lub prawnie spełniać obowiązków administratora przewidzianych w art. 6, 7 i 8 dyrektywy w odniesieniu do danych osobowych znajdujących się na witrynach źródłowych zamieszczonych na serwerach osób trzecich. W związku z powyższym uzasadniona wykładnia dyrektywy wymaga, aby dostawcy usług co do zasady nie traktować jako posiadającego taki status(67).
90. Odmienny pogląd oznaczałby, że wyszukiwarki internetowe są niezgodne z prawem UE, co uważam za wniosek absurdalny. W szczególności, jeśli dostawców usług wyszukiwania za pomocą wyszukiwarek internetowych uznawałoby się za administratorów danych osobowych znajdujących się na źródłowych stronach internetowych i jeśliby na którejkolwiek z tych stron internetowych znajdowały się „szczególne kategorie danych osobowych”, o których mowa w art. 8 dyrektywy (np. dane osobowe ujawniające poglądy polityczne lub przekonania religijne czy też dane dotyczące zdrowia lub życia seksualnego osób), działalność dostawców usług wyszukiwania za pomocą wyszukiwarek internetowych automatycznie stałaby się nielegalna, w przypadku niespełnienia rygorystycznych warunków ustanowionych w tym artykule w związku z przetwarzaniem takich danych.
D – Okoliczności, w których dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej jest „administratorem danych”
91. Dostawcy usług wyszukiwania za pomocą wyszukiwarek internetowych wyraźnie kontrolują indeks wyszukiwarki, który łączy słowa kluczowe z odpowiednimi adresami URL. Usługodawca określa strukturę indeksu oraz może technicznie zablokować niektóre wyniki wyszukiwania, przykładowo poprzez niewyświetlanie adresów URL z niektórych krajów lub domen w ramach wyników wyszukiwania(68). Co więcej, dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej kontroluje indeks w tym sensie, że decyduje, czy kody wyłączenia(69) na źródłowej stronie internetowej są przestrzegane, czy też nie.
92. Natomiast pamięci podręcznej wyszukiwarki nie można uznać za wchodzącą w zakres kontroli usługodawcy, ponieważ pamięć podręczna jest wynikiem całkowicie technicznego i zautomatyzowanego procesu wytwarzającego lustrzane odbicie danych tekstowych przeszukiwanych stron internetowych, z wyjątkiem danych wyłączonych z indeksowania i archiwizowania. Interesujące jest to, że niektóre państwa członkowskie wydają się przewidywać szczególne wyłączenia horyzontalne dotyczące odpowiedzialności wyszukiwarek analogiczne do wyjątku przewidzianego w dyrektywie o handlu elektronicznym w przypadku niektórych usługodawców społeczeństwa informacyjnego(70).
93. Jednakże w odniesieniu do treści pamięci podręcznej decyzja o niestosowaniu kodów wyłączenia(71) na stronie internetowej moim zdaniem wiąże się z kontrolą w znaczeniu dyrektywy nad takimi danymi osobowymi. Znajduje to również zastosowanie w sytuacjach, w których dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej nie uaktualnia strony internetowej znajdującej się w jego pamięci podręcznej, pomimo wniosku, który otrzymał ze strony internetowej.
E – Obowiązki dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej jako „administratora danych”
94. To oczywiste, że jeśli oraz kiedy dostawcę usług wyszukiwania za pomocą wyszukiwarki internetowej uznać można za „administratora danych”, musi on stosować się do obowiązków przewidzianych dyrektywą.
95. Jeśli chodzi o kryteria dotyczące uzasadnienia przetwarzania danych w przypadku braku zgody osoby, której dane dotyczą [art. 7 lit. a) dyrektywy], wydaje się oczywiste, że świadczenie usług wyszukiwania za pomocą wyszukiwarki internetowej służy jako takie do realizacji uzasadnionych interesów [art. 7 lit. f) dyrektywy], a mianowicie (i) ułatwiania użytkownikom Internetu dostępu do informacji; (ii) zwiększenia efektywności rozpowszechniania informacji zamieszczonych w Internecie oraz (iii) umożliwienia różnych usług społeczeństwa informacyjnego świadczonych przez dostawcę usług wyszukiwania za pomocą wyszukiwarki internetowej o charakterze uzupełniającym do wyszukiwarki, takich jak reklama kontekstowa („keyword advertising”). Wspomniane trzy cele odnoszą się odpowiednio do trzech praw podstawowych chronionych kartą, a mianowicie wolności informacji i wolności wypowiedzi (obu wyrażonych w art. 11) oraz wolności prowadzenia działalności gospodarczej (na podstawie art. 16). W związku z tym wyszukiwanie za pomocą wyszukiwarki internetowej realizuje uzasadnione interesy w rozumieniu art. 7 lit. f) dyrektywy przy przetwarzaniu danych udostępnionych w Internecie, w tym danych osobowych.
96. Jako administrator danych dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej zobowiązany jest do poszanowania wymogów ustanowionych w art. 6 dyrektywy. W szczególności dane osobowe muszą być prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone, aktualne oraz, w razie konieczności, aktualizowane. Co więcej, należy wyważyć interesy „administratora danych” lub osób trzecich, w których interesie odbywa się przetwarzanie, oraz osoby, której dane dotyczą.
97. W postępowaniu głównym roszczenie osoby, której dane dotyczą, odnosi się do usunięcia z indeksu Google indeksowania jej imienia i nazwisk z adresów URL stron gazety wyświetlających dane osobowe, o których pominięcie wnosi. W istocie nazwiska osób wykorzystywane są jako hasła wyszukiwania i są rejestrowane jako słowa kluczowe w indeksach wyszukiwarek. Jednakże zazwyczaj nazwisko nie wystarcza dla bezpośredniej identyfikacji osoby fizycznej w Internecie, ponieważ na świecie istnieje kilka, a nawet kilka tysięcy czy milionów osób o tym samym nazwisku czy też kombinacji imienia (imion) i nazwiska(72). Niemniej jednak zakładam, że w większości przypadków łącząc imię i nazwisko jako hasło wyszukiwania, umożliwia się pośrednią identyfikację osoby fizycznej w rozumieniu art. 2 lit. a) dyrektywy, gdyż wynik wyszukiwania w indeksie wyszukiwarki ujawnia ograniczony zestaw linków pozwalających użytkownikowi Internetu na dokonanie rozróżnienia pomiędzy osobami, które nazywają się tak samo.
98. Indeks wyszukiwarki podłącza nazwiska oraz inne identyfikatory wykorzystywane jako hasła wyszukiwania do jednego lub kilku linków do stron internetowych. W zakresie, w jakim ten link jest prawidłowy, w tym sensie, że dane odpowiadające hasłu wyszukiwania rzeczywiście pojawiają się lub pojawiły się na stronach internetowych, do których prowadzą linki, moim zdaniem indeks spełnia kryteria prawidłowości, stosowności, proporcjonalności, dokładności i kompletności ustanowione w art. 6 lit. c) i d) dyrektywy. Co do aspektów czasowych, o których mowa w art. 6 lit. d) i e) (aktualne dane oraz przechowywanie danych osobowych przez czas nie dłuższy niż jest to konieczne), do zagadnień tych należy podejść z punktu widzenia przetwarzania, o którym mowa, to znaczy świadczenia usług lokalizacji informacji, a nie jako do zagadnienia dotyczącego treści źródłowych stron internetowych(73).
F – Wniosek dotyczący drugiej grupy pytań
99. W oparciu o powyższą argumentację uważam, że krajowy organ ds. ochrony danych osobowych nie może wymagać od dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej usunięcia informacji z jego indeksu z wyjątkiem przypadków, w których dostawca ten nie zastosował się do kodów wyłączenia(74) lub gdy wnioski pochodzące ze strony internetowej dotyczące aktualizacji pamięci podręcznej nie zostały zrealizowane. Scenariusz ten nie wydaje się adekwatny dla wniosku o wydanie orzeczenia w trybie prejudycjalnym w niniejszej sprawie. Ewentualna „procedura powiadamiania i usuwania”(75) dotycząca linków do źródłowych stron internetowych, na których znajdują się treści nielegalne lub niewłaściwe, stanowi kwestię odpowiedzialności cywilnej na podstawie prawa krajowego w oparciu o podstawy inne niż ochrona danych osobowych(76).
100. Z tych przyczyn proponuję, aby Trybunał udzielił odpowiedzi na drugą grupę pytań w ten sposób, że w okolicznościach określonych we wniosku o wydanie orzeczenia w trybie prejudycjalnym dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej „przetwarza” dane osobowe w rozumieniu art. 2 lit. b) dyrektywy. Niemniej jednak dostawcy usług nie można uznać za „administratora” przetwarzania takich danych osobowych w rozumieniu art. 2 lit. d) dyrektywy z wyjątkiem przedstawionym powyżej.
VII – Pytanie trzecie dotyczące ewentualnego prawa osoby, której dane dotyczą do „bycia zapomnianą”
A – Uwagi wstępne
101. Trzecie pytanie prejudycjalne ma znaczenie wyłącznie, jeśli Trybunał albo odrzuci wniosek, do którego doszedłem powyżej, zgodnie z którym Google nie należy co do zasady uznawać za „administratora danych” na podstawie art. 2 lit. d) dyrektywy, albo w zakresie, w jakim Trybunał uzna moje twierdzenie, że istnieją przypadki, w których dostawcę usług wyszukiwania za pomocą wyszukiwarki internetowej takiego jak Google można uznać za posiadającego taki status. W przeciwnym razie poniższy wywód jest zbędny.
102. W każdym razie w pytaniu trzecim sąd krajowy dąży do ustalenia, czy prawa do usunięcia lub zablokowania danych przewidziane w art. 12 lit. b) dyrektywy oraz prawo do sprzeciwu przewidziane w art. 14 lit. a) dyrektywy rozciągają się na umożliwienie osobie, której dane dotyczą, skontaktowania się z samymi dostawcami usług wyszukiwania za pomocą wyszukiwarek internetowych w celu uniemożliwienia indeksowania informacji osobiście jej dotyczących, które opublikowane zostały na stronach internetowych osób trzecich. W ten sposób osoba, której dane dotyczą, stara się zapobiec sytuacji, w której potencjalnie szkodliwe informacje stałyby się znane użytkownikom Internetu, bądź wyraża pragnienie, aby informacje zostały zapomniane, nawet jeśli dane informacje zostały zgodnie z prawem opublikowane przez osoby trzecie. Innymi słowy, sąd krajowy zmierza zasadniczo do ustalenia, czy „prawo do bycia zapomnianym” można oprzeć na art. 12 lit. b) i art. 14 lit. a) dyrektywy. Jest to pierwsze zagadnienie, które należy uwzględnić w poniższej analizie, która opierać się będzie na brzmieniu i celach tych przepisów.
103. Jeśli dojdę do wniosku, że ochrona taka nie jest zapewniona w art. 12 lit. b) i art. 14 lit. a) oraz na ich podstawie, w następnej kolejności rozważę, czy wykładnia taka jest zgodna z kartą(77). Wymagać to będzie uwzględnienia prawa do ochrony danych osobowych wyrażonego w art. 8, prawa do poszanowania życia prywatnego i rodzinnego wyrażonego w art. 7, wolności wypowiedzi i informacji chronionej przez art. 11 (i to zarówno pod względem wolności wypowiedzi wydawców stron internetowych, jak i wolności użytkowników Internetu w zakresie uzyskiwania informacji), jak również wolności prowadzenia działalności gospodarczej, o której mowa w art. 16. W istocie prawa osób, których dane dotyczą, zawarte w art. 7 i 8 trzeba będzie zestawić z chronionymi art. 11 i 16 prawami podmiotów rozpowszechniających dane lub umożliwiających dostęp do nich.
B – Czy prawa do sprostowania, usunięcia, zablokowania oraz wniesienia sprzeciwu przewidziane w dyrektywie oznaczają prawo osoby, której dane dotyczą do „bycia zapomnianą”?
104. Prawo do sprostowania, usunięcia i zablokowania danych przewidziane w art. 12 lit. b) dyrektywy dotyczy danych, których przetwarzanie nie jest zgodne z przepisami dyrektywy, szczególnie ze względu na niekompletność lub niedokładność danych (podkreślenie własne).
105. Wniosek o wydanie orzeczenia w trybie prejudycjalnym przyznaje, że informacji pojawiających się na przedmiotowych stronach internetowych nie można traktować jako niekompletnych lub niedokładnych. Jeszcze mniej można określić w ten sposób indeks Google oraz treści znajdujące się w pamięci podręcznej zawierającej takie dane. W związku z tym prawo do sprostowania, usunięcia lub zablokowania, o którym mowa w art. 12 lit. b) dyrektywy, powstanie wyłącznie, jeśli przetwarzanie przez Google danych osobowych ze źródłowych stron internetowych osób trzecich będzie niezgodne z dyrektywą z innych przyczyn.
106. Artykuł 14 lit. a) dyrektywy zobowiązuje państwa członkowskie do przyznania osobie, której dane dotyczą, w dowolnym czasie z ważnych i uzasadnionych przyczyn wynikających z jej konkretnej sytuacji, prawa sprzeciwu wobec przetwarzania dotyczących jej danych, z zastrzeżeniem odmiennych postanowień ustawodawstwa krajowego. Znajduje to zastosowanie w szczególności w przypadkach, o których mowa w art. 7 lit. e) i f) dyrektywy, to znaczy, gdy przetwarzanie jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej. Co więcej, zgodnie z art. 14 lit. a) w przypadku uzasadnionego sprzeciwu „przetwarzanie danych przez administratora danych” nie może już obejmować tych danych.
107. W sytuacjach, w których dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej uznani są za administratorów przetwarzania danych osobowych, art. 6 ust. 2 dyrektywy zobowiązuje ich do ważenia interesów administratora danych lub osób trzecich, w których interesie przetwarzanie się odbywa, z interesami osoby, której dane dotyczą. Jak zauważył Trybunał w wyroku w sprawie ASNEF, to czy sporne dane figurują już w powszechnie dostępnych źródłach, jest istotne dla dokonania tego wyważenia(78).
108. Jednakże, zgodnie z tym, co stwierdziły w tym przypadku niemal wszystkie strony, które przedstawiły uwagi na piśmie, sądzę, że dyrektywa nie przewiduje ogólnego prawa do bycia zapomnianym w tym sensie, że osoba, której dane dotyczą, ma prawo do ograniczenia lub zakończenia rozpowszechniania danych osobowych, które uważa za szkodliwe lub sprzeczne ze swoimi interesami. Cele przetwarzania oraz interesy, którym ono służy, w porównaniu z celami osoby, której dane dotyczą, stanowią kryteria, które należy zastosować przy przetwarzaniu danych bez zgody tej osoby, a nie jej subiektywne upodobania. Same subiektywne preferencje nie są równoznaczne z ważnymi i uzasadnionymi przyczynami w rozumieniu art. 14 lit. a) dyrektywy.
109. Nawet jeśli Trybunał miałby uznać, że dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej byliby odpowiedzialni jako administratorzy, quod non, za dane osobowe znajdujące się na źródłowych stronach internetowych osób trzecich, osobie, której dane dotyczą, nadal nie przysługiwałoby bezwzględne „prawo do bycia zapomnianą”, na które można byłoby się powołać przeciwko tym dostawcom usług. Niemniej jednak dostawca usług musiałby przyjąć pozycję wydawcy źródłowej strony internetowej i zweryfikować, czy rozpowszechnianie danych osobowych na stronie internetowej może wówczas zostać uznane za legalne i uzasadnione dla celów dyrektywy. Innymi słowy, dostawca usług musiałby zarzucić swoją funkcję pośrednika pomiędzy użytkownikiem a wydawcą i przyjąć odpowiedzialność za treść źródłowej strony internetowej, a w razie potrzeby, ocenzurować treść poprzez uniemożliwienie lub ograniczenie dostępu do niej.
110. Tytułem uzupełnienia wywodu warto przypomnieć, że wniosek Komisji dotyczący ogólnego rozporządzenia w sprawie ochrony danych przewiduje w swoim art. 17 prawo do bycia zapomnianym. Jednakże wydaje się, że wniosek spotkał się ze znacznym sprzeciwem i nie ma stanowić kodyfikacji dotychczasowego prawa, ale istotną innowację prawną. W związku z tym wydaje się, że nie wpływa on na odpowiedź, której należy udzielić na pytanie prejudycjalne. Niemniej jednak interesujące jest, że zgodnie z art. 17 ust. 2 wniosku „[w] przypadku podania przez administratora, […] danych osobowych do wiadomości publicznej, podejmuje on wszelkie uzasadnione kroki, […] w odniesieniu do danych, za których publikację odpowiada, by poinformować osoby trzecie przetwarzające takie dane, iż podmiot danych wnioskuje o usunięcie linków do danych, kopii lub replikacji tych danych osobowych”. Takie sformułowanie wydaje się uznawać dostawców usług wyszukiwania za pomocą wyszukiwarki internetowej raczej za osoby trzecie niż za administratorów danych jako takich.
111. W związku z powyższym dochodzę do wniosku, że art. 12 lit. b) oraz art. 14 lit. a) dyrektywy nie przewidują prawa do bycia zapomnianym. Następnie rozważę, czy taka wykładnia przywołanych przypisów jest zgodna z kartą.
C – Istotne dla sprawy prawa podstawowe
112. Artykuł 8 karty gwarantuje każdemu prawo do ochrony danych osobowych, które go dotyczą. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania. Przestrzeganie tych zasad podlega kontroli niezależnego organu.
113. Moim zdaniem to prawo podstawowe, stanowiące przypieczętowanie dorobku prawnego Unii Europejskiej oraz Rady Europy w tej dziedzinie, podkreśla znaczenie ochrony danych osobowych, ale jako takie nie dodaje żadnych znaczących nowych elementów do wykładni dyrektywy.
114. Zgodnie z art. 7 karty każdy ma prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się. Przepis ten, który zasadniczo jest tożsamy z art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności, podpisanej w Rzymie w dniu 4 listopada 1950 r. (zwanej dalej „EKPC”), musi być należycie wzięty pod uwagę przy dokonywaniu wykładni stosownych przepisów dyrektywy, która wymaga od państw członkowskich szczególnie ochrony prawa do prywatności.
115. Pragnę przypomnieć w kontekście EKPC, że jej art. 8 również obejmuje zagadnienia dotyczące ochrony danych osobowych. Z tej przyczyny oraz zgodnie z art. 52 ust. 3 karty orzecznictwo Europejskiego Trybunału Praw Człowieka w przedmiocie art. 8 EKPC ma znaczenie zarówno dla wykładni art. 7 karty, jak i stosowania dyrektywy zgodnie z art. 8 karty.
116. Europejski Trybunał Praw Człowieka stwierdził w sprawie Niemietz, że działalność zawodowa i gospodarcza osoby fizycznej może wchodzić w zakres życia prywatnego chronionego art. 8 EKPC(79). Podejście to stosowane było w późniejszym orzecznictwie tego Trybunału.
117. Ponadto tutejszy Trybunał orzekł w wyroku w sprawie Volker und Markus Schecke i Eifert(80), że „należy uznać z jednej strony, że poszanowanie życia prywatnego w kontekście przetwarzania danych osobowych, uznane w art. 7 i 8 karty, odnosi się do wszelkich informacji [podkreślenie własne] dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej […], a z drugiej strony, że ograniczenia prawa do ochrony danych osobowych mogą być uzasadnione, jeżeli odpowiadają tym, które są tolerowane w ramach art. 8 EKPC”.
118. W oparciu o wyrok w sprawie Volker und Markus Schecke i Eifert dochodzę do wniosku, że ochrona życia prywatnego na podstawie karty odnośnie do przetwarzania danych osobowych obejmuje wszystkie informacje dotyczące osoby bez względu na to, czy działa ona w sferze czysto prywatnej, czy też jako podmiot gospodarczy, lub przykładowo polityk. W związku z szerokim pojęciem danych osobowych i ich przetwarzania w prawie UE wydaje się, iż ze wspomnianego powyżej orzecznictwa wynika, że każdy akt komunikacji dokonany dzięki zautomatyzowanym procesom takim jak za pośrednictwem urządzeń telekomunikacyjnych, poczty elektronicznej lub mediów społecznościowych dotyczący osób fizycznych stanowi jako taki domniemaną ingerencję w to prawo podstawowe, która wymaga uzasadnienia(81).
119. W pkt 75 doszedłem do wniosku, że dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej jest zaangażowany w przetwarzanie danych osobowych wyświetlanych na źródłowych stronach internetowych osób trzecich. Stąd z wyroku Trybunału w sprawie Volker und Markus Schecke i Eifert wynika, że niezależnie od tego, jak klasyfikowana jest jego rola na podstawie dyrektywy, występuje ingerencja w wyrażone w art. 7 karty prawo do prywatności osób, których dane dotyczą. Zgodnie z EKPC oraz kartą jakakolwiek ingerencja w prawa chronione opierać się musi na ustawie i powinna być niezbędna w społeczeństwie demokratycznym. W niniejszej sprawie nie mamy do czynienia z ingerencją ze strony władz publicznych wymagającą uzasadnienia, ale z pytaniem dotyczącym zakresu, w jakim może być tolerowana ingerencja ze strony osób prywatnych. Ograniczenia w tym zakresie zostały ustanowione w dyrektywie, a zatem oparte są na ustawie, zgodnie z wymogami EKPC oraz karty. Zatem przy dokonywaniu wykładni dyrektywy należy zinterpretować właśnie ograniczenia ustanowione względem przetwarzania danych przez podmioty prywatne w świetle karty. Wynika z tego pytanie, czy na Unii oraz państwach członkowskich ciąży pozytywny obowiązek egzekwowania, wobec dostawców wyszukiwania za pomocą wyszukiwarki internetowej, którzy stanowią podmioty prywatne, prawa do bycia zapomnianym(82). To pytanie z kolei prowadzi do zagadnienia uzasadnienia ingerencji w art. 7 i 8 karty oraz związku z konkurencyjnymi prawami wolności wypowiedzi i informacji oraz z prawem do prowadzenia działalności gospodarczej.
D – Prawa do wolności wypowiedzi i informacji oraz prawo do prowadzenia działalności gospodarczej
120. Niniejsza sprawa dotyczy pod wieloma względami wolności wypowiedzi i informacji przewidzianej w art. 11 karty, która odpowiada art. 10 EKPC. Artykuł 11 ust. 1 karty stanowi, że „[k]ażdy ma prawo do wolności wypowiedzi. Prawo to obejmuje wolność posiadania poglądów oraz otrzymywania i przekazywania informacji i idei bez ingerencji władz publicznych i bez względu na granice państwowe”(83).
121. Prawo użytkowników Internetu do poszukiwania i uzyskiwania informacji udostępnionych w Internecie chronione jest art. 11 karty(84). Dotyczy to zarówno informacji znajdujących się na źródłowych stronach internetowych, jak i informacji udostępnianych przez wyszukiwarki internetowe. Jak już wspomniałem, Internet zrewolucjonizował dostęp do informacji oraz rozpowszechnianie wszelkich rodzajów informacji, jak również umożliwił nowe formy komunikacji oraz interakcji społecznych pomiędzy osobami fizycznymi. W moim przekonaniu prawo podstawowe do informacji zasługuje na szczególną ochronę w prawie UE, w szczególności w świetle stale rosnącej tendencji reżimów autorytarnych w innym częściach świata do ograniczania dostępu do Internetu lub cenzurowania treści, które są tam udostępnione(85).
122. Wydawcy stron internetowych również korzystają z ochrony zapewnionej przez art. 11 karty. Udostępnianie treści w Internecie oznacza samo w sobie korzystanie z wolności wypowiedzi(86), tym bardziej gdy wydawca zamieścił na swojej stronie linki do innych stron i nie ograniczył jej indeksowania lub archiwizowania przez wyszukiwarki, tym samym wyrażając życzenie szerszego rozpowszechniania treści. Publikacja w sieci stanowi dla osób fizycznych narzędzie uczestnictwa w debacie lub rozpowszechniania ich własnych treści lub treści zamieszczonych w Internecie przez innych(87).
123. W szczególności, wniosek o wydanie w niniejszej sprawie orzeczenia w trybie prejudycjalnym dotyczy danych osobowych opublikowanych w archiwach historycznych gazety. W wyroku w sprawie Times Newspapers Ltd przeciwko Zjednoczonemu Królestwu (nr 1 i nr 2) Europejski Trybunał Praw Człowieka podniósł, że archiwa internetowe wnoszą znaczący wkład do zachowania i udostępniania wiadomości i informacji: „Takie archiwa stanowią ważne źródło dla edukacji i badań historycznych, w szczególności z uwagi na łatwą dostępność dla społeczeństwa oraz z uwagi na to, że zazwyczaj są bezpłatne […]. Jednakże margines uznania przyznany państwom przy dokonywaniu wyważenia pomiędzy konkurującymi prawami prawdopodobnie będzie większy, jeśli chodzi o archiwa wiadomości dotyczące wydarzeń przeszłych niż relacjonowania bieżących wydarzeń. W szczególności ciążący na prasie obowiązek postępowania zgodnie z zasadami odpowiedzialnego dziennikarstwa poprzez zachowanie dokładności [podkreślenie własne] prawdopodobnie będzie bardziej rygorystyczny w przypadku informacji historycznych niż wiadomości bieżących, z uwagi na brak pośpiechu przy publikowaniu materiału”(88).
124. Dostawcy komercyjnych usług wyszukiwania za pomocą wyszukiwarek internetowych oferują swoje usługi lokalizacji informacji w ramach działalności gospodarczej ukierunkowanej na uzyskanie przychodów z reklamy kontekstowej. Działalność taka stanowi zatem działalność gospodarczą, której wolność prowadzenia jest uznawana na podstawie art.16 karty zgodnie z prawem UE oraz prawem krajowym(89).
125. Co więcej, należy przypomnieć, że żadne z praw podstawowych wchodzących w grę w tym przypadku nie ma charakteru bezwzględnego. Mogą być ograniczone pod warunkiem, że istnieje uzasadnienie możliwe do przyjęcia w świetle przesłanek określonych w art. 52 ust. 1 karty(90).
E – Czy prawo podmiotu do „bycia zapomnianym” można wyprowadzić z art. 7 karty?
126. Wreszcie należy zastanowić się, czy wykładnia art. 12 lit. b) i art. 14 lit. a) dyrektywy w świetle karty, a szczególnie jej art. 7, mogłaby prowadzić do uznania „prawa do bycia zapomnianym” w sensie określonym przez sąd krajowy. A priori takie stwierdzenie nie byłoby sprzeczne z art. 51 ust. 2 karty, ponieważ określałoby zakres prawa dostępu osoby, której dane dotyczą, oraz jej prawa do sprzeciwu uznanego już dyrektywą, a nie tworzenia nowych praw, czy też rozszerzania zakresu prawa UE.
127. Europejski Trybunał Praw Człowieka orzekł w sprawie Aleksey Ovchinnikov(91), że „w pewnych okolicznościach ograniczenie dotyczące odtwarzania informacji, które już zostały udostępnione opinii publicznej, może być uzasadnione przykładowo, aby zapobiec dalszemu nagłaśnianiu szczegółów z życia prywatnego danej osoby, które nie wchodzą w zakres żadnej debaty politycznej czy też publicznej dotyczącej kwestii o wymiarze ogólnym”. Zatem podstawowe prawo do ochrony życia prywatnego może zostać co do zasady przywołane, nawet jeśli dane informacje zostały już przekazane do publicznej wiadomości.
128. Jednakże przysługujące osobie, której dane dotyczą, prawo do ochrony jej życia prywatnego należy wyważyć z innymi prawami podstawowymi, a szczególnie z wolnością wypowiedzi i wolnością informacji.
129. Wolność informacji przysługująca wydawcy gazety chroni jego prawo do cyfrowej ponownej publikacji w Internecie drukowanej wersji gazety. Moim zdaniem władze, w tym organy ds. ochrony danych, nie mogą cenzurować takiej ponownej publikacji. Wyrok Europejskiego Trybunału Praw Człowieka w sprawie Times Newspapers Ltd przeciwko Zjednoczonemu Królestwu (nr 1 i nr 2)(92) pokazuje, że odpowiedzialność wydawcy dotycząca dokładności publikacji historycznych może być bardziej rygorystyczna niż w przypadku wiadomości bieżących i może wymagać zastosowania odpowiednich zastrzeżeń uzupełniających do zakwestionowanej treści. Jednakże moim zdaniem nie może być uzasadnienia dla żądania ponownej publikacji cyfrowej danego wydania papierowego o treści odmiennej od pierwotnie opublikowanej wersji drukowanej. Oznaczałoby to fałszowanie historii.
130. Problem ochrony danych osobowych stanowiący sedno niniejszego postępowania pojawia się wyłącznie, jeśli użytkownik Internetu wpisze imię i nazwiska osoby, której dane dotyczą, do takiej wyszukiwarki, tym samym uzyskując link do stron internetowych gazety z zakwestionowanymi ogłoszeniami. W takiej sytuacji użytkownik Internetu aktywnie korzysta z przysługującego mu prawa do uzyskiwania informacji dotyczących osoby, której dane dotyczą, ze źródeł publicznych z przyczyn znanych tylko jemu(93).
131. We współczesnym społeczeństwie informacyjnym prawo do wyszukiwania informacji opublikowanych w Internecie za pomocą wyszukiwarek stanowi jeden z najważniejszych sposobów korzystania z tego prawa podstawowego. Prawo to niewątpliwie obejmuje prawo do szukania informacji dotyczących innych osób, czyli co do zasady chronionych prawem do życia prywatnego, takich jak informacje w Internecie dotyczące działalności danej osoby w charakterze przedsiębiorcy czy też polityka. Prawo do informacji przysługujące użytkownikowi Internetu byłoby zagrożone, jeśli jego poszukiwania informacji dotyczących danej osoby nie dawałyby wyników wyszukiwania zapewniających prawdziwe odzwierciedlenie odpowiednich stron internetowych, ale ich „bowdlerowską”(94) wersję.
132. Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej zgodnie z prawem korzysta zarówno z przysługującej mu wolności prowadzenia działalności gospodarczej, jak i wolności wypowiedzi przy udostępnianiu internetowych narzędzi lokalizacji informacji opierających się na wyszukiwarce.
133. Szczególnie złożona i skomplikowana konstelacja praw podstawowych zaprezentowana w niniejszej sprawie nie daje możliwości uzasadnienia na podstawie dyrektywy wzmocnienia statusu prawnego osób, których dane dotyczą, oraz wzbogacenia go o prawo do bycia zapomnianym. Pociągałoby to za sobą poświęcenie kluczowych praw, takich jak swoboda wypowiedzi czy prawo do informacji. Nie zachęcałbym również Trybunału do wyprowadzenia wniosku, że te sprzeczne interesy można z powodzeniem wyważyć w indywidualnych przypadkach każdorazową ocenę pozostawiając dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej. Takie procedury „powiadamiania i usuwania”, jeśli wymagałby tego Trybunał, mogłyby prowadzić albo do automatycznego usuwania linków do treści objętych sprzeciwem, albo do niewyobrażalnej liczby wniosków, które musieliby rozpatrzyć dostawcy usług wyszukiwania za pomocą najbardziej popularnych wyszukiwarek(95). W tym kontekście należy przypomnieć, że procedury „powiadamiania i usuwania”, które pojawiają się w dyrektywie o handlu elektronicznym, odnoszą się do treści niezgodnych z prawem, a w kontekście niniejszej sprawy mamy do czynienia z wnioskiem o pominięcie informacji legalnych i uzasadnionych, które podane zostały do wiadomości publicznej.
134. W szczególności dostawcy usług wyszukiwania za pomocą wyszukiwarek internetowych nie powinni być obarczani takim obowiązkiem. Pociągałoby to za sobą ingerencję w wolność wypowiedzi wydawcy strony internetowej, który w takiej sytuacji nie korzystałby z odpowiedniej ochrony, jako że jakakolwiek nieuregulowana „procedura powiadamiania i usuwania” stanowi sprawę prywatną pomiędzy osobą, której dane dotyczą, a dostawcą usług wyszukiwania za pomocą wyszukiwarek internetowych(96). Byłoby to równoznaczne z cenzurowaniem opublikowanych treści przez osobę prywatną(97). Zupełnie odmienną sytuacją jest ciążący na państwach pozytywny obowiązek zapewnienia skutecznego środka prawnego wobec wydawcy dopuszczającego się naruszenia prawa do życia prywatnego, który w kontekście Internetu dotyczyłby wydawcy strony internetowej.
135. Jak zauważyła Grupa Robocza Artykułu 29, możliwe jest, że wtórna odpowiedzialność dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej na podstawie prawa krajowego doprowadziłaby do obowiązków oznaczających zablokowanie dostępu do stron internetowych osób trzecich zawierających treści nielegalne, takich jak strony internetowe naruszające prawa własności intelektualnej lub wyświetlające informacje oszczercze lub kryminalne(98).
136. Natomiast nie można powoływać się przeciw nim na żadne ogólne prawo do bycia zapomnianym na podstawie dyrektywy, nawet jeśli ona jest interpretowana zgodnie z kartą.
137. Z tych powodów proponuję, aby Trybunał udzielił odpowiedzi na trzecie pytanie prejudycjalne w ten sposób, że prawa do usunięcia i zablokowania danych przewidziane w art. 12 lit. b) oraz prawo do sprzeciwu przewidziane w art. 14 lit. a) dyrektywy nie rozciągają się na takie prawo do bycia zapomnianym, jakie zostało opisane we wniosku o wydanie orzeczenia w trybie prejudycjalnym.
VIII – Wnioski
138. W świetle powyższych rozważań jestem zdania, że na pytania przedłożone przez Audiencia Nacional Trybunał powinien udzielić odpowiedzi następującej:
1) Przetwarzanie danych osobowych odbywa się w kontekście „działalności gospodarczej” administratora danych w rozumieniu art. 14 ust. 1 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, gdy przedsiębiorstwo zapewniające wyszukiwarkę internetową ustanawia w danym państwie członkowskim, dla celów promowania i sprzedaży powierzchni reklamowych w wyszukiwarce internetowej, oddział lub spółkę zależną, których działalność skierowana jest do osób mieszkających w tym państwie.
2) Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej, którego wyszukiwarka dokonuje lokalizacji informacji opublikowanych lub zamieszczonych w Internecie przez osoby trzecie, indeksuje je automatycznie, przechowuje czasowo i wreszcie udostępnia użytkownikom Internetu według określonej kolejności preferencji, „przetwarza” dane osobowe w rozumieniu art. 2 lit. b) dyrektywy 95/46, kiedy informacje te zawierają dane osobowe.
Jednakże dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej nie można uznać za „administratora” przetwarzania takich danych osobowych w rozumieniu art. 2 lit. d) dyrektywy 95/46, z wyjątkiem zawartości indeksu jego wyszukiwarki, pod warunkiem że dostawca usług nie indeksuje ani nie archiwizuje danych osobowych niezgodnie z instrukcjami lub wnioskami wydawcy strony internetowej.
3) Prawa do usunięcia i zablokowania danych przewidziane w art. 12 lit. b) oraz prawo do sprzeciwu przewidziane w art. 14 lit. a) dyrektywy 95/46 nie przyznają osobie, której dane dotyczą, prawa do zwracania się do dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej celem uniemożliwienia indeksowania informacji dotyczących jej osobiście, opublikowanych legalnie na stronach internetowych osób trzecich, w oparciu o życzenie tej osoby, by takie informacje nie były znane użytkownikom Internetu, gdy uzna ona, że może to być dla niej szkodliwe, lub pragnie, by informacje te zostały zapomniane.