FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
NIILO JÄÄSKINEN
föredraget den 25 juni 2013(1)
Mål C‑131/12
Google Spain SL
Google Inc.
mot
Agencia Española de Protección de Datos (AEPD)
Mario Costeja González
(begäran om förhandsavgörande från Audiencia Nacional (Spanien))
”World Wide Web – Personuppgifter – Sökmotorer – Dataskyddsdirektivet 95/46 – Tolkning av artiklarna 2 b, 2 d, 4.1 a, 4.1 c, 12 b och 14 a – Territoriellt tillämpningsområde – Begreppet etablering på en medlemsstats territorium – Materiellt tillämpningsområde (ratione materiae) – Begreppet behandling av personuppgifter – Begreppet registeransvarig för behandling av personuppgifter – Rätten att utplåna och blockera data – ”Rätten att bli glömd” – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8, 11 och 16”
I – Inledning
1. I sin artikel ”The Right to Privacy” i Harvard Law Review 1890,(2) beklagade Samuel D. Warren och Louis D. Brandeis det faktum att ”[a]ktuella uppfinningar och affärsmetoder” såsom ”[ö]gonblickliga fotografier och tidningsverksamhet har invaderat privat- och hemlivets heliga sfär”. I samma artikel hänvisade de till ”nästa steg som måste tas för att skydda individen”.
2. Nuförtiden har skyddet för personuppgifter och privatlivet blivit allt viktigare. Innehåll som omfattar personuppgifter, vare sig detta är i form av textmaterial eller audiovisuellt material, kan omedelbart och permanent göras tillgängligt i digitalt format över hela världen. Internet har revolutionerat våra liv genom att avlägsna tekniska och institutionella hinder mot spridning och mottagande av information och har skapat en plattform för olika tjänster i informationssamhället. Dessa tjänster gynnar konsumenter, företag och samhället som helhet. Detta har lett till helt nya omständigheter som kräver att en avvägning görs mellan, å ena sidan, olika grundläggande rättigheter som yttrandefriheten, informationsfriheten och näringsfriheten och, å andra sidan, skyddet för personuppgifter och privatliv.
3. Inom ramen för internet utmärker sig tre situationer med avseende på personuppgifter. Den första är när inslag av personuppgifter offentliggörs på en webbsida på internet(3) (nedan kallad källwebbsidan).(4) Den andra är när en sökmotors sökresultat hänvisar internetanvändaren till källwebbsidan. Den tredje situationen, ett mindre synligt förfarande, äger rum när en internetanvändare gör en sökning med hjälp av en sökmotor och vissa av användarens personuppgifter, såsom IP-adressen från vilken sökningen sker, överförs till sökmotorleverantören.(5)
4. Med avseende på den första situationen fann domstolen redan i målet Lindqvist att den omfattas av direktiv 95/46/EG(6) (nedan kallat dataskyddsdirektivet eller direktivet). Den tredje situationen är inte aktuell i förevarande mål och det pågår för närvarande administrativa förfaranden som har inletts av nationella dataskyddsmyndigheter i syfte att klargöra i vilken utsträckning de unionsrättsliga dataskyddsreglerna ska tillämpas på sökmotoranvändare.(7)
5. Begäran om förhandsavgörande i detta mål gäller den andra situationen. Begäran har framställts av Spaniens högsta domstol, Audiencia Nacional, inom ramen för en rättegång mellan Google Spain SL och Google Inc. (nedan gemensamt, eller var och en för sig, kallade Google), på ena sidan, samt Agencia Española de Protección de Datos (nedan kallad AEPD) och Mario Costeja González (nedan kallad den registrerade), på andra sidan. Rättegången avser tillämpningen av dataskyddsdirektivet på en sökmotor som Google driver i egenskap av tjänsteleverantör. Det är klarlagt i det nationella målet att en spansk tidning år 1998 publicerade vissa personuppgifter om den registrerade i två skriftliga upplagor av tidningen. Båda dessa upplagor återpublicerades vid en senare tidpunkt i en elektronisk version på internet. Den registrerade anser nu att uppgifterna inte längre bör anges bland de sökresultat som den av Google drivna sökmotorn visar vid en sökning på den registrerades för- och efternamn.
6. De tolkningsfrågor som har hänskjutits till domstolen kan delas in i tre grupper.(8) Den första gruppen avser de unionsrättsliga dataskyddsreglernas territoriella tillämpningsområde. Den andra gruppen gäller sökmotorleverantörernas(9) rättsliga ställning mot bakgrund av direktivet, särskilt med avseende på dess materiella tillämpningsområde (ratione materiae). Den tredje gruppen gäller, slutligen, den så kallade rätten att bli glömd och huruvida registrerade kan begära att det inte längre ska vara möjligt att få tillgång till alla eller några av de sökresultat som avser dem via sökmotorn. Dessa frågor, vilka också ger upphov till viktiga frågeställningar om skyddet för grundläggande rättigheter, är nya för domstolen.
7. Detta förefaller vara det första mål där domstolen har ombetts att tolka direktivet med avseende på sökmotorer, vilket är en fråga som verkar vara av aktuellt intresse för nationella dataskyddsmyndigheter och domstolar i medlemsstaterna. Således har den hänskjutande domstolen antytt att flera rättegångar av detta slag har anhängiggjorts vid den.
8. Det hittills viktigaste målet i domstolens praxis där frågor rörande dataskydd och internet bedömdes var Lindqvist.(10) Det målet hade dock inte att göra med sökmotorer. Direktivet som sådant har tolkats i många mål. Bland dessa är målen Österreichischer Rundfunk,(11) Satakunnan Markkinapörssi och Satamedia(12) samt Volker und Markus Schecke och Eifert(13) av särskild relevans. Domstolen har också bedömt sökmotorernas roll i förhållande till immateriella rättigheter och domstolarnas jurisdiktion i målen Google France och Google, Portakabin, L’Oréal m.fl., Interflora och Interflora British Unit och Wintersteiger.(14)
9. Sedan direktivet antogs har en bestämmelse om skydd av personuppgifter intagits i artikel 16 FEUF och i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan). År 2012 lade kommissionen vidare fram ett förslag om en allmän uppgiftsskyddsförordning,(15) som skulle ersätta direktivet. Förevarande mål ska dock avgöras på grundval av befintlig lagstiftning.
10. Förevarande begäran om förhandsavgörande påverkas av att internet, i dess nuvarande betydelse i form av World Wide Web, inte existerade när kommissionen framlade förslaget till direktiv år 1990, vilket också var fallet med sökmotorer. När direktivet antogs år 1995 var internet en ny företeelse och de allra första, outvecklade sökmotorerna började dyka upp. Det var dock inte någon som kunde förutspå de genomgripande effekter internet skulle komma att ha på vår värld. Nuförtiden kan nästan alla personer som har en smarttelefon eller dator anses ägna sig åt aktiviteter på internet på vilka direktivet skulle kunna vara tillämpligt.
II – Tillämpliga bestämmelser
A – Dataskyddsdirektivet
11. Enligt artikel 1 i direktivet ska medlemsstaterna, i enlighet med direktivet, skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.
12. I artikel 2 definieras bland annat begreppen ”personuppgifter”, ”den registrerade”, ”behandling av personuppgifter” och ”registeransvarig” för behandling av personuppgifter och ”tredje man”.
13. Enligt artikel 3 gäller direktivet för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom, i vissa situationer, för annan behandling än automatisk.
14. Enligt artikel 4.1 ska en medlemsstat tillämpa de nationella bestämmelser som den för genomförandet av direktivet antar för behandlingen av personuppgifter när den registeransvarige är etablerad inom medlemsstatens territorium eller, när den registeransvarige inte är etablerad i unionen, om den registeransvarige använder utrustning som befinner sig på den nämnda medlemsstatens territorium för att behandla personuppgifter.
15. Artikel 12 i direktivet tillerkänner registrerade en ”rätt till tillgång” till personuppgifter som behandlas av den registeransvarige och artikel 14 tillerkänner registrerade en ”rätt att göra invändningar” mot behandling av personuppgifter i vissa situationer.
16. Genom artikel 29 i direktivet inrättades en oberoende arbetsgrupp sammansatt, bland annat, av medlemsstaternas tillsynsmyndigheter (nedan kallad Artikel 29-arbetsgruppen).
B – Nationell rätt
17. Direktivet införlivades med spansk rätt genom lag 15/1999 om skydd av personuppgifter.(16)
III – Bakgrund och tolkningsfrågor
18. I början av år 1998 publicerade en tidning med en stor läsekrets i Spanien i sin tryckta utgåva två kungörelser om en exekutiv fastighetsauktion i samband med ett utmätningsförfarande till följd av obetalda socialförsäkringsavgifter. Den registrerade omnämndes som ägare av fastigheten. Vid ett senare tillfälle lade utgivaren ut en elektronisk version av tidningen på internet.
19. I november 2009 kontaktade den registrerade tidningsutgivaren och hävdade att det, när hans för- och efternamn angavs i Googles sökmotor, visades en hänvisning till de sidor i tidningen som innehöll kungörelserna om fastighetsauktionen. Han hävdade att utmätningsförfarandet hade avslutats flera år tidigare och inte längre var relevant. Tidningsutgivaren svarade att det inte var lämpligt att utplåna uppgifterna om honom då de hade publicerats på uppdrag av arbetsmarknads- och socialministeriet.
20. I februari 2010 kontaktade den registrerade Google Spain och begärde att sökresultaten inte skulle visa någon länk till tidningen när hans för- och efternamn angavs i Googles sökmotor. Google Spain vidarebefordrade begäran till Google Inc., med säte i Kalifornien, Förenta staterna, och menade att det var det företaget som tillhandahöll söktjänsten på internet.
21. Den registrerade anmälde därefter tidningsutgivaren till AEPD och begärde att denne skulle föreläggas att avlägsna eller rätta publikationen så att den registrerades personuppgifter inte längre visades eller att utgivaren annars skulle skydda den registrerades personuppgifter med hjälp av de verktyg som gjorts tillgängliga av sökmotorer. Han begärde också att Google Spain eller Google Inc. skulle föreläggas att ta bort eller dölja uppgifterna om honom så att de inte längre skulle ingå bland sökresultaten och tillhandahålla länkar till tidningen.
22. Direktören för AEPD fann att det fanns grund för den registrerades anmälan mot Google Spain och Google Inc. och förelade dem i beslut av den 30 juli 2010 att vidta nödvändiga åtgärder för att avlägsna uppgifterna från sina index och göra det omöjligt att komma åt uppgifterna i framtiden. AEPD avslog dock anmälan mot tidningsutgivaren, eftersom publiceringen av uppgifterna i pressen hade laglig grund. Google Spain och Google Inc. överklagade i varsin talan beslutet till den hänskjutande domstolen och yrkade att AEPD:s beslut skulle ogiltigförklaras.
23. Den nationella domstolen beslutade därför att vilandeförklara målet och hänskjuta följande tolkningsfrågor till domstolen:
”1. Beträffande det territoriella tillämpningsområdet för [direktivet] och därmed för den spanska dataskyddslagstiftningen:
1.1 Kan det anses föreligga en ’etablering’ i den mening som avses i artikel 4.1 a i [direktivet] när någon eller några av följande omständigheter föreligger:
– när det företag som tillhandahåller sökmotorn etablerar ett kontor eller ett dotterbolag i en medlemsstat för att marknadsföra och sälja reklamutrymme hos sökmotorn och dess verksamhet är riktad mot invånarna i nämnda medlemsstat,
eller
– när moderföretaget utser ett dotterbolag i nämnda medlemsstat till sin representant och ansvarig för behandlingen av två särskilda arkiveringssystem som avser uppgifter om kunder som har tecknat avtal om reklam med företaget,
eller
– när det kontor eller det dotterbolag som är etablerat i en medlemsstat till moderbolaget vidarebefordrar ansökningar och krav från registrerade personer och tillsynsmyndigheter som är ställda till moderföretaget, vilket har sitt säte utanför Europeiska unionen, även om detta samarbete sker på frivillig grund?
1.2 Ska artikel 4.1 c i [direktivet] tolkas så att det är fråga om ’använd[ning av] ... utrustning som befinner sig på den nämnda medlemsstatens territorium’
– när en sökmotor använder sig av spindlar eller robotar för att lokalisera och indexera information på webbsidor som finns på servrar i den nämnda medlemsstaten
eller
– när den använder ett domännamn med anknytning till en medlemsstat och ombesörjer att sökningar och sökresultat styrs av den nämnda medlemsstatens språk?
1.3 Kan tillfällig lagring av information som sökmotorerna har indexerat anses vara användning av utrustning i den mening som avses i artikel 4.1 c i [direktivet]? För det fall denna fråga ska besvaras jakande, kan denna anknytning anses föreligga om företaget med hänvisning till konkurrensskäl vägrar att avslöja var det lagrar dessa index?
1.4 Oberoende av svaren på föregående frågor och särskilt om [domstolen] finner att en sådan anknytning som avses i artikel 4 i direktivet inte föreligger
ska [direktivet], mot bakgrund av artikel 8 i [stadgan], tillämpas i den medlemsstat där tyngdpunkten för konflikten finns och där ett effektivare skydd för unionsmedborgarnas rättigheter kan uppnås?
2. Beträffande söktjänsternas verksamhet som innehållsleverantörer med avseende på [direktivet]:
2.1 Vad beträffar den verksamhet som företaget Googles sökmotor på internet bedriver i egenskap av innehållsleverantör, vilken utgörs av att lokalisera information som har offentliggjorts eller lagts ut på internet av tredje man, indexera den på automatisk väg, lagra den tillfälligt och slutligen ställa den till förfogande för internetanvändare enligt en viss prioriteringsordning, om informationen innehåller personuppgifter om tredje man,
ska en verksamhet som den ovan beskrivna anses omfattas av begreppet ’behandling av ... uppgifter’ i artikel 2 b i [direktivet]?
2.2 För det fall denna fråga ska besvaras jakande, ska, även i detta fall beträffande en verksamhet som den ovan beskrivna, artikel 2 d i [direktivet] tolkas så att det företag som sköter sökmotorn ’Google’ anses vara ’registeransvarigt’ för de personuppgifter som finns på de webbsidor som indexeras av sökmotorn?
2.3 För det fall denna fråga ska besvaras jakande, får den nationella dataskyddsmyndigheten (i det här fallet [AEPD]), för att skydda de rättigheter som avses i artiklarna 12 b och 14 a i [direktivet], direkt förelägga företaget Googles sökmotor att från sina index avlägsna information som har offentliggjorts av tredje man, utan att först eller samtidigt ha vänt sig till innehavaren av den webbsida där informationen finns?
2.4 För det fall denna fråga ska besvaras jakande, undantas sökmotorerna från skyldigheten att skydda dessa rättigheter när informationen som innehåller personuppgifter har offentliggjorts av tredje man i laga ordning och finns kvar på den ursprungliga webbsidan?
3. Beträffande räckvidden av rätten till utplåning och rätten att göra invändningar, i förhållande till ’rätten att bli glömd’, ställs följande fråga:
3.1 Ska rätten till utplåning eller blockering av uppgifter som regleras i artikel 12 b samt rätten att göra invändningar som regleras i artikel 14 a i [direktivet] anses innefatta att den registrerade får vända sig till sökmotorerna för att förhindra att information om honom som har offentliggjorts på webbsidor tillhörande tredje man indexeras, på grund av att han inte vill att informationen ska komma till internetanvändarnas kännedom när han anser att den kan skada honom eller att den ska bli glömd, även om det rör sig om information som har offentliggjorts i laga ordning av tredje man?”
24. Google, den spanska, den grekiska, den italienska, den polska och den österrikiska regeringen samt kommissionen har inkommit med skriftliga yttranden. Med undantag för den polska regeringen yttrade sig samtliga dessa parter muntligen vid förhandlingen den 26 februari 2013, vilket även den registrerades ombud gjorde.
IV – Inledande synpunkter
A – Inledande anmärkningar
25. Den centrala frågan i detta mål är hur sökmotorleverantörernas roll ska tolkas mot bakgrund av gällande unionsrättsakter om dataskydd, framför allt direktivet. Det kan därför vara hjälpsamt att inleda med några anmärkningar om bakgrunden till dataskyddet, internet och sökmotorer.
26. När direktivet förhandlades och antogs 1995,(17) gavs det ett omfattande materiellt tillämpningsområde (ratione materiae). Syftet med detta var att göra det möjligt att hålla jämn takt med tekniska framsteg avseende databehandling som utfördes av registeransvariga som var mer utspridda än de arkiveringssystem som grundade sig på traditionella centraliserade databanker, vilket även omfattade utveckling av nya typer av personuppgifter, såsom bilder, och behandlingsmetoder, såsom fritextsökningar.(18)
27. År 1995 var den allmänna tillgången till internet en ny företeelse. Nu, nästan 20 år senare, har mängden digitalt innehåll på internet formligen exploderat. Det är lätt att få tillgång till, läsa och sprida innehållet genom sociala medier och det är lika lätt att ladda ner det till olika typer av utrustning såsom tablettdatorer, smarttelefoner och bärbara datorer. Det är emellertid helt klart att gemenskapslagstiftaren inte hade förutsett den utveckling som skulle komma att förvandla internet till ett allmänt tillgängligt och sökbart allomfattande globalt informationslager.
28. Kärnan i det aktuella målet är att internet på ett hittills okänt sätt möjliggör och ökar informationsspridningen.(19) På samma sätt som uppfinningen av tryckpressen på 1400-talet gjorde det möjligt att producera ett obegränsat antal kopior som det tidigare hade varit nödvändigt att skriva för hand, innebär uppladdning av material på internet att en obegränsad krets får tillgång till information som det tidigare kanske endast skulle ha varit möjligt att hitta efter tidsödande sökningar och på ett begränsat antal fysiska platser. Allmän åtkomst till information på internet är en möjlighet överallt, med undantag för länder där myndigheterna har begränsat tillgången till internet genom olika tekniska åtgärder (såsom elektroniska brandväggar) eller där tillgången på telekommunikationer kontrolleras eller är knapp.
29. På grund av denna tekniska utveckling har direktivets tillämpningsområde kommit att bli oväntat omfattande i den moderna världen. Låt oss föreställa oss en europeisk professor i juridik som har laddat ner domstolens viktigaste praxis på sin bärbara dator. I direktivets mening skulle professorn kunna anses vara ”registeransvarig” för personuppgifter som härrör från tredje man. Professorn har filer med personuppgifter som behandlas automatiskt för sökning och läsning inom ramen för aktiviteter som inte är ett led i verksamhet av rent privat natur eller har samband med professorns hushåll. Faktum är att alla som läser en tidning på en tablettdator eller följer sociala medier på en smarttelefon synes behandla personuppgifter på automatisk väg och därför potentiellt kan omfattas av direktivets tillämpningsområde i den mån behandlingen inte endast sker för rent privata ändamål.(20) Vidare verkar domstolens extensiva tolkning av den grundläggande rätten till privatliv inom ramen för dataskydd innebära att alla kommunikationer som människor gör på elektronisk väg kan skärskådas med hänvisning till denna rätt.
30. På grund av de tekniska framsteg som gjorts är det i detta fall troligt att en oerhört stor mängd nya faktiska situationer skulle omfattas av de vidsträckta definitionerna av personuppgifter, behandling av personuppgifter och registeransvarig. Detta är fallet, eftersom många – kanske till och med de flesta – webbplatser och filer som är tillgängliga via dem innehåller personuppgifter, såsom namn på levande fysiska personer. För att undvika orimliga och alltför långtgående juridiska konsekvenser måste domstolen därför tillämpa ett skälighetsresonemang, det vill säga proportionalitetsprincipen, vid tolkningen av direktivets tillämpningsområde. En sådan skälighetsavvägning gjorde domstolen redan i målet Lindqvist, där domstolen avvisade en tolkning som skulle ha lett till ett orimligt omfattande tillämpningsområde för artikel 25 i direktivet som handlar om överföring av personuppgifter till tredjeland i samband med internet.(21)
31. I förevarande mål är det följaktligen nödvändigt att göra en rimlig och proportionell avvägning mellan skyddet för personuppgifter, en sammanhängande tolkning av ändamålen med informationssystemet samt näringsidkarnas och internetanvändarnas berättigade intressen i allmänhet. Även om direktivet inte har ändrats sedan det antogs år 1995, har det varit nödvändigt att tillämpa det på nya situationer. Det är ett komplicerat område där lag möter tekniska framsteg. Artikel 29-arbetsgruppens yttranden ger mycket värdefull information i detta avseende.(22)
B – Sökmotorer och dataskydd
32. Vid bedömningen av en sökmotors rättsliga ställning i förhållande till dataskyddsreglerna, ska följande aspekter beaktas.(23)
33. För det första skapar en sökmotor i sin mest grundläggande form i princip inte något nytt självständigt innehåll. I sin enklaste form anger en sökmotor bara var det är möjligt att hitta redan existerande innehåll, som tredje man har gjort tillgängligt på internet, genom att tillhandahålla en hyperlänk till den webbplats som innehåller sökbegreppet.
34. För det andra grundar sig de sökresultat som sökmotorn visar inte på en ögonblicklig genomsökning av hela World Wide Web, utan samlas in från innehåll som sökmotorn tidigare har behandlat. Det innebär att sökmotorn har hämtat innehåll från befintliga webbplatser och kopierat, analyserat och indexerat innehållet på sin egen utrustning. Det kopierade innehållet innefattar personuppgifter om någon av källwebbsidorna gör det.
35. För det tredje visar sökmotorer ofta extra innehåll bredvid länken till originalwebbplatsen för att göra resultatet mer användarvänligt. Det kan vara textsnuttar, audiovisuellt innehåll och till och med bilder av källwebbsidorna. Denna förhandsinformation kan åtminstone delvis hämtas från sökmotorleverantörens utrustning och inte ögonblickligen från originalwebbplatsen. Det betyder att tjänsteleverantören faktiskt innehar den information som visas på detta sätt.
C – Reglering av sökmotorer
36. Unionen har lagt stor vikt vid informationssamhällets utveckling. I detta sammanhang har också diskuterats vilken funktion informationssamhällets mellanmän har. Dessa mellanmän utgör en länk mellan innehållsleverantörerna och internetanvändarna. Mellanmännens särskilda roll uppmärksammades exempelvis i direktivet (skäl 47), i e-handelsdirektivet 2000/31(24) (artikel 21.2 och skäl 18) samt i Artikel 29-arbetsgruppens yttrande 1/2008. Internetleverantörerna har ansetts vara avgörande för informationssamhället, och deras ansvar för det innehåll de överför och/eller lagrar från tredje man har varit begränsat i syfte att underlätta deras berättigade verksamhet.
37. Sökmotorleverantörernas roll och rättsliga ställning har inte uttryckligen reglerats i unionens lagstiftning. ”Sökverktyg” som sådana ”tillhandahålls på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare” och utgör därför en informationssamhällets tjänst som består av tillhandahållande av verktyg för att möjliggöra sökning av, åtkomst till och hämtning av uppgifter. Sökmotorleverantörer som Google, vilka inte tillhandahåller tjänster mot ersättning från internetanvändare, förefaller i denna egenskap hamna utanför e-handelsdirektivet 2000/31.(25)
38. Trots detta är det nödvändigt att bedöma deras ställning i förhållande till de rättsliga principer som ligger till grund för att begränsa internetleverantörernas ansvar. Frågan är alltså i vilken utsträckning en sökmotorleverantörs verksamhet i ansvarsrättsligt hänseende ska jämställas med de tjänster som räknas upp i e-handelsdirektivet 2000/31 (överförande, cachning, värdtjänster) eller sådan översändandetjänst som anges i skäl 47 i direktivet, och i vilken utsträckning sökmotorleverantören är en innehållsleverantör i sin egen rätt.
D – Roller och ansvar för utgivare av källwebbsidor
39. I målet Lindqvist fann domstolen att ”åtgärden att på en webbsida lägga ut ... personuppgifter [måste] anses utgöra sådan behandling [av personuppgifter]”.(26) Vidare angav domstolen att ”åtgärden att lägga ut uppgifter på en webbsida ..., enligt de tekniska dataprocesser som för närvarande tillämpas, [innefattade] överföring av denna sida till en server samt de åtgärder som är nödvändiga för att göra sidan i fråga tillgänglig för personer som har kopplat upp sig på Internet. Dessa transaktioner görs åtminstone delvis på automatisk väg”. Domstolen fann slutligen att ”omnämnandet av olika personer – vilka identifieras med namn eller på annat sätt ... – på en webbsida” utgör ’en behandling av personuppgifter som helt eller delvis företas på automatisk väg’, i den mening som avses i artikel 3.1 i [direktivet]”.
40. Av ovan beskrivna slutsatser i målet Lindqvist följer att en utgivare av källwebbsidor som innehåller personuppgifter är registeransvarig för behandling av personuppgifter i den mening som avses i direktivet. I denna egenskap omfattas utgivaren av alla de skyldigheter som gäller för registeransvariga enligt direktivet.
41. Källwebbsidorna finns på värdservrar som är anslutna till internet. Utgivaren av en källwebbsida kan använda sig av så kallade exclusion codes(27) för sökmotorernas verksamhet. Dessa koder avråder sökmotorer från att indexera eller lagra en källwebbsida eller att ange den bland sökresultaten.(28) Användningen av sådana koder visar att utgivaren inte vill att vissa uppgifter på källwebbsidan ska hämtas för att kunna spridas via sökmotorer.
42. Tekniskt sett har utgivaren därför möjlighet att inkludera så kallade exclusion codes på sina webbsidor som begränsar indexering och arkivering av sidan och därmed ökar skyddet för personuppgifter. I extrema fall kan utgivaren dra tillbaka en sida från värdservern och publicera den på nytt utan de tveksamma personuppgifterna och kräva att sidan uppdateras i sökmotorernas cacheminnen.
43. Således är den som publicerar innehållet på webbsidan, som registeransvarig för personuppgifterna som publiceras på sidan, ansvarig för de personuppgifter som publiceras på sidan och denne kan uppfylla sina skyldigheter i detta avseende på olika sätt. Denna kanalisering av rättsligt ansvar överensstämmer med etablerade principer om utgivares ansvar inom ramen för traditionella medier.(29)
44. Utgivarens ansvar i detta avseende är dock inte någon garanti för att dataskyddsfrågor kan hanteras slutgiltigt bara genom att vända sig mot de registeransvariga för källwebbsidorna. Liksom den hänskjutande domstolen har angett, är det möjligt att samma personuppgifter har publicerats på ett oräkneligt antal sidor, vilket skulle göra det svårt, för att inte säga omöjligt, att spåra upp och kontakta samtliga relevanta utgivare. Dessutom kanske utgivaren finns i ett tredjeland och webbsidorna därmed inte omfattas av unionens lagstiftning om dataskydd. Det kan också finnas rättsliga hinder, såsom i förevarande situation då det har ansetts vara förenligt med lag att behålla den ursprungliga publikationen på internet.
45. Faktum är att den allmänna tillgängligheten av information på internet är beroende av sökmotorer, eftersom det skulle vara alltför komplicerat och svårt att hitta relevant information utan dem, och ge mycket begränsade resultat. Såsom den hänskjutande domstolen riktigt har anmärkt, skulle det ha varit nödvändigt att besöka tidningens arkiv för att få tag på information om offentliggörandet av den exekutiva försäljningen av den registrerades egendom. Denna information kan nu erhållas genom att skriva dennes namn i en sökmotor, vilket gör spridningen av sådan information mycket effektivare, men samtidigt mer störande för den registrerade. Tack vare sökmotorerna är det möjligt att erhålla en heltäckande bild av en privatperson genom att söka och samla in personuppgifter om denne. Det är just oron för sådana framställningar som ligger till grund för utvecklingen av den aktuella lagstiftningen om dataskydd.(30)
46. Av dessa skäl är det viktigt att undersöka vilket ansvar sökmotorleverantörerna har för personuppgifter som har publicerats på källwebbsidor som tillhör tredje man, vilka det är möjligt att komma åt med hjälp av sökmotorerna. Domstolen ska således bedöma om det finns ett subsidiärt ansvar för denna typ av informationssamhällets tjänsteleverantörer, av samma typ som den i sin praxis har funnit föreligga i fråga om varumärken och elektroniska marknader.(31)
E – Sökmotorleverantörernas verksamhet
47. En sökmotorleverantör kan bedriva olika typer av verksamhet. Arten och bedömningen av dessa verksamheter kan skilja sig åt i dataskyddshänseende.
48. En sökmotorleverantör kan automatiskt komma över uppgifter om sina användare,(32) det vill säga personer som skriver in sökbegrepp i sökmotorn. Uppgifter som översänds automatiskt på detta sätt kan omfatta användarens IP-adress, användarinställningar (språk med mera) och, naturligtvis, sökbegreppen i sig, vilka med enkelhet kan avslöja användarens identitet om han eller hon anger sitt eget namn som sökbegrepp. Vidare får sökmotorleverantörerna nästan alltid tillgång till personuppgifter såsom namn, e-postadresser och telefonnummer, avseende personer som har registrerat sig med användarkonton.
49. Sökmotorleverantörernas intäkter kommer inte från användarna som anger sökbegrepp i sökmotorn, utan från annonsörer som köper sökbegrepp som nyckelord så att deras reklam visas samtidigt med sökresultaten från sökningen där nyckelorden i fråga används.(33) Det är uppenbart att personuppgifter avseende reklamkunder hamnar hos tjänsteleverantörerna.
50. Förevarande begäran om förhandsavgörande rör dock Googles ställning som enkel sökmotorleverantör avseende uppgifter, bland annat personuppgifter, som publicerades online på tredje mans webbsidor och behandlades och indexerades av Googles sökmotor. Problemet med användare och reklamkunder, på vilkas uppgifter direktivet helt klart är tillämpligt när det gäller deras förhållande till Google, påverkar således inte bedömningen av den andra gruppen tolkningsfrågor. Dessa kundgrupper kan dock vara relevanta för eventuella jurisdiktionsfrågor inom ramen för den första gruppen tolkningsfrågor.
V – Första gruppen tolkningsfrågor avseende direktivets territoriella tillämpningsområde
A – Inledning
51. Den första gruppen tolkningsfrågor rör tolkningen av artikel 4 i direktivet, avseende kriterierna för att fastställa den nationella genomförandelagstiftningens territoriella tillämpningsområde.
52. Den hänskjutande domstolen har delat upp tolkningsfrågorna rörande den spanska dataskyddslagstiftningens territoriella tillämpningsområde i fyra delfrågor. Den första gäller begreppet ”etablering” i den mening som avses i artikel 4.1 a i direktivet och den andra gäller de omständigheter som ska föreligga för att det ska anses vara fråga om ”använd[ning av] ... utrustning som befinner sig på den nämnda medlemsstatens territorium” i den mening som avses i artikel 4.1 c i direktivet. Med den tredje delfrågan söker den hänskjutande domstolen klarhet i om det är möjligt att betrakta tillfällig lagring av den information som indexeras av sökmotorn som användning av utrustning och, om denna fråga ska besvaras jakande, huruvida det kan presumeras att en sådan anknytning finns när företaget vägrar att avslöja var det lagrar sina index. Den fjärde delfrågan är huruvida direktivet, mot bakgrund av artikel 8 i stadgan, ska tillämpas i den medlemsstat där tyngdpunkten för konflikten finns och där ett effektivare skydd för unionsmedborgarnas rättigheter kan uppnås.
53. Jag ska först bedöma den sista delfrågan, som den nationella domstolen har ställt ”oberoende av svaren på föregående frågor och särskilt om … domstolen finner att en sådan anknytning som avses i artikel 4 i direktivet inte föreligger”.
B – Det räcker inte med tvistens geografiska tyngdpunkt för att direktivet ska vara tillämpligt
54. Enligt punkt 51.2 i stadgan innebär stadgan inte någon utvidgning av tillämpningsområdet för unionsrätten utanför unionens befogenheter och medför varken någon ny befogenhet eller någon ny uppgift för unionen och ändrar heller inte de befogenheter och uppgifter som har fastställts i fördragen.(34) Denna princip är också tillämplig på artikel 8 i stadgan rörande personuppgiftsskyddet. Följaktligen kan inte en tolkning av direktivet som överensstämmer med stadgan bidra med några nya aspekter utöver de som föreskrivs i artikel 4.1 i direktivet som kan göra den nationella genomförandelagstiftningen avseende direktivet territoriellt tillämplig. Självfallet måste artikel 8 i stadgan beaktas vid tolkningen av de begrepp som används i artikel 4.1 i direktivet, men de anknytningspunkter som unionslagstiftaren har slagit fast kan inte kompletteras med ett helt nytt kriterium på grundval av denna grundläggande rättighet.(35)
55. Artikel 29-arbetsgruppen betonade riktigt att direktivets och den nationella genomförandelagstiftningens territoriella tillämpningsområde blir aktuellt antingen beroende på var den registeransvarige är etablerad eller på var de använda medlen eller utrustningen finns när den registeransvarige är etablerad utanför EES. Varken de registrerades medborgarskap eller stadigvarande hemvist eller personuppgifternas fysiska placering är avgörande.(36)
56. Artikel 29-arbetsgruppen har angett att en relevant inriktning på enskilda i framtida lagstiftning kan beaktas i förhållande till registeransvariga som är etablerade utanför unionen.(37) I kommissionens förslag till en allmän uppgiftsskyddsförordning (2012)(38) anges att utbjudande av varor eller tjänster till registrerade i unionen skulle vara en faktor som gör unionsrättslig dataskyddslagstiftning tillämplig på registeransvariga i tredjeland. Detta betraktelsesätt knyter unionslagstiftningens territoriella tillämplighet till en målgrupp och är förenligt med domstolens praxis om tillämpningen av e-handelsdirektivet 2000/31,(39) förordning nr 44/2001(40) och direktiv 2001/29(41) på gränsöverskridande situationer.
57. Till skillnad från detta förefaller kravet om en målgrupp, i detta fall spanska användare av Googles sökmotor i vars ögon den registrerades rykte kan ha skadats till följd av de omtvistade kungörelserna, inte vara en faktor som skulle göra direktivet och dess nationella genomförandelagstiftning territoriellt tillämpligt.
58. Tyngdpunkten för den spanska rättegången kan därför inte ingå som ett ytterligare krav i artikel 4.1 i direktivet, som enligt min åsikt helt harmoniserar det territoriella tillämpningsområdet för medlemsstaternas dataskyddslagstiftning. Detta är fallet vare sig tyngdpunkten är den registrerades medborgarskap eller hemvist, platsen för de omtvistade personuppgifterna på tidningens webbplats eller det faktum att Googles spanska webbplats särskilt inriktade sig på den spanska allmänheten.(42)
59. Av dessa skäl föreslår jag att domstolen, om den finner det nödvändigt att besvara frågan, ska besvara den fjärde delfrågan nekande.
C – Tillämpligheten av kravet avseende ”etablering i unionen” på en sökmotorleverantör utanför unionen
60. Enligt artikel 4.1 i direktivet är behandling av personuppgifter som ett led i verksamhet vid den registeransvariges etablering i medlemsstaten den huvudsakliga omständighet som gör den nationella dataskyddslagstiftningen territoriellt tillämplig. När den registeransvarige är etablerad utanför unionen, men behandlar personuppgifter med medel och utrustning(43) som befinner sig i medlemsstaten, ska lagstiftningen i denna medlemsstat tillämpas om inte utrustningen eller medlen i fråga endast används för att låta uppgifter passera genom unionen.
61. Som nämndes ovan antogs direktivet, jämte artikel 4 däri, innan det var aktuellt med onlinetjänster i stor skala. Vidare är dess ordalydelse i detta avseende inkonsekvent och ofullständig.(44) Det är inte konstigt att experter på dataskydd har haft stora svårigheter att tolka direktivet i förhållande till internet. Omständigheterna i förevarande mål belyser svårigheterna.
62. Google Inc. är ett kaliforniskt företag med dotterbolag i flera av unionens medlemsstater. Dess europeiska verksamhet samordnas i viss utsträckning från dess irländska dotterbolag. Företaget har för närvarande datacenter i åtminstone Belgien och Finland. Företaget offentliggör inte information om den exakta geografiska platsen för dess sökmotorfunktioner. Google har gjort gällande att någon behandling av personuppgifter rörande dess sökmotor inte äger rum i Spanien. Google Spain uppträder som en handelsagent för Google i fråga om sökmotorns reklamfunktioner och har i denna egenskap tagit på sig ansvaret för behandlingen av personuppgifter rörande dess spanska reklamkunder. Google har angett att dess sökmotor inte genomför några åtgärder på källwebbsidornas värdservrar och inte heller samlar in information om icke registrerade användare av dess sökmotorer med hjälp av cookies.
63. Mot bakgrund av dessa faktiska omständigheter är ordalydelsen i artikel 4.1 i direktivet inte till särskilt stor hjälp. Google har flera etableringar i unionen. Vid en bokstavstolkning skulle denna omständighet innebära att utrustningsvillkoret i artikel 4.1 c i direktivet inte är tillämpligt. Samtidigt är det dock inte klart i vilken utsträckning och på vilken plats behandling av personuppgifter om registrerade med hemvist i unionen äger rum när det gäller Googles dotterbolag i unionen.
64. Enligt min uppfattning bör domstolen pröva frågan om territoriell tillämplighet med beaktande av sökmotorleverantörernas affärsmodell. Enligt vad jag tidigare har sagt bygger denna affärsmodell vanligtvis på sökordsannonsering (keyword advertising) som utgör sökmotorleverantörernas inkomstkälla och är det bakomliggande skälet till att ett sökverktyg tillhandahålls kostnadsfritt i form av en sökmotor. Den enhet som ansvarar för sökordsannonseringen (kallad söktjänstleverantören i domstolens praxis(45)) är knuten till sökmotorn. Denna enhet måste ha en närvaro på de nationella reklammarknaderna och det är anledningen till att Google har etablerat dotterbolag i många medlemsstater, vilka uppenbart utgör etableringar i den mening som avses i artikel 4.1 a i direktivet. Google tillhandahåller vidare nationella webbdomäner såsom google.es eller google.fi. Sökmotorns verksamhet tar hänsyn till denna nationella differentiering på olika sätt i samband med redovisningen av sökresultaten, eftersom den vanliga finansieringsmodellen för sökordsannonsering följer betala per klick-principen.(46)
65. Av dessa skäl ansluter jag mig till Artikel 29-arbetsgruppens slutsats i så måtto att en sökmotorleverantörs affärsmodell ska beaktas om dess etablering fyller en relevant funktion i behandlingen av personuppgifter, vilket den gör om den är knuten till en tjänst som säljer riktad reklam till invånarna i medlemsstaten i fråga.(47)
66. Även om artikel 4 i direktivet bygger på en enda form av registeransvarig vad gäller de materiella bestämmelserna, anser jag vidare att en näringsidkare, vid bedömningen av den inledande frågan om territoriell tillämplighet, ska betraktas som en enda enhet och därför, i denna del av bedömningen, inte ska beaktas utifrån dess enskilda aktiviteter rörande behandling av personuppgifter eller olika grupper av registrerade som dess verksamhet avser.
67. Sammanfattningsvis utförs behandling av personuppgifter som ett led i den registeransvariges verksamhet om verksamheten utgör en länk mellan söktjänsten och reklammarknaden i den medlemsstaten – även om den tekniska databehandlingen utförs i en annan medlemsstat eller i ett tredjeland.
68. Av denna anledning föreslår jag att domstolen ska besvara den första gruppen tolkningsfrågor på så sätt att behandling av personuppgifter äger rum som ett led i den registeransvariges ”verksamhet” i den mening som avses i artikel 4.1 a i direktivet, när det företag som tillhandahåller sökmotorn, i syfte att marknadsföra och sälja reklamutrymme på sökmotorn, etablerar ett kontor eller dotterbolag som riktar sin verksamhet mot invånarna i den staten.
VI – Den andra gruppen tolkningsfrågor avseende direktivets materiella tillämpningsområde (ratione materiae)
69. Den andra gruppen tolkningsfrågor gäller frågan vilken rättslig ställning, mot bakgrund av direktivets bestämmelser, sökmotorleverantörer har som erbjuder åtkomst till sökmotorer. Den nationella domstolen har formulerat tolkningsfrågorna så att de avser begreppen ”behandling” av personuppgifter (fråga 2.1) och ”registeransvarig” (fråga 2.2), den nationella dataskyddsmyndighetens behörighet att göra förelägganden direkt mot sökmotorleverantören (fråga 2.3) och sökmotorers möjliga undantag från skyldigheten att skydda personuppgifter när dessa har offentliggjorts av tredje man på internet i laga ordning (fråga 2.4). De två senare delfrågorna blir bara aktuella om sökmotorleverantören kan anses behandla personuppgifter på tredje mans källwebbsidor och anses vara registeransvarig för denna behandling.
A – Sökmotorers behandling av personuppgifter
70. Den första delfrågan i denna grupp gäller tillämpligheten av begreppen ”personuppgifter” och den ”behandling” av dem som utförs av sökmotorer som Google när det inte rör sig om användares eller annonsörers personuppgifter, utan personuppgifter som har publicerats på källwebbsidor tillhörande tredje man och behandlats av en sökmotor som drivs av tjänsteleverantören. Enligt den nationella domstolens beskrivning består behandlingen av att lokalisera information som tredje man har publicerat eller inkluderat på internet, indexera den automatiskt, lagra den tillfälligt och slutligen tillgängliggöra den för andra användare i en särskild prioritetsordning.
71. Enligt min uppfattning kräver ett jakande svar på denna delfråga inte mycket diskussion. Personuppgiftsbegreppet har getts en vidsträckt definition i direktivet och denna har använts av Artikel 29-arbetsgruppen och fastställts av domstolen.(48)
72. Såvitt avser ”behandling” innehåller källwebbsidor på internet ofta namn, bilder, adresser, telefonnummer, beskrivningar och andra uppgifter som kan identifiera fysiska personer. Det gör ingen skillnad att uppgifternas personliga natur är ”okänd” för sökmotorleverantörer vars sökmotorer fungerar utan mänsklig inblandning i fråga om hantering av de uppgifter som samlas in, indexeras och visas för sökningar(49). Det gör inte heller någon skillnad att det för sökmotorleverantören är mer eller mindre en slump att personuppgifterna har hamnat på källwebbsidorna, eftersom det för denne (eller rättare sagt för spindel-, analys- och indexeringsfunktionerna hos den sökmotor som riktar sig mot alla tillgängliga webbsidor på internet) kanske inte finns någon teknisk eller driftsmässig skillnad mellan en källwebbsida som innehåller personuppgifter och en som inte innehåller personuppgifter.(50) Dessa omständigheter bör dock, enligt min uppfattning, påverka tolkningen av begreppet ”registeransvarig”.
73. Googles sökrobot, som kallas ”googlebot”, genomsöker internet kontinuerligt och systematiskt och förflyttar sig från webbsida till webbsida med hjälp av hyperlänkar mellan sidorna och ber de besökta sidorna att skicka en kopia av dem till roboten.(51) Kopiorna av dessa källwebbsidor analyseras av Googles indexeringsfunktion. Symbolsträngar (nyckelord, sökbegrepp) på sidorna registreras i sökmotorns index.(52) Googles heltäckande sökalgoritm bedömer också relevansen av sökresultaten. Kombinationen av dessa nyckelord och webbadresserna där de finns utgör sökmotorns index. Användarnas sökningar utförs i indexet. Kopian av sidorna registreras i sökmotorns cacheminne i syfte att indexera och visa sökresultaten.(53)
74. En kopia av den webbsida som sökts, som är lagrad i cacheminnet, kan visas efter det att användaren har genomfört sökningen. Användaren kan dock besöka originalwebbsidan om han exempelvis är intresserad av bilder på källwebbsidan. Cacheminnet uppdateras ofta, men det kan finnas situationer när sidan som sökmotorn visar inte motsvarar källwebbsidan i värdservern på grund av att sidan har ändrats eller tagits bort.(54)
75. Det råder ingen tvekan om att åtgärderna i föregående punkt utgör behandling av personuppgifter på de källwebbsidor som kopieras, indexeras, lagras i cacheminnet och visas av sökmotorn. Närmare bestämt utgör de insamling, registrering, organisering och lagring av personuppgifterna och de kan också utgöra användning, utlämnande genom översändande, spridning eller annat tillhandahållande av dem samt samkörning av personuppgifter i den mening som avses i artikel 2 b i direktivet.
B – Begreppet ”registeransvarig”
76. Enligt artikel 2 d i direktivet är en registeransvarig(55) ”den fysiska eller juridiska person ... som [ensam] eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter”. Enligt min uppfattning är den centrala frågan i förevarande mål huruvida, och i vilken utsträckning, denna definition omfattar sökmotorleverantörer.
77. Alla parter utom Google och den grekiska regeringen har gjort gällande att frågan ska besvaras jakande, något som utan svårighet kan motiveras såsom en logisk slutsats av en bokstavstolkning och kanske även en teleologisk tolkning av direktivet, med tanke på att direktivets grundläggande definitioner har getts en heltäckande lydelse för att ta höjd för den framtida utvecklingen. Jag anser dock att ett sådant betraktelsesätt helt skulle bortse från det faktum att det vid tidpunkten för direktivets upprättande inte var möjligt att beakta internetutvecklingen och därmed sammanhängande nya företeelser.
78. När direktivet antogs var World Wide Web knappast en verklighet och sökmotorerna befann sig i ett begynnelsestadium. Direktivets bestämmelser tar helt enkelt inte hänsyn till det faktum att enorma mängder dokument och filer på decentraliserade värdservrar är åtkomliga från varsomhelst i världen och att deras innehåll kan kopieras, analyseras och spridas av parter som inte har någon som helst anknytning till författarna eller de som har laddat upp dem på en internetansluten värdserver.
79. I målet Lindqvist avvisade domstolen det maximalistiska synsätt som kommissionen hade föreslagit med avseende på tolkningen av begreppet överföring av uppgifter till tredjeland. Domstolen angav att ”[med hänsyn] dels till det stadium på vilket internets utveckling befann sig när [direktivet] utarbetades, dels till att det i kapitel IV i direktivet inte återfinns några kriterier som är tillämpliga på internetanvändning, kan det inte presumeras att gemenskapslagstiftaren hade för avsikt att med tanke på framtiden låta utläggning av uppgifter på en webbsida av en person i Bodil Lindqvists situation omfattas av begreppet ’överföring av ... uppgifter till tredje land’, även om dessa uppgifter härigenom blir åtkomliga för de personer i tredje land som har tekniska möjligheter att få tillgång till sidan”.(56) Enligt min uppfattning betyder detta att det, för att uppnå ett rimligt och väl avvägt resultat, är nödvändigt att beakta proportionalitetsprincipen, direktivets syften och de medel för att uppnå dessa som har föreskrivits i direktivet när direktivet tolkas i förhållande till nya tekniska företeelser.
80. För mig är den avgörande frågan här om det spelar någon roll att direktivet, i definitionen av registeransvarig, anger att den registeransvarige är den person som ”bestämmer ändamålen och medlen för behandlingen av personuppgifter” (min kursivering). De parter som anser att Google ska betraktas som registeransvarig grundar sig på den obestridliga omständigheten att tjänsteleverantörer som driver sökmotorer bestämmer ändamålen och medlen för behandlingen av uppgifter för sina ändamål.
81. Jag betvivlar dock att detta leder till en riktig tolkning av direktivet när det som behandlas är filer som innehåller personuppgifter och andra uppgifter på ett slumpartat och godtyckligt sätt. Bestämmer den europeiska juristprofessorn från mitt exempel i punkt 29 ändamålen och medlen för behandlingen av personuppgifterna i de domar från domstolen som han har laddat ner på sin dator? Artikel 29-arbetsgruppens slutsats att ”[a]nvändarna av söktjänsten kan strängt taget också anses vara registeransvariga” visar hur oklokt det vore att göra en strikt bokstavstolkning av direktivet i fråga om internet.(57) Domstolen bör inte godta en tolkning som praktiskt taget innebär att alla som äger en smarttelefon, tablettdator eller bärbar dator blir registeransvariga för behandling av personuppgifter publicerade på internet.
82. Enligt min åsikt grundar sig direktivets allmänna struktur, de flesta språkversionerna och de enskilda skyldigheter som uppkommer för de registeransvariga enligt direktivet på en princip om att den registeransvarige är ansvarig för personuppgifter som behandlas, såtillvida att den registeransvarige känner till att det finns en viss definierad kategori information som utgör personuppgifter och behandlar dessa uppgifter med ett syfte av något slag som har att göra med behandlingen av dem som personuppgifter.(58)
83. Artikel 29-arbetsgruppen har riktigt anmärkt att ”[b]egreppet registeransvarig är ett funktionellt begrepp som är avsett att lägga ansvaret där det faktiska inflytandet ligger och bygger alltså på en faktabaserad snarare än en formell analys”.(59) Vidare har arbetsgruppen angett att den registeransvarige måste avgöra vilka uppgifter som ska behandlas för det eller de tänkta ändamålen.(60) Direktivets materiella bestämmelser, särskilt artiklarna 6, 7 och 8 däri, bygger enligt min uppfattning på presumtionen att den registeransvarige vet vad han eller hon gör i förhållande till de relevanta personuppgifterna, såtillvida att han eller hon känner till vilken typ av uppgifter som behandlas och varför. Således ska den registeransvarige uppfatta uppgiftsbehandlingen som behandling av personuppgifter, det vill säga ”upplysning[ar] som avser information avseende en identifierad eller identifierbar fysisk person” och inte bara som behandling av en datakod.(61)
C – En sökmotorleverantör är inte ”registeransvarig” för personuppgifter på tredje mans källwebbsidor
84. En sökmotorleverantör som endast tillhandahåller ett sökverktyg har inte inflytande över personuppgifter på webbsidor som tillhör tredje man. Tjänsteleverantören ”känner inte till” att det förekommer personuppgifter annat än som ett statistiskt faktum att det är troligt att webbsidor innehåller personuppgifter. När webbsidorna behandlas för genomsöknings-, analys- och indexeringsändamål framträder inte personuppgifterna som sådana på något särskilt sätt.
85. Det är av denna anledning jag tycker att Artikel 29-arbetsgruppens betraktelsesätt är lämpligt, eftersom det är avsett att skilja mellan sökmotorernas helt passiva funktion och deras funktion som mellanhänder samt situationer där deras verksamhet innebär verklig kontroll över de personuppgifter som behandlas.(62) För fullständighetens skull ska det också anmärkas att spörsmålet huruvida personuppgifterna har offentliggjorts(63) eller i laga ordning avslöjats på webbsidor som tillhör tredje man saknar relevans för direktivets tillämpning.(64)
86. Sökmotorleverantören har ingen anknytning till innehållet på tredje mans källwebbsidor som kan innehålla personuppgifter. Eftersom sökmotorernas verksamhet bygger på kopior av källwebbsidor som sökrobotarna har laddat ner och kopierat, har tjänsteleverantören inte heller någon möjlighet att ändra uppgifterna på värdservrarna. Tillhandahållande av ett sökverktyg innebär inte att leverantören har kontroll över innehållet. Det är inte ens möjligt för sökmotorleverantören att skilja mellan personuppgifter i direktivets mening, som avser en identifierbar, levande fysisk person, och andra uppgifter.
87. Jag baserar här mina argument på den princip som har kommit till uttryck i skäl 47 i direktivet. Där anges att när ett meddelande som innehåller personuppgifter översänds med telekommunikation eller elektronisk post, är det normalt den från vilken meddelandet härrör, och inte den person som erbjuder översändandetjänsten, som blir registeransvarig. Såväl nämnda skäl, som ansvarsundantagen i e-handelsdirektivet 2000/31 (artiklarna 12, 13 och 14), bygger på en rättslig princip om att automatisk, teknisk eller passiv anknytning till elektroniskt lagrat eller översänt innehåll inte ger inflytande över eller ansvar för det.
88. Artikel 29-arbetsgruppen har betonat att begreppet registeransvarig först och främst tjänar till att avgöra vem som ska ansvara för efterlevnaden av dataskyddsbestämmelserna och att lägga detta ansvar där det faktiska inflytandet ligger.(65) Arbetsgruppen har angett att ”[e]nligt proportionalitetsprincipen ska en sökmotorleverantör som endast agerar som mellanhand inte anses vara den som främst är registeransvarig när det gäller den innehållsrelaterade behandling av personuppgifter som genomförs. I detta fall är det informationsleverantörerna som i första hand är registeransvariga för personuppgifterna”.(66)
89. Som jag ser det kan en sökmotorleverantör varken rättsligt eller praktiskt uppfylla en registeransvarigs skyldigheter enligt artiklarna 6–8 i direktivet i fråga om personuppgifter på tredje mans källwebbsidor. Det är därför rimligt att tolka direktivet så att tjänsteleverantören i allmänhet inte anses ha en sådan roll.(67)
90. En motsatt ståndpunkt skulle innebära att sökmotorer inte var förenliga med unionsrätten, vilket enligt min uppfattning vore en orimlig slutsats. Om sökmotorleverantörer ansågs vara registeransvariga för de personuppgifter som finns på källwebbsidor tillhörande tredje man och om det på en sådan sida fanns ”särskilda kategorier av uppgifter” i den bemärkelse som avses i artikel 8 i direktivet (till exempel personuppgifter som avslöjar politiska åsikter eller religiös övertygelse eller uppgifter som rör hälsa eller sexualliv) skulle sökmotorleverantörens verksamhet automatiskt vara olaglig om de stränga villkor som artikeln uppställer för behandling av sådana uppgifter inte uppfylls.
D – Omständigheter som gör att sökmotorleverantören är ”registeransvarig”
91. Sökmotorleverantörer kontrollerar uppenbarligen sökmotorernas index som knyter nyckelorden till relevanta internetadresser. Tjänsteleverantören bestämmer vilken utformning detta index ska ha och kan blockera vissa resultat på tekniskt vis, till exempel genom att inte inkludera internetadresser från vissa länder eller domäner i sökresultaten.(68) Sökmotorleverantören kontrollerar dessutom sitt index i den mening att denne bestämmer huruvida exclusion codes(69) på webbsidor ska följas eller inte.
92. Däremot kan tjänsteleverantören inte sägas ha kontroll över sökmotorernas cacheminne, eftersom cacheminnet är ett resultat av helt tekniska och automatiserade processer som skapar en spegelbild av textuppgifterna på de genomsökta webbsidorna, med undantag för uppgifter som har uteslutits från indexering och arkivering. Det är av intresse att vissa medlemsstater verkar ha infört vissa horisontella undantag från sökmotorernas ansvar som motsvarar undantaget i e-handelsdirektivet 2000/31 för vissa av informationssamhällets tjänsteleverantörer.(70)
93. Med avseende på innehållet i cacheminnet, innebär ett beslut att inte iaktta exclusion codes(71) på en webbsida enligt min uppfattning kontroll över sådana personuppgifter i direktivets mening. Detsamma gäller i situationer där sökmotorleverantören inte uppdaterar en webbsida i sitt cacheminne, trots en begäran från webbplatsen.
E – Sökmotorleverantörernas skyldigheter i egenskap av ”registeransvariga”
94. Om och när en sökmotorleverantör anses vara ”registeransvarig” måste denne naturligtvis uppfylla skyldigheterna i direktivet.
95. Med avseende på de principer som gör att uppgiftsbehandling kan tillåtas utan samtycke från den registrerade (artikel 7 a i direktivet) verkar det uppenbart att tillhandahållande av sökmotortjänster i sig rör berättigade intressen (artikel 7 f i direktivet), nämligen att i) göra information mer åtkomlig för internetanvändare, ii) effektivisera spridningen av information som har laddats upp på internet och iii) möjliggöra olika tjänster i informationssamhället som sökmotorleverantören tillhandahåller vid sidan om sökmotorn, till exempel sökordsannonsering. Vart och ett av dessa ändamål avser en särskild grundläggande rättighet som skyddas genom stadgan, nämligen yttrandefriheten och informationsfriheten (som båda regleras i artikel 11) samt näringsfriheten (som regleras i artikel 16). Således rör en sökmotorleverantörs ändamål berättigade intressen i den mening som avses i artikel 7 f i direktivet när denne behandlar uppgifter som har gjorts tillgängliga på internet, däribland personuppgifter.
96. Som registeransvarig ska en sökmotorleverantör iaktta kraven i artikel 6 i direktivet. Det innebär bland annat att personuppgifter ska vara adekvata och relevanta och inte får omfatta mer än som är nödvändigt med hänsyn till de ändamål för vilka de samlas in. De ska också vara aktuella, och inte inaktuella, för de ändamål för vilka de samlas in. Vidare ska den ”registeransvariges” eller tredje mans intresse, för vilka behandlingen sker, vägas mot den registrerades intresse.
97. I det nationella målet har den registrerade yrkat att indexeringen av hans namn och efternamn med internetadresserna till de tidningssidor som visar de personuppgifter han vill hemlighålla, ska tas bort från Googles index. Det är förvisso riktigt att personnamn används som sökbegrepp och registreras som nyckelord i sökmotorernas index. Det räcker dock vanligtvis inte med ett namn för att direkt identifiera en fysisk person på internet, eftersom det finns många – kanske till och med tusentals eller miljontals – personer med samma namn eller kombination av ett visst förnamn och efternamn runt om i världen.(72) Likväl antar jag att en kombination av förnamn och efternamn i de flesta fall är tillräckligt för att indirekt identifiera en fysisk person i den mening som avses i artikel 2 a i direktivet, eftersom sökresultatet i en sökmotors index visar en begränsad uppsättning länkar vilket gör att internetanvändaren kan skilja mellan två personer med samma namn.
98. En sökmotors index knyter namn och andra identifierare som används som sökbegrepp till en eller flera länkar till webbsidor. I den utsträckning en länk är adekvat i bemärkelsen att de uppgifter som motsvarar sökbegreppet verkligen visas eller har visats på de webbsidor som länkarna avser, uppfyller indexet i min uppfattning kraven i artikel 6 c och d i direktivet på att personuppgifter ska vara adekvata, relevanta, proportionerliga, riktiga och fullständiga. Med avseende på de tidsmässiga kraven i artikel 6 d och e (personuppgifter ska vara aktuella och inte lagras längre än nödvändigt) bör dessa också bedömas med beaktande av behandlingen i fråga, det vill säga tillhandahållandet av en söktjänst, snarare än som en fråga rörande innehållet på källwebbsidorna.(73)
F – Slutsats avseende den andra gruppen tolkningsfrågor
99. Mot bakgrund av detta resonemang anser jag att nationella dataskyddsmyndigheter inte kan kräva att sökmotorleverantörer ska avlägsna uppgifter från sina index, utom i fall där tjänsteleverantören i fråga inte har iakttagit så kallade exclusion codes(74) eller när en begäran från en webbplats om uppdatering av cacheminne inte har efterkommits. Detta scenario förefaller inte vara aktuellt i det aktuella fallet. Eventuella rutiner för ”meddelande och radering”(75) (notice and take down procedure) rörande länkar till källwebbsidor med olagligt eller otillbörligt innehåll är något som regleras enligt nationella civilrättsliga bestämmelser om ansvar på andra grunder än dataskydd.(76)
100. Av dessa skäl föreslår jag att domstolen ska besvara den andra gruppen tolkningsfrågor på så sätt att sökmotorleverantörer, vid de omständigheter som har angetts i begäran om förhandsavgörande, ”behandlar” personuppgifter i den mening som avses i artikel 2 b i direktivet. Med det undantag som angetts ovan, kan tjänsteleverantören emellertid inte betraktas som ”registeransvarig” för behandlingen av sådana personuppgifter i den mening som avses i artikel 2 d i direktivet.
VII – Tredje frågan angående den registrerades ”rätt att bli glömd”
A – Inledande synpunkter
101. Den tredje tolkningsfrågan blir endast relevant om domstolen antingen avvisar mitt förslag ovan att Google i regel inte ska betraktas som ”registeransvarig” enligt artikel 2 d i direktivet eller i den utsträckning domstolen delar min uppfattning att det finns tillfällen då en sökmotorleverantör som Google kan anses ha en sådan ställning. I annat fall är nedanstående avsnitt överflödigt.
102. Den nationella domstolen har ställt den tredje tolkningsfrågan för att få klarhet i om rätten till utplåning och blockering av uppgifter i artikel 12 b i direktivet och rätten att göra invändningar i artikel 14 a i direktivet omfattar en skyldighet att göra det möjligt för den registrerade att själv kontakta sökmotorleverantören för att hindra att personuppgifter om honom eller henne på en tredje mans webbsidor indexeras. Den registrerade försöker på detta sätt hindra att uppgifter som kan vara skadliga för honom eller henne blir kända för internetanvändare eller uttrycker därigenom en önskan att uppgifterna ska träda i glömska, trots att de har publicerats av tredje man i laga ordning. I praktiken har den nationella domstolen således frågat om artiklarna 12 b och 14 a i direktivet innefattar en ”rätt att bli glömd”. Detta är den första fråga som ska bedömas nedan, på grundval av ordalydelsen i och syftena med dessa bestämmelser.
103. Om jag drar slutsatsen att artiklarna 12 b och 14 a i direktivet i sig inte innefattar en sådan rätt, kommer jag därefter att bedöma huruvida en sådan tolkning är förenlig med stadgan.(77) Det blir då nödvändigt att beakta rätten till skydd av personuppgifter i artikel 8, rätten till respekt för privatlivet och familjelivet i artikel 7, yttrandefriheten och informationsfriheten i artikel 11 (båda dessa i förhållande till den yttrandefrihet som tillkommer utgivare av webbsidor och internetanvändarnas frihet att motta information) och näringsfriheten i artikel 16. De rättigheter som tillkommer registrerade enligt artiklarna 7 och 8, måste vägas mot de rättigheter som skyddas enligt artiklarna 11 och 16 och som tillkommer de som önskar sprida eller komma åt uppgifterna.
B – Innebär rätten att erhålla rättelse samt rätten till utplåning, blockering och att göra invändning i direktivet en rätt för den registrerade ”att bli glömd”?
104. Rätten att bli glömd och erhålla rättelse samt rätten till utplåning och blockering i artikel 12 b i direktivet gäller uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet, särskilt om dessa är ofullständiga eller felaktiga (min kursivering).
105. I begäran om förhandsavgörande erkänns att uppgifterna på webbsidorna i fråga inte kan anses vara ofullständiga eller felaktiga. Det har i ännu mindre utsträckning hävdats att Googles index eller innehållet i dess cacheminne kan påstås vara ofullständiga eller felaktiga. Därför uppkommer rätten att få uppgifter rättade, utplånade eller blockerade enligt artikel 12 b i direktivet endast om Googles behandling av personuppgifter från tredje mans källwebbsidor strider mot direktivet på andra grunder.
106. Enligt artikel 14 a i direktivet ska medlemsstaterna tillförsäkra den registrerade rätten att när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom eller henne, utom när den nationella lagstiftningen föreskriver något annat. Detta gäller särskilt i de fall som avses i artikel 7 e och f i direktivet, det vill säga när behandlingen är nödvändig på grund av allmänna intressen eller för ändamål som rör berättigade intressen hos den registeransvarige eller tredje man. Det följer vidare av artikel 14 a att ”behandling som påbörjats av den registeransvarige” inte längre får avse de omtvistade uppgifterna om invändningen är motiverad.
107. När sökmotorleverantörer anses vara registeransvariga för behandlingen av personuppgifter ska de enligt artikel 6.2 i direktivet dessutom göra en avvägning mellan de intressen som tillkommer den registeransvarige eller de parter för vilka behandlingen genomförs och de rättigheter som tillkommer den registrerade. Liksom domstolen anmärkte i domen i de förenade målen ASNEF och FECEMD är det vid denna avvägning relevant huruvida uppgifterna redan finns i källor som är tillgängliga för allmänheten.(78)
108. I likhet med vad som har gjorts gällande av nästan alla parter som har inkommit med skriftliga yttranden i detta mål, anser jag att direktivet inte innehåller någon allmän rätt att bli glömd som ger en registrerad rätt att begränsa eller hindra spridning av personuppgifter som den registrerade anser skadar eller strider mot hans eller hennes intressen. När uppgifter behandlas utan den registrerades samtycke är det syftet med behandlingen och de intressen som därigenom tillvaratas, i förhållande till den registrerades intressen, som ska beaktas och inte den registrerades subjektiva önskemål. Enbart subjektiva önskemål utgör inte avgörande och berättigade skäl i den mening som avses i artikel 14 a i direktivet.
109. Även om domstolen skulle finna att sökmotorleverantörer ska betraktas som registeransvariga, vilket inte är fallet, för personuppgifter på tredje mans källwebbsidor, skulle den registrerade ändå inte ha en absolut ”rätt att bli glömd” som kunde åberopas mot dessa tjänsteleverantörer. Tjänsteleverantören skulle emellertid behöva träda in i webbsidesutgivarens situation och avgöra huruvida det i direktivets mening är lagligt och berättigat att sprida personuppgifterna på webbsidan. Tjänsteleverantören skulle följaktligen behöva överge sin funktion som mellanman mellan användaren och utgivaren och ta på sig ansvaret för innehållet på källwebbsidan och, vid behov, censurera detta genom att hindra eller begränsa åtkomsten till det.
110. För fullständighetens skull vill jag erinra om att artikel 17 i kommissionens förslag till en allmän uppgiftsskyddsförordning innehåller en rätt att bli glömd. Förslaget verkar dock ha stött på betydande motstånd och utger sig inte för att vara en kodifiering av befintlig rätt, utan en viktig rättslig innovation. Det förefaller därför sakna relevans för bedömningen av tolkningsfrågan. Det är dock intressant att förslaget i punkt 17.2 föreskriver att ”[o]m den registeransvarige ... har offentliggjort personuppgifterna ska vederbörande vidta alla rimliga åtgärder ... avseende uppgifter för vars offentliggörande den registeransvarige är ansvarig, för att underrätta tredje parter som håller på att behandla sådana uppgifter om att en registrerad begär att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter”. Texten verkar betrakta en sökmotorleverantör mer som en tredje man än som en registeransvarig i sin egen rätt.
111. Jag drar därför slutsatsen att artiklarna 12 b och 14 a i direktivet inte innefattar en rätt att bli glömd. Jag ska nu övergå till att bedöma huruvida denna tolkning av bestämmelserna är förenlig med stadgan.
C – De relevanta grundläggande rättigheterna
112. I artikel 8 i stadgan anges att var och en har rätt till skydd för sina personuppgifter. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.
113. Enligt min uppfattning betonar denna grundläggande rättighet, som är en upprepning av unionens och Europarådets regler på detta område, vikten av skyddet för personuppgifter, men lägger inte i sig till några nya viktiga aspekter för tolkningen av direktivet.
114. Enligt artikel 7 i stadgan har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Denna bestämmelse, som i sak har samma innehåll som artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som undertecknades i Rom den 4 november 1950 (nedan kallad Europakonventionen), måste vederbörligen beaktas vid tolkningen av de relevanta bestämmelserna i direktivet, vilka kräver att medlemsstaterna ska skydda särskilt rätten till privatliv.
115. Med avseende på Europakonventionen vill jag erinra om att artikel 8 även omfattar frågor avseende skydd för personuppgifter. Av denna anledning, och i överensstämmelse med artikel 52.3 i stadgan, är Europadomstolens praxis rörande artikel 8 i Europakonventionen relevant såväl för tolkningen av artikel 7 i stadgan som för tillämpningen av direktivet i enlighet med artikel 8 i stadgan.
116. I målet Niemietz fann Europadomstolen att en fysisk persons yrkes- och affärsverksamhet kan omfattas av privatlivets ram såsom det skyddas enligt artikel 8 i Europakonventionen.(79) Samma inriktning har följts i senare avgöranden av domstolen.
117. Vidare har domstolen i de förenade målen Volker und Markus Schecke och Eifert(80) funnit att ”rätten till respekt för privatlivet vad avser behandling av personuppgifter, vilken erkänns i artiklarna 7 och 8 i stadgan, omfattar varje uppgift [min kursivering] som rör en fysisk person som är namngiven eller som på annat sätt kan identifieras ... dels att de begränsningar som lagligen kan göras vad avser rätten till skydd för personuppgifter är desamma som dem som tolereras enligt artikel 8 i Europakonventionen”.
118. Mot bakgrund av målet Volker und Markus Schecke och Eifert drar jag slutsatsen att skyddet för privatlivet i enlighet med stadgan, med avseende på behandling av personuppgifter, omfattar varje uppgift som rör en fysisk person, oavsett om denne handlar i en rent privat sfär eller som näringsidkare eller, exempelvis, som politiker. Med hänsyn till de vidsträckta begreppen personuppgifter och personuppgiftsbehandling i unionsrätten, verkar ovanstående rättspraxis ge vid handen att varje kommunikationsåtgärd som genomförs med hjälp av automatiska medel, bland annat telekommunikationer, e-post eller sociala medier, och rör en fysisk person i sig utgör ett sådant förmodat intrång i denna grundläggande rätt som måste vara berättigat.(81)
119. I punkt 75 drog jag slutsatsen att en sökmotorleverantörs verksamhet innebär behandling av personuppgifter som visas på tredje mans källwebbsidor. Det följer således av domen i de förenade målen Volker und Markus Schecke och Eifert att det sker ett ingrepp i de berörda registrerades rätt till privatliv, som skyddas genom artikel 7 i stadgan, oavsett hur sökmotorleverantörens funktion klassificeras enligt direktivet. Enligt Europakonventionen och stadgan ska ingrepp i skyddade rättigheter grunda sig på lag och vara nödvändiga i ett demokratiskt samhälle. I förevarande mål rör det sig inte om ett ingrepp som genomförs av en myndighet och därför ska vara berättigat, utan frågan är i vilken utsträckning ingrepp som görs av fysiska subjekt ska tolereras. Gränserna framgår av direktivet och bygger således på lag, såsom krävs enligt Europakonventionen och stadgan. Vid en tolkning av direktivet är det följaktligen nödvändigt att avgöra vilka gränser stadgan uppställer för fysiska personers behandling av uppgifter. Detta leder i sin tur till frågan huruvida unionen och medlemsstaterna har en positiv skyldighet att, gentemot sökmotorleverantörer som är fysiska personer, genomföra en rätt att bli glömd.(82) Detta leder vidare till frågor om skäl som berättigar att det görs inskränkningar i artiklarna 7 och 8 i stadgan samt förhållandet till de konkurrerande rättigheterna till yttrandefrihet och informationsfrihet jämte näringsfriheten.
D – Rätten till yttrandefrihet och informationsfrihet samt näringsfriheten
120. Föreliggande mål rör många aspekter av den i artikel 11 i stadgan föreskrivna yttrande- och informationsfriheten. Nämnda artikel motsvarar artikel 10 i Europakonventionen. I artikel 11.1 i stadgan anges att ”[v]ar och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser”.(83)
121. Internetanvändarnas rätt att söka efter och ta emot uppgifter som har publicerats på internet skyddas genom artikel 11 i stadgan.(84) Denna rätt avser både uppgifter på källwebbsidor och uppgifter som tillhandahålls av sökmotorer. Som jag redan har nämnt har internet revolutionerat åtkomsten till och spridningen av alla möjliga olika typer av uppgifter och möjliggjort nya former av kommunikation och kontakter mellan fysiska personer. Enligt min uppfattning bör den grundläggande rätten till information ges särskilt skydd i unionsrätten, framför allt mot bakgrund av en ständigt ökande tendens hos auktoritära regimer på andra platser att begränsa tillgången till internet eller censurera innehållet som publiceras där.(85)
122. Även utgivare av webbsidor åtnjuter skydd enligt artikel 11 i stadgan. Tillgängliggörande av innehåll på internet räknas som utövande av yttrandefriheten,(86) vilket i ännu högre grad är sant när utgivaren har länkat sin sida till andra sidor och inte har begränsat sökmotorers indexering eller arkivering av den, och utgivaren på så sätt har gett uttryck för en önskan om vidsträckt spridning av innehållet. Webbpublicering är ett sätt för fysiska personer att delta i debatten eller sprida sitt eget innehåll, eller innehåll som andra har laddat upp, på internet.(87)
123. I det aktuella målet rör det sig bland annat om personuppgifter publicerade i en tidnings historiska arkiv. I målet Times Newspapers Ltd (nr 1 och 2) mot Förenade kungariket underströk Europadomstolen internetarkivens bidrag till att bevara och tillgängliggöra nyheter och information. ”Sådana arkiv utgör en viktig källa för utbildning och historisk forskning, i synnerhet som de är lättåtkomliga för allmänheten och vanligtvis gratis ... Emellertid är staternas utrymme för skönsmässig bedömning vid avvägningen mellan de konkurrerande rättigheterna antagligen större i fråga om historiska nyhetsarkiv än i fråga om aktuell nyhetsrapportering. Pressens skyldighet att iaktta principerna om ansvarsfull journalistik genom att garantera att publicerade historiska uppgifter, snarare än förgängliga uppgifter, är riktiga [min kursivering], är antagligen strängare om det inte finns någon brådskande anledning att publicera materialet.”(88)
124. Kommersiella sökmotorleverantörer erbjuder sina söktjänster inom ramen för affärsverksamhet i syfte att generera intäkter från sökordsannonsering. Detta gör att det är en affärsverksamhet och näringsfriheten har, i enlighet med unionsrätten och nationell rätt, erkänts i artikel 16 i stadgan.(89)
125. Dessutom ska det erinras om att ingen av de i detta mål aktuella grundläggande rättigheterna är absoluta. De kan inskränkas under förutsättning att det finns godtagbara skäl mot bakgrund av villkoren i artikel 52.1 i stadgan.(90)
E – Kan registrerade grunda en ”rätt att bli glömda” på artikel 7 i stadgan?
126. Slutligen är det nödvändigt att överväga huruvida en tolkning av artiklarna 12 b och 14 a i direktivet mot bakgrund av stadgan, särskilt artikel 7 i denna, kan leda till ett erkännande av att det finns en ”rätt att bli glömd” i den bemärkelse som har angetts av den hänskjutande domstolen. Till att börja med skulle en sådan slutsats inte strida mot artikel 51.2 i stadgan, eftersom den skulle utgöra en precisering av tillämpningsområdet för den registrerades åtkomst- och invändningsrätt som redan har erkänts i direktivet och inte skulle innebära att några nya rättigheter skapas eller att unionsrättens tillämpningsområde utvidgas.
127. I målet Ovchinnikov(91) fann domstolen att ”en inskränkning av återgivning av information som redan är känd för allmänheten … under vissa omständigheter [kan] vara motiverad, till exempel för att hindra ytterligare spridning av uppgifter om en fysisk persons privatliv, som inte utgör en del av en politisk eller offentlig debatt eller utgör en fråga av allmän betydelse”. Den grundläggande rätten till skydd för privatlivet kan således i princip åberopas även om informationen i fråga redan har offentliggjorts.
128. Den registrerades rätt till skydd för sitt privatliv måste dock vägas mot andra grundläggande rättigheter, i synnerhet yttrandefriheten och informationsfriheten.
129. En tidningsutgivares informationsfrihet är ett skydd för dennes rätt att återpublicera sina tryckta tidningar på internet. Enligt min uppfattning har myndigheterna inte rätt att censurera en sådan utgivning. Det gäller även dataskyddsmyndigheterna. Europadomstolens dom i målet Times Newspapers Ltd (nr 1 och 2) mot Förenade kungariket(92) visar att utgivarens ansvar för historiska publikationers riktighet kan vara strängare än dennes ansvar för aktuella nyheter och kan kräva att det omtvistade innehållet kompletteras med lämpliga friskrivningar. Jag anser dock inte att det kan krävas att digital återpublicering av en tidning ska ha ett annat innehåll än den ursprungliga tryckta versionen. Det skulle innebära att historiska uppgifter inte återgavs på ett riktigt sätt.
130. Det dataskyddsrättsliga spörsmål som utgör kärnan i förevarande mål blir endast aktuellt om en internetanvändare skriver den registrerades för- och efternamn i sökmotorn och på så sätt erhåller en länk till tidningens webbsidor med de omtvistade kungörelserna. Under dessa omständigheter utövar internetanvändaren aktivt sin rätt att ta emot information om den registrerade från offentliga källor av skäl som endast internetanvändaren känner till.(93)
131. I dagens informationssamhälle utgör rätten att med hjälp av sökmotorer genomsöka information som har publicerats på internet ett av de viktigaste sätten att utöva denna grundläggande rättighet. Den innefattar utan tvekan en rätt att söka efter information rörande andra fysiska personer som, i princip, skyddas av rätten till skydd för privatlivet, såsom information på internet avseende en fysisk persons aktiviteter som näringsidkare eller politiker. En internetanvändares rätt att ta emot information skulle inskränkas om resultatet av hans eller hennes sökning efter information rörande en fysisk person inte gav en sann bild av de relevanta webbsidorna utan en ”bowdleriserad”(94) version av dem.
132. En sökmotorleverantör utövar i laga ordning såväl sin näringsfrihet som sin yttrandefrihet när denne tillgängliggör verktyg för informationssökning på internet som bygger på en sökmotor.
133. Den särskilt komplicerade och svåra kombinationen av grundläggande rättigheter som aktualiseras i detta mål innebär att det inte finns skäl att stärka de registrerades rättsliga ställning enligt direktivet och fylla ut det med en rätt att bli glömd. Detta skulle medföra att centrala rättigheter, såsom yttrandefriheten och informationsfriheten, inskränktes. Jag skulle också avråda domstolen från en lösning som antyder att en tillfredsställande avvägning av dessa motstridande intressen skulle kunna göras från fall till fall, vilket skulle innebära att sökmotorleverantören gör bedömningen. Rutiner för ”meddelande och radera” (notice and take down procedures), om domstolen skulle kräva sådana, skulle sannolikt leda till antingen automatisk borttagning av länkar till allt innehåll som är omtvistat eller till ett ohanterligt antal anmälningar till de populäraste och viktigaste sökmotorleverantörerna.(95) I detta sammanhang är det viktigt att komma ihåg att processerna för ”meddelande och radera” som föreskrivs i e-handelsdirektivet 2000/31 gäller olagligt innehåll. Det aktuella målet avser däremot en begäran att undanhålla berättigade och lagliga uppgifter som har offentliggjorts.
134. Framför allt bör inte sökmotorleverantörer belastas med en sådan skyldighet. Det skulle innebära en inskränkning av webbsidesutgivarens yttrandefrihet, eftersom denne inte skulle åtnjuta adekvat rättsligt skydd i en sådan situation, då ett förfarande för ”meddelande och radering” skulle vara en privat fråga mellan den registrerade och sökmotorleverantören.(96) Det skulle vara samma sak som att låta en enskild person censurera det innehåll som utgivaren har publicerat.(97) Det är en helt annan sak att stater har en positiv skyldighet att se till att det finns effektiva sanktioner mot en utgivare som gör intrång på någons rätt till privatliv, vilket i detta fall skulle avse utgivaren av webbsidan.
135. Såsom Artikel 29-arbetsgruppen har anmärkt är det möjligt att sökmotorleverantörernas subsidiära ansvar enligt nationell lagstiftning kan leda till en skyldighet att blockera åtkomst till tredje mans webbplatser med olagligt innehåll, exempelvis webbsidor som gör intrång i immateriella rättigheter eller som visar kränkande eller brottsliga uppgifter.(98)
136. I motsats till detta kan en allmän rätt att bli glömd inte grundas på direktivet, inte ens när det tolkas i överensstämmelse med stadgan.
137. Av dessa skäl föreslår jag att domstolen ska besvara den tredje tolkningsfrågan på så sätt att rätten till utplåning och blockering av uppgifter, som regleras i artikel 12 b och rätten att invända, som regleras i artikel 14 a i direktivet, inte innefattar en rätt att bli glömd av sådan art som har beskrivits i begäran om förhandsavgörande.
VIII – Förslag till avgörande
138. Mot bakgrund av ovan angivna överväganden föreslår jag att domstolen besvarar de frågor som har hänskjutits av Audiencia Nacional på följande sätt:
1. Behandling av personuppgifter äger rum som ett led i den registeransvariges ”verksamhet” i den mening som avses i artikel 4.1 a i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, när det företag som tillhandahåller sökmotorn, i syfte att marknadsföra och sälja reklamutrymme på sökmotorn, etablerar ett kontor eller dotterbolag som riktar sin verksamhet mot invånarna i den staten.
2. En sökmotorleverantör, vars sökmotor lokaliserar information som tredje man har publicerat eller inkluderat på internet, indexerar den automatiskt, lagrar den tillfälligt och slutligen tillgängliggör den för andra användare i en särskild prioritetsordning, ”behandlar” personuppgifter i den mening som avses i artikel 2 b i direktiv 95/46 när informationen innehåller personuppgifter.
En sökmotorleverantör kan emellertid inte betraktas som ”registeransvarig” för behandlingen av sådana personuppgifter i den mening som avses i artikel 2 d i direktiv 95/46, med undantag av innehållet i dess sökmotors index, om den inte indexerar eller arkiverar personuppgifter i strid med instruktioner eller en begäran från utgivaren av webbsidan.
3. Rätten till utplåning och blockering av uppgifter, som regleras i artikel 12 b, och rätten att invända, som regleras i artikel 14 a i direktiv 95/46, innebär inte att den registrerade får vända sig till en sökmotorleverantör för att förhindra att information om honom eller henne, som i laga ordning har publicerats på webbsidor tillhörande tredje man, indexeras, på grund av att han eller hon inte vill att informationen ska komma till internetanvändarnas kännedom när han eller hon anser att den kan skada honom eller henne eller önskar att den ska bli glömd.