SKLEPNI PREDLOGI GENERALNEGA PRAVOBRANILCA
NIILA JÄÄSKINENA,
predstavljeni 25. junija 2013(1)
Zadeva C‑131/12
Google Spain SL,
Google Inc.
proti
Agencia Española de Protección de Datos (AEPD),
Mariu Costeji Gonzálezu
(Predlog za sprejetje predhodne odločbe,
ki ga je vložilo Audiencia Nacional (Španija))
„Svetovni splet – Osebni podatki – Internetni iskalnik – Direktiva o varstvu podatkov 95/46 – Razlaga členov 2(b) in (d), 4(1)(a) in (c), 12(b) in 14(a) – Ozemeljsko področje uporabe – Pojem ‚poslovna enota na ozemlju države članice‘ – Področje uporabe ratione materiae – Pojem obdelave osebnih podatkov – Pojem upravljavca obdelave osebnih podatkov – Pravica do izbrisa in blokiranja podatkov – ‚Pravica biti pozabljen‘ – Listina Evropske unije o temeljnih pravicah – Členi 7, 8, 11 in 16“
I – Uvod
1. Samuel D. Warren in Louis D. Brandeis sta leta 1890 v temeljnem članku v reviji Harvard Law Review z naslovom The Right to Privacy (Pravica do zasebnosti)(2) potarnala, da „[n]ajnovejše iznajdbe in poslovne metode“, na primer „[i]nstantne fotografije in raziskovalno novinarstvo, vdirajo v sveti prostor zasebnega in družinskega življenja“. V tem članku sta se sklicevala na „naslednji korak, ki ga je treba storiti za zaščito osebe“.
2. Varstvo osebnih podatkov in zasebnosti posameznikov postaja danes čedalje pomembnejše. Kakršna koli vsebina, ki vključuje osebne podatke, naj bo v obliki besedil ali avdiovizualnega gradiva, lahko v digitalni obliki postane v hipu in trajno dostopna kjer koli po svetu. S pojavom interneta se je naše življenje korenito spremenilo, saj so bile odstranjene tehnične in institucionalne ovire za razširjanje in prejemanje informacij, hkrati pa so bili postavljeni temelji za različne storitve informacijske družbe. Od tega imajo dobrobit potrošniki, podjetja in širša družba. Posledica tega so nove okoliščine, v katerih je treba zagotoviti ravnotežje med različnimi temeljnimi pravicami, kot so svoboda izražanja, svoboda obveščanja in svoboda gospodarske pobude na eni strani, ter varstvom osebnih podatkov in zasebnosti posameznikov na drugi.
3. Na področju interneta je treba razlikovati med tremi položaji, ki se nanašajo na osebne podatke. Prvi med njimi je objava elementov osebnih podatkov na kateri od internetnih spletnih strani(3) (v nadaljevanju: izvorna spletna stran).(4) Drugi je primer internetnega iskalnika, pri katerem je internetni uporabnik na podlagi rezultatov iskanja preusmerjen na izvorno spletno stran. Tretji, bolj neviden postopek pa se zgodi, ko internetni uporabnik izvede iskanje z internetnim iskalnikom, pri čemer se nekateri njegovi osebni podatki, na primer naslov IP, s katerega se iskanje izvaja, samodejno pošljejo ponudniku storitve internetnega iskalnika.(5)
4. Sodišče je v zvezi s prvim položajem že v sodbi v zadevi Lindqvist razsodilo, da se Direktiva 95/46/ES(6) (v nadaljevanju: Direktiva o varstvu podatkov in Direktiva) uporablja za ta položaj. Tretji položaj v obravnavanem postopku ni sporen, nacionalni organi za varstvo podatkov pa so že sprožili upravne postopke, da bi uporabnikom internetnih iskalnikov pojasnili področje uporabe pravil EU o varstvu podatkov.(7)
5. Predložitveni sklep se v tej zadevi nanaša na drugi položaj. Audiencia Nacional (špansko nacionalno višje sodišče) ga je vložilo v postopku med družbama Google Spain, S.L. in Google, Inc. (v nadaljevanju: posamično ali skupaj: Google) na eni strani ter organom Agencia Española de Protección de Datos (v nadaljevanju: AEPD) in Mariem Costejo Gonzálezom (v nadaljevanju: posameznik, na katerega se nanašajo osebni podatki) na drugi. Postopek se nanaša na uporabo Direktive o varstvu podatkov v primeru internetnega iskalnika, ki ga družba Google upravlja kot ponudnik storitev. V nacionalnem postopku ni sporno, da je španski časopis v dveh tiskanih izdajah iz leta 1998, ki sta bili pozneje objavljeni še v elektronski različici, dostopni na internetu, objavil nekatere osebne podatke posameznika, na katerega se nanašajo osebni podatki. Posameznik, na katerega se nanašajo osebni podatki, zdaj meni, da te informacije ne bi smele biti več prikazane v rezultatih iskanja, dobljenih, če se v internetnem iskalniku, ki ga upravlja družba Google, izvede iskanje na podlagi njegovega imena in priimkov.
6. Vprašanja, predložena Sodišču, spadajo v tri kategorije.(8) Prva skupina vprašanj se nanaša na ozemeljsko področje uporabe pravil EU o varstvu podatkov. Druga skupina se loteva problematike pravnega položaja ponudnika storitev internetnega iskalnika(9) z vidika Direktive, zlasti v smislu njenega področja uporabe ratione materiae. In končno, tretja skupina se nanaša na tako imenovano pravico biti pozabljen in vprašanje, ali lahko posamezniki, na katere se nanašajo osebni podatki, zahtevajo, naj se onemogoči dostop z iskalnikom do nekaterih ali vseh rezultatov iskanja, ki se nanašajo nanje. Vsa ta vprašanja, ki porajajo tudi pomembna vprašanja varstva temeljnih pravic, so za Sodišče nova.
7. Zdi se, da gre za prvo zadevo, v kateri je Sodišče pozvano, naj razloži uporabo Direktive na področju internetnih iskalnikov; ta problematika je očitno pomembna za nacionalne organe za varstvo podatkov in sodišča držav članic. Predložitveno sodišče je celo navedlo, da obravnava več podobnih zadev.
8. Najpomembnejša prejšnja zadeva Sodišča, v kateri so bila obravnavana vprašanja varstva podatkov in interneta, je bila zadeva Lindqvist.(10) Vendar se ni nanašala na internetne iskalnike. Direktiva je bila razložena že v številnih zadevah. Med njimi so zlasti pomembne sodbe v zadevah Österreichischer Rundfunk,(11)Satakunnan Markkinapörssi in Satamedia(12) ter Volker und Markus Schecke in Eifert(13). Vloga internetnih iskalnikov na področju pravic intelektualne lastnine in pristojnosti sodišč je bila v sodni praksi Sodišča obravnavana tudi v zadevah Google France in Google, Portakabin, L’Oréal in drugi, Interflora in Interflora British Unit ter Wintersteiger.(14)
9. Od sprejetja Direktive je bila določba o varstvu osebnih podatkov vključena v člen 16 PDEU in člen 8 Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina). Poleg tega je Komisija v letu 2012 predložila predlog splošne uredbe o varstvu podatkov,(15) ki naj bi nadomestila Direktivo. Vendar je treba obravnavani spor rešiti na podlagi veljavne zakonodaje.
10. Na obravnavani predlog za sprejetje predhodne odločbe vpliva dejstvo, da leta 1990, ko je Komisija predložila predlog Direktive, internet v današnjem pomenu svetovnega spleta še ni obstajal niti ni bilo iskalnikov. Leta 1995, ko je bila sprejeta Direktiva, je internet komaj začel delovati, pojavljati pa so se začeli tudi prvi osnovni iskalniki, vendar nihče ni mogel predvideti, kako korenito bo to spremenilo svet. Danes lahko skoraj za vsakega lastnika pametnega telefona ali računalnika velja, da izvaja dejavnosti na internetu, za katere bi se lahko uporabljala Direktiva.
II – Pravni okvir
A – Direktiva o varstvu podatkov
11. Člen 1 Direktive določa, da morajo države članice v skladu z določbami Direktive varovati temeljne pravice in svoboščine fizičnih oseb, predvsem njihovo pravico do zasebnosti pri obdelavi osebnih podatkov.
12. V členu 2 so med drugim opredeljeni pojmi „osebni podatek“ in „posameznik, na katerega se nanašajo osebni podatki“, „obdelava osebnih podatkov“, „upravljavec“ obdelave osebnih podatkov in „tretja stranka“.
13. V skladu s členom 3 je treba Direktivo uporabljati za obdelavo osebnih podatkov v celoti ali delno z avtomatskimi sredstvi in za nekatere primere drugačne obdelave kakor z avtomatskimi sredstvi.
14. V skladu s členom 4(1) mora vsaka država članica za obdelavo osebnih podatkov uporabljati nacionalne predpise, ki jih sprejme v skladu z Direktivo, kadar je upravljavec ustanovljen na njenem ozemlju ali kadar upravljavec ni ustanovljen v Uniji in za obdelavo osebnih podatkov uporablja opremo, ki se nahaja na ozemlju te države članice.
15. V členu 12 Direktive je posameznikom, na katere se nanašajo osebni podatki, zagotovljena „pravica do dostopa“ do osebnih podatkov, ki jih obdeluje upravljavec, v členu 14(a) pa „pravica […] do ugovora“ zoper obdelavo osebnih podatkov v nekaterih okoliščinah.
16. S členom 29 Direktive je bila ustanovljena neodvisna svetovalna delovna skupina za varstvo posameznikov pri obdelavi osebnih podatkov, ki jo med drugim sestavljajo organi držav članic za varstvo podatkov (v nadaljevanju: delovna skupina za varstvo podatkov iz člena 29).
B – Nacionalno pravo
17. Direktiva je bila v špansko pravo prenesena s sistemskim zakonom št. 15/1999 o varstvu podatkov.(16)
III – Dejansko stanje in vprašanja za predhodno odločanje
18. Časnik z visoko naklado v Španiji je na začetku leta 1998 v tiskani izdaji objavil obvestili o dražbi nepremičnine v zvezi s postopkom izvršbe zaradi neplačila socialnih prispevkov. Kot lastnik je bil naveden posameznik, na katerega se nanašajo osebni podatki. Pozneje je izdajatelj časopisa na spletu objavil elektronsko različico časopisa.
19. Posameznik, na katerega se nanašajo osebni podatki, se je novembra 2009 obrnil na izdajatelja časopisa in trdil, da se ob vnosu njegovega imena in priimkov v iskalnik Google prikaže povezava na strani časopisa z obvestili o nepremičninski dražbi. Trdil je, da je bil postopek izvršbe zaradi njegovih neplačil socialnih prispevkov končan in rešen že pred več leti in je zdaj brezpredmeten. Izdajatelj mu je odgovoril, da podatki ne bodo izbrisani, saj je bila objava izvedena po odredbi ministrstva za delo in socialne zadeve.
20. Posameznik, na katerega se nanašajo osebni podatki, je februarja 2010 od družbe Google Spain zahteval, naj rezultati iskanja, če se v iskalnik Google vnesejo njegovo ime in priimka, ne vsebujejo povezav do časopisa. Družba Google Spain je zahtevo posredovala družbi Google Inc., ki ima registriran sedež v Kaliforniji v Združenih državah, saj je menila, da prav slednja ponuja storitev internetnega iskanja.
21. Posameznik, na katerega se osebni podatki nanašajo, je nato vložil pritožbo pri AEPD, s katero je zahteval, naj se od izdajatelja zahteva izbris ali popravek objave, tako da njegovi osebni podatki ne bodo več prikazani, oziroma naj se z orodji, ki jih omogočajo iskalniki, zavarujejo njegovi osebni podatki. Trdil je še, da bi se moralo od družbe Google Spain ali Google Inc. zahtevati, naj izbriše ali prikrije njegove podatke, da ti ne bodo več prikazani med rezultati iskanja in povezavami do strani časopisa.
22. Direktor AEPD je z odločbo z dne 30. julija 2010 pritožbi posameznika, na katerega se nanašajo osebni podatki, zoper družbi Google Spain in Google Inc. ugodil in ju pozval, naj sprejmeta ustrezne ukrepe za umik podatkov s svojega indeksa ter onemogočita prihodnji dostop do njih, pritožbo zoper izdajatelja pa je zavrnil, saj je za objavo podatkov v tisku obstajala pravna podlaga. Družbi Google Spain in Google Inc. sta pri predložitvenem sodišču vložili pritožbi, s katerima sta predlagali razglasitev ničnosti odločbe AEPD.
23. Nacionalno sodišče je prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:
„1. Ali je [Direktivo] in posledično španski zakon o varstvu podatkov, kar zadeva ozemeljsko področje uporabe,
1.1 treba razlagati tako, da obstaja ‚ustanovitev [poslovna enota]‘ v smislu člena 4(1)(a) [Direktive], kadar je podana vsaj ena od teh okoliščin:
– kadar dobavitelj iskalnika v eni od držav članic ustanovi podružnico ali hčerinsko družbo, ki se ukvarja s trženjem in prodajo oglasnega prostora na iskalniku, katerega dejavnost je usmerjena k prebivalcem tiste države članice,
ali
– kadar matično podjetje določi hčerinsko družbo iz tiste države članice za svojega zastopnika in upravljavca dveh konkretnih zbirk, ki vsebujeta podatke strank, ki so bile naročnice oglaševalskih storitev navedenega podjetja,
ali
– kadar podružnica ali hčerinska družba, ustanovljena v eni od držav članic, prenese na matično podjetje s sedežem zunaj Evropske unije zahtevke in pozive, ki jih prejme tako od zadevnih oseb kot od pristojnih organov v zvezi s spoštovanjem pravice do varstva podatkov, čeprav je navedeno sodelovanje prostovoljno?
1.2 Ali je člen 4(1)(c) Direktive 95/46/ES treba razlagati tako, da se ‚uporablja oprema, ki se nahaja na ozemlju te države članice‘,
kadar spletni iskalnik uporablja spletne pajke ali robote za iskanje in indeksiranje informacij na spletnih mestih, ki so na strežnikih v tej državi članici,
ali
kadar uporablja domeno, ki pripada določeni državi članici, in iskanje ter zadetke usmerja glede na jezik tiste države članice?
1.3 Ali se lahko začasno shranjevanje informacij, ki jih indeksira spletni iskalnik, šteje za uporabo opreme v smislu člena 4(1)(c) [Direktive]? Če je odgovor na zadnje vprašanje pritrdilen, ali se lahko upošteva, da je ta navezna okoliščina podana, kadar podjetje zavrne razkritje kraja, kjer so shranjeni ti seznami, pri čemer se sklicuje na razloge v zvezi s konkurenco?
1.4 Ne glede na odgovor na prejšnja vprašanja in zlasti če bi [Sodišče] ugotovilo, da ni podana nobena navezna okoliščina iz člena 4 navedene direktive,
ali je treba [Direktivo], glede na člen 8 [Listine], uporabiti v državi članici, v kateri je težišče konflikta in je tako lahko varstvo pravic državljanov Evropske unije učinkovitejše?
2. Kar zadeva dejavnost iskalnikov kot dobaviteljev vsebin, v povezavi z [Direktivo 95/46/ES]:
2.1 Ali je treba dejavnost spletnega iskalnika družbe ‚Google‘ kot dobavitelja vsebin, ki poišče informacije, ki jih objavijo ali postavijo na splet tretje osebe, jih samodejno indeksira, začasno shrani in končno da na voljo internetnim uporabnikom po prednostnem vrstnem redu,
razlagati tako, da je zajeta v pojmu ‚obdelava […] podatkov‘ iz člena 2(b) [Direktive], kadar navedene informacije vsebujejo osebne podatke tretjih oseb?
2.2 Če je odgovor na prejšnje vprašanje pritrdilen in še vedno v povezavi z že navedeno dejavnostjo, ali je člen 2(d) Direktive 95/46/ES treba razlagati tako, da je družba, ki upravlja iskalnik ‚Google‘, ‚upravljavec‘ osebnih podatkov na spletnih straneh, ki jih indeksira?
2.3 Če je odgovor na prejšnje vprašanje pritrdilen, ali lahko nacionalni organ za varstvo podatkov (v tem primeru [AEPD]), ki skrbi za varstvo pravic iz členov 12(b) in 14(a) Direktive 95/46/ES, od iskalnika družbe ‚Google‘ neposredno zahteva, da s svojih seznamov odstrani informacijo, ki so jo objavile tretje osebe, ne da bi se pred tem ali sočasno obrnil na imetnika spletne strani, ki vsebuje navedeno informacijo?
2.4 Če je odgovor na zadnje vprašanje pritrdilen, ali so iskalniki oproščeni obveznosti varstva teh pravic, kadar informacijo, ki vsebuje osebne podatke, zakonito objavijo tretje osebe in ostane na izvornem spletnem mestu?
3. Kar zadeva obseg pravice do izbrisa in ugovora v povezavi z „derecho al olvidio“ („pravica biti pozabljen“), se postavlja to vprašanje:
3.1 Ali je pravici do izbrisa in blokiranja podatkov iz člena 12(b) in pravico do ugovora iz člena 14[, prvi odstavek,] (a), [Direktive 95/46] treba razlagati tako, da pomenijo, da zadevna oseba lahko zahteva, naj se z iskalniki prepreči indeksacija informacije, ki se nanaša nanjo in so jo na svojih spletnih mestih objavile tretje osebe, ker ne želi, da bi bila dostopna internetnim uporabnikom, če meni, da bi bila zato lahko oškodovana, ali pa želi, da bi bila ta informacija pozabljena, čeprav gre za informacijo, ki so jo zakonito objavile tretje osebe?“
24. Pisna stališča so predložile družba Google, španska, grška, italijanska, avstrijska in poljska vlada ter Evropska komisija. Z izjemo poljske vlade so se vse udeležile obravnave 26. februarja 2013, ki se je je udeležil tudi zastopnik posameznika, na katerega se nanašajo osebni podatki, in podale ustne navedbe.
IV – Uvodne ugotovitve
A – Uvod
25. Ključno vprašanje v obravnavani zadevi je, kako je treba razlagati vlogo ponudnikov internetnih iskalnikov s stališča veljavnih pravnih instrumentov EU, ki se nanašajo na varstvo podatkov, zlasti Direktive. Zato je na začetku poučno navesti nekaj o razvoju varstva podatkov, interneta in internetnih iskalnikov.
26. Direktivi je bilo med pogajanji in ob sprejetju leta 1995(17) dodeljeno široko področje uporabe ratione materiae. Cilj tega je bil dohiteti tehnološki razvoj na področju obdelave podatkov s strani upravljavcev, ki je bila bolj decentralizirana kot zbirke, ki so temeljile na tradicionalnih centraliziranih zbirkah podatkov, zajemala pa je tudi nove vrste osebnih podatkov, na primer slike, in tehnike obdelave, na primer prosto iskanje po besedilih.(18)
27. Novost v letu 1995 je bila splošen dostop do interneta. Danes, po skoraj dveh desetletjih, je količina digitalizirane vsebine, dostopne na spletu, skokovito narasla. Do nje je mogoče zlahka dostopati, jo pregledovati in razširjati prek družbenih medijev, pa tudi naložiti na različne naprave, kot so tablični računalniki, pametni telefoni in prenosni računalniki. Vendar je jasno, da zakonodajalec Skupnosti ni predvidel, da se bo internet razvil v obsežno svetovno zbirko podatkov, do katere je mogoče dostopati kjer koli in po njej brskati.
28. V središču obravnavanega predloga za sprejetje predhodne odločbe je dejstvo, da internet povečuje in lajša razširjanje informacij kot še nikoli doslej.(19) Podobno kot je iznajdba tiska v 15. stoletju omogočila podvajanje neomejenega števila kopij, ki jih je bilo pred tem treba prepisati na roko, nalaganje gradiva na internet omogoča množičen dostop do informacij, ki jih je bilo prej morda mogoče najti po mukotrpnem iskanju na omejenih fizičnih lokacijah. Splošen dostop do informacij na internetu je mogoč kjer koli, razen v državah, v katerih so oblasti z različnimi tehničnimi sredstvi (na primer elektronskimi požarnimi zidovi) omejile dostop do interneta oziroma v katerih je dostop do telekomunikacij nadzorovan ali skop.
29. Potencialno področje uporabe Direktive je zaradi takega razvoja v sodobnem svetu postalo presenetljivo široko. Zamislimo si evropskega profesorja prava, ki s spletišča Sodišča na svoj prenosni računalnik prenese ključno sodno prakso Sodišča. V smislu Direktive bi se profesor lahko štel za „upravljavca“ osebnih podatkov tretje osebe. Profesor ima datoteke z osebnimi podatki, ki se samodejno obdelajo med iskanjem in pregledovanjem v okviru dejavnosti, ki niso popolnoma osebne ali povezane z domačo uporabo. Dejansko se zdi, da vsak, ki danes na tabličnem računalniku bere časopis ali spremlja družbeni medij na pametnem telefonu, sodeluje pri obdelavi osebnih podatkov z avtomatskimi sredstvi in bi lahko spadal na področje uporabe Direktive, če tega ne izvaja za popolnoma zasebne namene.(20) Poleg tega se zdi, da je v okviru široke razlage, ki jo je Sodišče podalo v zvezi s temeljno pravico do zasebnega življenja na področju varstva podatkov, vsako človeško sporazumevanje z elektronskimi sredstvi podvrženo nadzoru s sklicevanjem na to pravico.
30. Široke opredelitve osebnih podatkov, obdelave osebnih podatkov in upravljavca lahko v trenutni ureditvi zaradi tehnološkega razvoja zajemajo brez primere širok razpon novih dejanskih okoliščin. To pa zato, ker veliko, če ne kar večina spletišč in datotek, ki so na njih dostopne, vključuje osebne podatke, na primer imena živečih fizičnih oseb. Sodišče mora tako pri razlagi področja uporabe Direktive uporabiti načelo razumne presoje, z drugimi besedami načelo sorazmernosti, da bi se izognilo nerazumnim in pretiranim pravnim posledicam. Tak zmeren pristop je uporabilo že v sodbi Lindqvist, v kateri je zavrnilo razlago, ki bi lahko privedla do nerazumno širokega področja uporabe člena 25 Direktive v zvezi s prenosom osebnih podatkov v tretje države v okviru interneta.(21)
31. V obravnavani zadevi bo zato treba zagotoviti pravilno, razumno in sorazmerno ravnotežje med varstvom osebnih podatkov, skladno razlago ciljev informacijske družbe ter zakonitimi interesi gospodarskih subjektov in internetnih uporabnikov na splošno. Čeprav Direktiva vse od sprejetja leta 1995 še ni bila spremenjena, je njena uporaba v novih položajih neizogibna. Področje, na katerem se srečata pravo in nova tehnologija, je zapleteno. Stališča, ki jih je sprejela delovna skupina iz člena 29, so v zvezi s tem zelo koristna.(22)
B – Internetni iskalniki in varstvo podatkov
32. Pri analizi pravnega položaja internetnega iskalnika glede na pravila o varstvu podatkov je treba opozoriti na tole.(23)
33. Prvič, internetni iskalnik v osnovni obliki načeloma ne ustvarja nove neodvisne vsebine. V najpreprostejši obliki samo pokaže, kje je mogoče najti vsebino, ki so jo na internetu že objavile tretje osebe, saj prikaže hiperpovezavo do spletne strani, ki vsebuje iskalne izraze.
34. Drugič, rezultati iskanja, ki jih prikaže internetni iskalnik, ne temeljijo na takojšnem iskanju v celotnem svetovnem spletu, temveč so zbrani iz vsebine, ki jo je internetni iskalnik prej obdelal. To pomeni, da internetni iskalnik pridobi vsebino iz obstoječih spletnih mest ter jo kopira, analizira in indeksira na svojih napravah. Ta pridobljena vsebina vsebuje osebne podatke, če jih vsebuje katera od izvornih spletnih strani.
35. Tretjič, da so rezultati prijaznejši do uporabnikov, internetni iskalniki pogosto poleg povezave na izvorno spletno mesto prikažejo tudi dodatno vsebino. To so lahko odlomki besedil, avdiovizualna vsebina ali celo posnetki izvornih spletnih strani. Predogled vsaj dela teh informacij je mogoče pridobiti iz naprav ponudnika internetnega iskalnika, in ne neposredno z izvornega spletnega mesta. To pomeni, da ponudnik storitve s tako prikazanimi informacijami dejansko razpolaga.
C – Ureditev internetnih iskalnikov
36. Evropska unija pripisuje velik pomen razvoju informacijske družbe. V okviru tega se obravnava tudi vloga posrednikov v informacijski družbi. Ti delujejo kot graditelji mostov med ponudniki vsebin in internetnimi uporabniki. Posebna vloga posrednikov je priznana na primer v Direktivi (uvodna izjava 47 te direktive), v Direktivi o elektronskem poslovanju 2000/31(24) (člen 21(2) in uvodna izjava 18 te direktive), pa tudi v Mnenju 1/2008 delovne skupine iz člena 29. Šteje se, da je vloga ponudnikov internetnih storitev za informacijsko družbo ključna, njihova odgovornost za vsebino tretjih oseb, ki jo prenesejo in/ali shranijo, pa je omejena, da bi se olajšalo zakonito delovanje.
37. Vloga in pravni položaj ponudnikov storitve internetnega iskalnika v zakonodaji EU nista izrecno urejena. „Storitve informacijskih lokacijskih orodij“ se kot take „z elektronskimi sredstvi in na zahtevo posameznega prejemnika storitev ponujajo na daljavo“, zato se štejejo za storitev informacijske družbe, ki vključuje ponujanje orodij za iskanje podatkov, dostop do njih in njihov priklic. Vseeno se zdi, da ponudniki storitve internetnega iskalnika, kot je družba Google, ki svojih storitev internetnim uporabnikom ne ponujajo za plačilo, kot taki delujejo zunaj področja uporabe Direktive o elektronskem poslovanju 2000/31.(25)
38. Kljub temu je treba njihov položaj preučiti z vidika pravnih načel, na katerih temeljijo omejitve odgovornosti ponudnikov internetnih storitev. Z drugimi besedami, preučiti je treba, v kolikšnem obsegu so dejavnosti, ki jih izvaja ponudnik storitve internetnega iskalnika, z vidika načel o odgovornosti enake storitvam, naštetim v Direktivi o elektronskem poslovanju 2000/31 (prenos, zgolj shranjevanje v predpomnilniku, gostiteljstvo), ali storitvi prenosa, navedeni v uvodni izjavi 47 Direktive, in v kolikšnem obsegu ponudnik storitve internetnega iskalnika deluje kot ponudnik vsebine v svojem imenu.
D – Vloga in odgovornost izdajatelja izvorne spletne strani
39. Sodišče je v sodbi Lindqvist ugotovilo, da je treba „postopek, s katerim se na spletno stran vnesejo osebni podatki, šteti za [obdelavo osebnih podatkov]“.(26) Poleg tega je treba „za objavo informacij na spletni strani glede na tehnične in računalniške postopke, ki so trenutno v rabi, izvesti postopek nalaganja te strani na strežnik in postopke, potrebne za to, da postane ta stran dostopna osebam, ki se povežejo na splet. Ti postopki se vsaj delno opravijo z avtomatskimi sredstvi.“ Sodišče je nazadnje ugotovilo, da „postopek navedbe različnih oseb na spletni strani, pri čemer je njihova prepoznavnost omogočena z navedbo imena ali z drugimi sredstvi“, pomeni „obdelav[o] osebnih podatkov v celoti ali delno z avtomatskimi sredstvi v smislu člena 3(1) [Direktive]“.
40. Iz navedenih ugotovitev v sodbi Lindqvist izhaja, da je izdajatelj izvornih spletnih strani, ki vsebujejo osebne podatke, upravljavec osebnih podatkov v smislu Direktive. Kot tak mora izpolniti vse obveznosti, ki so z Direktivo naložene upravljavcem.
41. Izvorne spletne strani so shranjene na gostiteljskih strežnikih, povezanih z internetom. Izdajatelj izvornih spletnih strani lahko za delovanje internetnih iskalnikov uporabi „kode za izključevanje“.(27) Kode za izključevanje iskalnikom svetujejo, naj ne indeksirajo ali shranijo izvorne spletne strani oziroma naj je ne prikažejo med rezultati iskanja.(28) Njihova uporaba pomeni, da izdajatelj ne želi, da bi se nekatere informacije z izvorne spletne strani prikazovale in razširjale z iskalniki.
42. Izdajatelj ima tako tehnično možnost, da na svoje spletne strani vključi kode za izključevanje, s katerimi omeji indeksiranje in arhiviranje strani ter tako izboljša varnost osebnih podatkov. V skrajnem primeru lahko stran umakne z gostiteljskega strežnika, jo znova objavi brez spornih osebnih podatkov in zahteva posodobitev strani v predpomnilnikih iskalnikov.
43. Zato je oseba, ki objavi vsebino na izvorni spletni strani, kot upravljavec odgovorna za osebne podatke, objavljene na strani, pri čemer ima za izpolnitev obveznosti v zvezi s tem na voljo različna sredstva. Tako usmerjanje pravne odgovornosti je v skladu z uveljavljenimi načeli odgovornosti izdajatelja na področju tradicionalnih medijev.(29)
44. Ta odgovornost izdajatelja pa ne zagotavlja, da je mogoče težave v zvezi z varstvom podatkov dokončno rešiti samo z upravljavci izvornih spletnih strani. Kot je poudarilo predložitveno sodišče, so lahko isti osebni podatki objavljeni na nešteto straneh, zato je težko ali skoraj nemogoče izslediti vse zadevne izdajatelje in z njimi stopiti v stik. Poleg tega ima lahko izdajatelj stalno prebivališče v tretji državi, zato ni nujno, da se za zadevne spletne strani uporabljajo pravila EU o varstvu podatkov. Pojavijo se lahko tudi pravne ovire, kot v obravnavani zadevi, v kateri se ohranitev izvorne objave na internetu šteje za zakonito.
45. Splošna dostopnost informacij na internetu namreč temelji na internetnih iskalnikih, saj bi bilo iskanje ustreznih informacij brez njih preveč zapleteno in težavno, poleg tega bi dalo omejene rezultate. Kot upravičeno opozarja predložitveno sodišče, je bilo nekdaj treba za pridobitev informacij v zvezi z objavami o prisilni prodaji lastnine posameznika, na katerega se nanašajo osebni podatki, obiskati arhiv časnika. Zdaj je mogoče te informacije dobiti že z vnosom njegovega imena v internetni iskalnik, zato je razširjanje takih podatkov precej učinkovitejše, hkrati pa za posameznika, na katerega se nanašajo osebni podatki, tudi bolj moteče. Internetni iskalniki omogočajo dokaj celovito oblikovanje profilov posameznikov z iskanjem in zbiranjem njihovih osebnih podatkov. Vendar je prav strah, povezan z oblikovanjem profilov posameznikov, navdihnil oblikovanje sodobne zakonodaje o varstvu podatkov.(30)
46. Zato je pomembno, da se preuči odgovornost ponudnikov storitve internetnega iskalnika v zvezi z osebnimi podatki, objavljenimi na izvornih spletnih straneh tretje osebe, ki so dostopni prek njihovih iskalnikov. Z drugimi besedami, Sodišče se v obravnavani zadevi srečuje z vprašanjem „subsidiarne odgovornosti“ te skupine ponudnikov storitve informacijske družbe, ki je enako vprašanju, kot ga je v sodni praksi obravnavalo v zvezi z blagovnimi znamkami in elektronskimi trgi.(31)
E – Dejavnosti ponudnika storitve internetnega iskalnika
47. Ponudnik storitve internetnega iskalnika lahko izvaja različne vrste dejavnosti. Narava in ocena teh dejavnosti z vidika varstva podatkov se lahko razlikujeta.
48. Ponudnik storitve internetnega iskalnika lahko samodejno pridobi osebne podatke o svojih uporabnikih,(32) to pomeni o osebah, ki v iskalnik vnesejo iskalne izraze. Ti samodejno preneseni podatki lahko vključujejo njihov naslov IP, uporabniške nastavitve (jezik itd.) in seveda iskalne izraze, ki v primeru tako imenovanih vanity searches (iskanja, pri katerih uporabnik vnese svoje ime) zlahka razkrijejo identiteto uporabnikov. Poleg tega, kar zadeva osebe, ki imajo uporabniške račune in so se torej registrirale, njihovi osebni podatki, na primer imena, elektronskimi naslovi in telefonske številke, skoraj vedno končajo v rokah ponudnika storitve internetnega iskalnika.
49. Prihodkov ponudnikov storitve internetnega iskalnika ne ustvarjajo uporabniki, ki v iskalnik vnašajo iskalne izraze, temveč oglaševalci, ki take iskalne izraze zakupijo kot ključne besede, tako da se njihov oglas prikaže hkrati z rezultati iskanja navedene ključne besede.(33) Jasno je, da osebni podatki, povezani z oglaševalskimi strankami, pridejo v roke ponudnika storitve.
50. Vendar se ta postopek predhodnega odločanja nanaša na družbo Google samo kot na ponudnika storitve internetnega iskalnika v zvezi s podatki, vključno z osebnimi podatki, ki so na internetu objavljeni na izvornih spletnih straneh tretje osebe ter se obdelujejo in indeksirajo v iskalniku Google. Zato težave uporabnikov in oglaševalskih strank, za podatke katerih se Direktiva brez dvoma uporablja, kar zadeva njihov odnos z družbo Google, ne vplivajo na preučitev druge skupine vprašanj za predhodno odločanje. Vseeno so te skupine uporabnikov lahko pomembne v zvezi z vprašanji pristojnosti na podlagi prve skupine vprašanj za predhodno odločanje.
V – Prva skupina vprašanj, ki se nanaša na ozemeljsko področje uporabe Direktive
A – Uvod
51. Prva skupina vprašanj za predhodno odločanje se nanaša na razlago člena 4 Direktive, kar zadeva merila za določitev ozemeljskega področja uporabe nacionalne izvedbene zakonodaje.
52. Predložitveno sodišče je vprašanja za predhodno odločanje v zvezi z ozemeljsko uporabo španske zakonodaje o varstvu podatkov razdelilo na štiri podvprašanja. Prvo se nanaša na pojem „ustanovitev [poslovna enota]“ v smislu člena 4(1)(a) Direktive, drugo pa na okoliščine, v katerih se „uporablja [… ] oprem[a], ki se nahaja na ozemlju te države članice“ v smislu člena 4(1)(c) navedene direktive. S tretjim podvprašanjem sprašuje, ali je mogoče za uporabo opreme šteti začasno shranjevanje informacij, ki jih indeksirajo spletni iskalniki, in če je odgovor na to vprašanje pritrdilen, ali se lahko domneva, da je ta navezna okoliščina podana, kadar podjetje zavrne razkritje kraja, kjer so shranjeni ti seznami. S četrtim vprašanjem sprašuje, ali je treba Direktivo glede na člen 8 Listine Evropske unije o temeljnih pravicah uporabiti v državi članici, v kateri je težišče spora in kjer je lahko varstvo pravic državljanov Evropske unije učinkovitejše.
53. Najprej bom obravnaval zadnje podvprašanje, ki ga je nacionalno sodišče postavilo „ne glede na odgovor na prejšnja vprašanja[,] in še posebej če bi [Sodišče] ugotovilo, da ni podana nobena navezna okoliščina iz člena 4(1) navedene direktive“.
B – Zemljepisno težišče spora samo po sebi ne zadošča za uporabo Direktive
54. Listina v skladu s členom 51(2) niti ne razširja področja uporabe prava Evropske unije prek pristojnosti Unije niti ne ustvarja nikakršnih novih pristojnosti ali nalog Unije in ne spreminja pristojnosti in nalog, opredeljenih v Pogodbah.(34) To načelo velja tudi za člen 8 Listine v zvezi z varstvom osebnih podatkov. Pri razlagi Direktive v skladu z Listino zato poleg elementov iz člena 4(1) Direktive ni mogoče dodati ničesar novega, kar bi lahko pripeljalo do ozemeljske veljavnosti nacionalne zakonodaje o izvajanju Direktive. Člen 8 Listine je seveda treba upoštevati pri razlagi pojmov iz člena 4(1) Direktive, vendar naveznih okoliščin, ki jih je opredelil zakonodajalec EU, ni mogoče nadomestiti s popolnoma novim merilom in se sklicevati na navedeno temeljno pravico.(35)
55. Delovna skupina iz člena 29 je upravičeno poudarila, da ozemeljsko področje uporabe Direktive in nacionalne izvedbene zakonodaje izhaja iz lokacije poslovne enote upravljavca ali lokacije sredstev ali opreme, ki se uporablja, če je upravljavec ustanovljen zunaj EGP. Državljanstvo ali kraj stalnega prebivališča posameznikov, na katere se osebni podatki nanašajo, niti fizična lokacija osebnih podatkov niso odločilni.(36)
56. Delovna skupina iz člena 29 je predlagala, da bi bilo mogoče v prihodnji zakonodaji v zvezi z upravljavci, ki niso ustanovljeni v EU, upoštevati ciljni izbor posameznikov.(37) V predlogu splošne uredbe o varstvu podatkov (2012), ki ga je predložila Komisija,(38) bi bilo ponujanje blaga ali storitev posameznikom, na katere se nanašajo osebni podatki in ki prebivajo v Evropski uniji, dejavnik, na podlagi katerega se zakonodaja EU o varstvu podatkov uporablja za upravljavce iz tretjih držav. Tak pristop, pri katerem se ozemeljska veljavnost zakonodaje EU navezuje na ciljno javnost, je v skladu s sodno prakso Sodišča v zvezi veljavnostjo Direktive o elektronskem poslovanju 2000/31,(39) Uredbe št. 44/2001(40) in Direktive 2001/29(41) v čezmejnih zadevah.
57. Nasprotno pa se merilo ciljne javnosti, v obravnavani zadevi španskih uporabnikov internetnega iskalnika družbe Google, v očeh katerih se je zaradi spornih objav lahko zmanjšal ugled posameznika, na katerega se nanašajo osebni podatki, ne zdi dejavnik, ki bi povzročil ozemeljsko veljavnost Direktive in njene nacionalne izvedbene zakonodaje.
58. Zato težišča spora v Španiji ni mogoče dodati merilom iz člena 4(1) Direktive, s katerim je po mojem mnenju ozemeljsko področje uporabe zakonodaj držav članic o varstvu podatkov v celoti usklajeno. To velja ne glede na to, ali je tako težišče državljanstvo ali stalno prebivališče zadevnega posameznika, na katerega se nanašajo osebni podatki, lokacija spornih osebnih podatkov na spletišču časnika ali dejstvo, da je bilo špansko spletišče družbe Google namenjeno zlasti španski javnosti.(42)
59. Zato Sodišču predlagam, naj na četrto podvprašanje, če meni, da je nanj treba odgovoriti, odgovori nikalno.
C – Upoštevnost merila „poslovne enote v EU“ za ponudnika storitve internetnega iskalnika iz tretje države
60. V skladu s členom 4(1) Direktive je glavni dejavnik, zaradi katerega se nacionalna zakonodaja o varstvu podatkov ozemeljsko uporablja, obdelava osebnih podatkov, ki se izvaja v okviru dejavnosti poslovne enote upravljavca na ozemlju države članice. Dalje, če upravljavec nima poslovne enote na ozemlju EU, vendar za obdelavo osebnih podatkov uporablja sredstva ali opremo,(43) ki se nahajajo na ozemlju države članice, se uporablja zakonodaja te države članice, razen če se taka oprema ali sredstva uporabljajo samo za prehod prek ozemlja EU.
61. Kot je bilo navedeno zgoraj, sta bila Direktiva in člen 4 Direktive sprejeta, preden se je začelo obsežno zagotavljanje spletnih storitev na internetu. Poleg tega v zvezi s tem njeno besedilo ni niti usklajeno niti popolno.(44) Prav nič čudno ni, da so imeli strokovnjaki na področju varstva podatkov precejšnje težave pri njeni razlagi v zvezi z internetom. Dejansko stanje v obravnavni zadevi kaže na te težave.
62. Google Inc. je kalifornijska družba, ki ima hčerinske v različnih državah članicah EU. Njene evropske dejavnosti deloma usklajuje njena irska hčerinska družba. Trenutno ima podatkovni središči vsaj v Belgiji in na Finskem. Informacije o natančni zemljepisni lokaciji funkcij, povezanih z njenim iskalnikom, niso objavljene. Družba Google trdi, da se osebni podatki v zvezi njenim iskalnikom ne obdelujejo v Španiji. Družba Google Spain deluje kot trgovski zastopnik družbe Google za njene oglaševalske dejavnosti. V tej vlogi skrbi za obdelavo osebnih podatkov v zvezi z njenimi španskimi oglaševalskimi strankami. Družba Google zanika, da bi njen iskalnik izvajal kakršne koli operacije na gostiteljskih strežnikih izvornih spletnih strani ali da bi s piškotki zbiral informacije o neregistriranih uporabnikih iskalnika.
63. Besedilo člena 4(1) Direktive v teh dejanskih okoliščinah ni prav koristno. Družba Google ima na ozemlju EU več ustanovljenih subjektov. Na podlagi tega bi bila v skladu z dobesedno razlago izključena uporaba pogoja v zvezi z opremo iz člena 4(1)(c) Direktive. Po drugi strani ni jasno, v kolikšnem obsegu in kje poteka obdelava osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki prebivajo v EU, v okviru njenih hčerinskih družb v EU.
64. Menim, da bi se moralo Sodišče vprašanja ozemeljske veljavnosti lotiti z vidika poslovnega modela ponudnikov storitve internetnega iskalnika. Ta, kot sem navedel, običajno temelji na oglaševanju na podlagi ključnih besed, ki je vir prihodkov in kot tak ekonomski raison d’être za zagotavljanje brezplačnega informacijskega lokacijskega orodja v obliki iskalnika. Subjekt, ki skrbi za oglaševanje na podlagi ključnih besed (v sodni praksi Sodišča imenovan „ponudnik storitve referenciranja“(45)), je povezan z internetnim iskalnikom. Ta subjekt potrebuje prisotnost na nacionalnih oglaševalskih trgih. Družba Google je zato ustanovila hčerinske družbe v številnih državah članicah, ki se jasno štejejo za poslovne enote v smislu člena 4(1)(a) Direktive. Zagotovila je tudi nacionalni spletni domeni, kot sta google.es oziroma google.fi. Pri delovanju iskalnika se to nacionalno razlikovanje upošteva na različne načine, ki so povezani s prikazom rezultatov iskanja, saj običajni model financiranja oglaševanja na podlagi ključnih besed sledi načelu plačila po kliku.(46)
65. Zato bi se strinjal z ugotovitvijo delovne skupine iz člena 29, da je treba upoštevati poslovni model ponudnika storitve internetnega iskalnika v smislu, da ima njegova poslovna enota pomembno vlogo pri obdelavi osebnih podatkov, če je povezana s storitvijo, ki vključuje prodajo ciljnih oglasov prebivalcem navedene države članice.(47)
66. Še več, čeprav člen 4 Direktive temelji na enem samem pojmu upravljavca, kar zadeva vsebinske določbe, menim, da je treba pri odločanju o predhodnem vprašanju ozemeljske veljavnosti gospodarski subjekt šteti za eno enoto, zato ga na tej stopnji analize ne smemo razčleniti po posameznih dejavnostih, povezanih z obdelavo osebnih podatkov, ali različnih skupinah posameznikov, na katere se nanašajo osebni podatki, ki so jim namenjene njegove dejavnosti.
67. Skratka, osebni podatki se obdelujejo v okviru sedeža upravljavca, če ta sedež deluje kot most med storitvijo referenciranja in oglaševalskim trgom navedene države članice, čeprav tehnični postopki obdelave podatkov potekajo v drugih državah članicah ali tretjih državah.
68. Zato predlagam, naj Sodišče na prvo skupino vprašanj za predhodno odločanje odgovori tako, da se osebni podatki obdelujejo v okviru dejavnosti „ustanovitve [poslovne enote]“ upravljavca v smislu člena 4(1)(a) Direktive, kadar ponudnik iskalnika zaradi trženja in prodaje oglasnega prostora na iskalniku ustanovi v državi članici podružnico ali hčerinsko, katere dejavnost je usmerjena k prebivalcem navedene države članice.
VI – Druga skupina vprašanj, ki se nanašajo na področje uporabe Direktive ratione materiae
69. Druga skupina vprašanj se nanaša na pravni položaj ponudnika storitve internetnega iskalnika, ki ponuja dostop do internetnega iskalnika, z vidika določb Direktive. Nacionalno sodišče je vprašanja oblikovalo tako, kot da se nanašajo na pojma „obdelava“ osebnih podatkov (vprašanje 2.1) in „upravljavec“ (vprašanje 2.2), na pristojnosti nacionalnega organa za varstvo podatkov, da daje neposredna navodila ponudniku storitve internetnega iskalnika, (vprašanje 2.3) in na morebitno izključitev varstva osebnih podatkov s strani ponudnika storitve internetnega iskalnika v zvezi z informacijami, ki so jih tretje stranke zakonito objavile na internetu (vprašanje 2.4). Zadnji podvprašanji sta upoštevni samo, če se lahko šteje, da ponudnik storitve internetnega iskalnika obdeluje osebne podatke na izvornih spletnih straneh tretje osebe in da je upravljavec teh podatkov.
A – Obdelava osebnih podatkov z internetnim iskalnikom
70. Prvo podvprašanje iz te skupine se nanaša na uporabo pojmov „osebni podatki“ in „obdelava“ teh podatkov za ponudnika storitve internetnega iskalnika, kot je družba Google, pri čemer ne gre za osebne podatke uporabnikov ali oglaševalcev, temveč za osebne podatke, objavljene na izvornih spletnih straneh tretjih oseb in obdelane z internetnim iskalnikom, ki ga upravlja ponudnik storitve. Nacionalno sodišče obdelavo opisuje kot iskanje informacij, ki jih objavijo ali na splet postavijo tretje osebe, njihovo samodejno indeksiranje, začasno shranitev in končno dajanje na voljo internetnim uporabnikom po določenem prednostnem vrstnem redu.
71. Menim, da za pritrdilni odgovor na to podvprašanje obširna razprava ni potrebna. Pojem osebni podatki je široko opredeljen v Direktivi, in to široko opredelitev je uporabila delovna skupina iz člena 29, potrdilo pa jo je tudi Sodišče.(48)
72. Kar zadeva „obdelavo“, izvorne spletne strani na internetu lahko in pogosto dejansko vključujejo imena, slike, naslove, telefonske številke, opise in druge navedbe, na podlagi katerih je mogoče prepoznati fizično osebo. Te ugotovitve ne spremeni dejstvo, da naj bi njihova narava osebnih podatkov ostala „neznana“ ponudniku storitve internetnega iskalnika, katerega iskalnik deluje brez vsakršnega človeškega poseganja v podatke, ki so zbrani, indeksirani in prikazani za iskanje.(49) Enako velja za dejstvo, da je prisotnost osebnih podatkov na izvornih spletnih straneh za ponudnika storitve internetnega iskalnika v nekem smislu naključna, saj za upravljavca, natančneje za funkcije iskanja po vsebini, analiziranja in indeksiranja iskalnika, ki cilja na vse spletne strani, dostopne na internetu, ni nujno tehnične ali operativne razlike med izvorno spletno stranjo, ki vsebuje osebne podatke, in drugo stranjo, ki takih podatkov ne vključuje.(50) Menim pa, da bi ti dejstvi morali vplivati na razlago pojma „upravljavec“.
73. Funkcija iskanja po vsebini, ki jo vsebuje iskalnik družbe Google, tako imenovani „googlebot“, nenehno in sistematično išče po internetu, s premikanjem z ene izvorne spletne strani na drugo na podlagi hiperpovezav med stranmi pa od obiskanih spletnih strani zahteva, naj ji pošljejo kopijo obiskane strani.(51) Kopije takih izvornih spletnih strani se analizirajo z Googlovo funkcijo indeksiranja. Znakovni nizi (ključne besede, iskalni izrazi) na straneh se posnamejo v indeks iskalnika.(52) Z Googlovim izpopolnjenim iskalnim algoritmom se oceni tudi pomembnost rezultatov iskanja. Kombinacije teh ključnih besed z naslovi URL, kjer jih je mogoče najti, sestavljajo indeks iskalnika. Iskanja, ki jih začnejo uporabniki, se izvedejo znotraj indeksa. Za indeksiranje in prikazovanje rezultatov iskanja se kopija strani posname v predpomnilnik iskalnika.(53)
74. Kopija iskane izvorne spletne strani, shranjene v predpomnilniku, se lahko prikaže po tem, ko uporabnik izvede iskanje. Vendar lahko uporabnik dostopa do izvorne strani, če na primer želi prikaz slik na izvorni spletni strani. Predpomnilnik se pogosto posodablja, vendar se lahko zgodi, da stran, prikazana v iskalniku, ne ustreza izvornim spletnim stranem na gostiteljskem strežniku, ker je bila spremenjena ali izbrisana.(54)
75. Ni treba poudariti, da se operacije, opisane v prejšnjih odstavkih, štejejo za „obdelavo“ osebnih podatkov na izvornih spletnih straneh, ki so bile kopirane, indeksirane, predpomnjene in prikazane z iskalnikom. Natančneje, vključujejo zbiranje, beleženje, urejanje in shranjevanje takih osebnih podatkov, lahko pa vključujejo tudi njihovo uporabo, posredovanje s prenosom, razširjanje ali drugo razpolaganje in kombiniranje osebnih podatkov v smislu člena 2(b) Direktive.
B – Pojem „upravljavec“
76. Upravljavec(55) v skladu s členom 2(d) Direktive pomeni „fizično ali pravno osebo […], ki sam[a] ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov“. Menim, da je ključno vprašanje v obravnavani zadevi, ali in v kolikšnem obsegu ta opredelitev zajema ponudnika storitve internetnega iskalnika.
77. Vse stranke, razen družbe Google in grške vlade, predlagajo pritrdilen odgovor na to vprašanje, ki bi ga bilo zlahka mogoče zagovarjati kot logično sklepanje na podlagi dobesedne ali celo teleološke razlage Direktive, saj so bile osnovne opredelitve v Direktivi izražene izčrpno, da bi zajele nova dogajanja. Po mojem mnenju pa bi tak pristop pomenil metodo, ki popolnoma spregleda dejstvo, da ob pripravi Direktive ni bilo mogoče upoštevati nastanka interneta in s tem povezanih različnih novih pojavov.
78. Ob sprejetju Direktive je svetovni splet šele postajal resničnost, iskalniki pa so bili še v povojih. Določbe Direktive preprosto ne upoštevajo dejstva, da je ogromna količina decentralizirano gostujočih elektronskih dokumentov in datotek dostopna kjer koli na svetu in da lahko njihovo vsebino kopirajo in analizirajo stranke, ki nimajo nikakršne povezave z avtorji ali osebami, ki so jih naložile na gostiteljski strežnik, povezan z internetom.
79. Naj spomnim, da Sodišče v sodbi Lindqvist ni sledilo maksimalističnemu pristopu, ki ga je Komisija predlagala v zvezi z razlago pojma prenos podatkov v tretje države. Sodišče je navedlo, da „[o]b upoštevanju stanja razvoja spleta v času nastanka [Direktive] na eni strani in nevključitve meril v zvezi z uporabo spleta v poglavje IV te direktive na drugi strani ni mogoče predpostaviti, da je nameraval zakonodajalec Skupnosti v pojem ‚prenos [podatkov] v tretjo državo‘ vnaprej vključiti vnos podatkov na spletno stran, ki ga opravi oseba v položaju, v kakršnem je B. Lindqvist, tudi če ti podatki s tem postanejo dostopni osebam iz tretjih držav, ki imajo tehnična sredstva za dostop do njih“.(56) Po mojem mnenju to pomeni, da je treba pri razlagi Direktive z vidika novih tehnoloških pojavov upoštevati načelo sorazmernosti, cilje Direktive in sredstva, ki so v njej določena za njihovo izpolnitev, da se doseže uravnotežen in razumen rezultat.
80. Menim, da je pri tem eno ključnih vprašanj, ali je pomembno, da se Direktiva pri opredelitvi upravljavca sklicuje na upravljavca kot osebo, ki „določa namene in sredstva obdelave osebnih podatkov“ (moj poudarek). Stranke, ki družbo Google štejejo za upravljavca, to presojo opirajo na neovrgljivo dejstvo, da ponudnik storitve, ki upravlja internetni iskalnik, določa namene in sredstva obdelave podatkov za svoje namene.
81. Dvomim pa, da to pripelje do verodostojne razlage Direktive v primeru, ko predmet obdelave sestavljajo datoteke, ki nenačrtno, neselektivno in po naključju vsebujejo osebne in druge podatke. Ali evropski profesor prava, ki sem ga omenil v primeru iz točke 29 zgoraj, določa namene in sredstva obdelave osebnih podatkov, vključenih v sodbe Sodišča, ki jih je prenesel na svoj prenosni računalnik? Ugotovitev delovne skupine iz člena 29, da bi tudi „uporabnike iskalnikov, strogo vzeto, lahko šteli za upravljavce“, razkriva iracionalnost slepe dobesedne razlage Direktive na področju interneta.(57) Sodišče ne bi smelo sprejeti razlage, v skladu s katero je upravljavec obdelave osebnih podatkov, objavljenih na internetu, praktično vsak, ki je lastnik pametnega telefona, ali tabličnega računalnika, ali prenosnega računalnika.
82. Po mojem mnenju splošna sistematika Direktive, večina jezikovnih različic in posamezne obveznosti, ki jih nalaga upravljavcu, temeljijo na zamisli odgovornosti upravljavca do obdelanih osebnih podatkov, tako da se upravljavec zaveda obstoja opredeljene skupine podatkov, ki se štejejo za osebne podatke, in te podatke obdeluje z namenom, ki se nanaša na njihovo obdelavo kot osebnih podatkov.(58)
83. Delovna skupina iz člena 29 opozarja, da je „[p]ojem upravljavec […] funkcionalen pojem, namenjen dodeljevanju odgovornosti tistemu, ki ima dejanski vpliv, tako da ta pojem bolj kot na formalni analizi temelji na analizi dejstev“.(59) Navaja tudi, da mora „[u]pravljavec […] določiti, kateri podatki se bodo obdelali za predvideni(-e) namen(e)“.(60) Materialnopravne določbe Direktive, natančneje členi 6, 7 in 8, po mojem mnenju temeljijo na domnevi, da upravljavec ve, kaj dela z zadevnimi osebnimi podatki, torej se zaveda, kakšne vrste osebnih podatkov obdeluje in zakaj. Z drugimi besedami, obdelavo podatkov mora razumeti kot obdelavo osebnih podatkov, to je „katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo“, na neki pomensko ustrezni način, in ne samo v smislu računalniške kode.(61)
C – Ponudnik storitve internetnega iskalnika ni „upravljavec“ osebnih podatkov na izvornih spletnih straneh tretje osebe
84. Ponudnik storitve internetnega iskalnika, ki zgolj dobavlja informacijsko lokacijsko orodje, ne izvaja nadzora nad osebnimi podatki, ki so vključeni na spletne strani tretje osebe. Ponudnik storitve se ne „zaveda“ obstoja osebnih podatkov v kakršnem koli drugem smislu kot statističnega dejstva, da spletne strani verjetno vključujejo osebne podatke. Med obdelavo izvornih spletnih strani za iskanje po vsebini, analiziranje in indeksiranje se osebni podatki kot taki ne pokažejo na noben poseben način.
85. Zato menim, da je pristop delovne skupine iz člena 29 ustrezen, saj skuša potegniti mejo med popolnoma pasivnimi in posredniškimi funkcijami iskalnikov in položaji, v katerih njihova dejavnost pomeni dejanski nadzor nad obdelovanimi osebnimi podatki.(62) Zaradi popolnosti je treba dodati, da vprašanje, ali so bili osebni podatki objavljeni(63) ali so bili nezakonito razkriti na izvornih spletnih straneh tretjih oseb, ni upoštevno za uporabo Direktive.(64)
86. Ponudnik storitve internetnega iskalnika nima nikakršne povezave z vsebino izvornih spletnih strani tretje osebe na internetu, na katerih se lahko pojavijo osebni podatki. Ker poleg tega iskalnik deluje na podlagi kopij izvornih spletnih strani, ki jih je njegova funkcija pajek poiskala in kopirala, ta ne more spreminjati informacij na gostiteljskih strežnikih. Zagotavljanje informacijskega lokacijskega orodja ne vključuje nikakršnega nadzora nad vsebino. Ponudniku storitve internetnega iskalnika ne omogoča niti razlikovanja med osebnimi podatki v smislu Direktive, ki se nanašajo na določljivo živečo fizično osebo, in drugimi podatki.
87. Pri tem bi se oprl na načelo, izraženo v uvodni izjavi 47 Direktive. To načelo določa, da je upravljavec sporočil, ki vsebujejo osebne podatke in se pošiljajo prek telekomunikacijskih storitev ali elektronske pošte, oseba, od katere sporočilo izvira, in ne oseba, ki ponuja storitve pošiljanja. Ta uvodna izjava, pa tudi izjeme v zvezi z odgovornostjo, navedene v Direktivi o elektronskem poslovanju 2000/31 (členi 12, 13 in 14), temelji na pravnem načelu, v skladu s katerim avtomatizirane, tehnične ali pasivne povezave z elektronsko shranjeno ali poslano vsebino ne ustvarjajo nadzora nad to vsebino ali odgovornosti do nje.
88. Delovna skupina iz člena 29 je poudarila, da je namen pojma upravljavec predvsem določiti, kdo je odgovoren za skladnost s pravili o varstvu podatkov, in to odgovornost dodeliti glede na kraj dejanskega vpliva.(65) Delovna skupina je navedla, da se „[v] skladu z načelom sorazmernosti […] ponudnik iskalnika v obsegu, v katerem deluje samo kot posrednik, ne sme šteti za glavnega upravljavca vsebinske obdelave osebnih podatkov, ki poteka. V tem primeru so glavni upravljavci osebnih podatkov ponudniki informacij.“(66)
89. Po mojem mnenju ponudnik storitve internetnega iskalnika pravno in dejansko ne more izpolniti obveznosti upravljavca iz členov 6, 7 in 8 Direktive v zvezi z osebnimi podatki na izvornih spletnih straneh, ki gostujejo na strežnikih tretjih oseb. Zato se v skladu z razumno razlago Direktive na splošno ne more šteti, da je upravljavec v takem položaju.(67)
90. Nasprotno stališče bi pomenilo, da internetni iskalniki niso združljivi s pravom EU, tak sklep pa bi se mi zdel nesmiseln. Natančneje, če bi se ponudniki storitve internetnega iskalnika šteli za upravljavce osebnih podatkov na izvornih spletnih straneh tretjih oseb in če bi katere od teh strani vsebovale „posebne vrste podatkov“, navedene v členu 8 Direktive (na primer osebne podatke, ki razkrivajo politična stališča ali verska prepričanja, ali podatke v zvezi z zdravjem ali spolnim življenjem posameznikov), bi dejavnost ponudnika storitve internetnega iskalnika samodejno postala nezakonita, če ne bi bili izpolnjeni strogi pogoji iz navedenega člena o obdelavi takih podatkov.
D – Okoliščine, v katerih se ponudnik storitve internetnega iskalnika šteje za „upravljavca“
91. Jasno je, da ponudnik storitve internetnega iskalnika upravlja indeks iskalnika, ki ključne besede povezuje z ustreznimi naslovi URL. Ponudnik storitve določi, kako je indeks strukturiran, in lahko tehnično blokira nekatere rezultate iskanja, na primer tako, da se med rezultati iskanja ne prikažejo naslovi URL iz nekaterih držav ali domen.(68) Poleg tega ponudnik storitve internetnega iskalnika upravlja svoj indeks tako, da odloča, ali se kode za izključevanje(69) na izvorni spletni strani upoštevajo ali ne.
92. Nasprotno pa se za vsebino predpomnilnika internetnega iskalnika ne more šteti, da spada pod nadzor ponudnika storitve, saj je predpomnilnik rezultat popolnoma tehničnih in avtomatiziranih postopkov, s katerimi se ustvari zrcalna slika besedilnih podatkov s poiskanih spletnih strani, razen podatkov, ki so izključeni iz indeksiranja in arhiviranja. Zanimivo je, da nekatere države članice očitno določajo posebne horizontalne izjeme v zvezi z odgovornostjo iskalnikov, ki so podobne izjemi iz Direktive o elektronskem poslovanju 2000/31 za nekatere ponudnike storitev informacijske družbe.(70)
93. Vendar v zvezi z vsebino predpomnilnika odločitev za neupoštevanje kod za izključevanje(71) na spletni strani po mojem mnenju pomeni nadzor nad takimi osebnimi podatki v smislu Direktive. Enako velja v primerih, ko ponudnik storitve internetnega iskalnika kljub zahtevi, ki jo prejme s spletnega mesta, ne posodobi spletne strani v svojem predpomnilniku.
E – Obveznosti ponudnika storitve internetnega iskalnika kot „upravljavca“
94. Jasno je, da mora ponudnik storitve internetnega iskalnika, če in ko se lahko šteje za „upravljavca“, izpolnjevati obveznosti iz Direktive.
95. V zvezi z merili za zakonitost obdelave podatkov, če se posameznik, na katerega se nanašajo osebni podatki, z njo ne strinja (člen 7(a) Direktive), se zdi jasno, da ima zagotavljanje storitev internetnega iskalnika kot tako zakonite cilje (člen 7(f) Direktive), in sicer (i) lajšanje dostopa internetnih uporabnikov do informacij; (ii) zagotavljanje učinkovitejšega razširjanja informacij, naloženih na internet, in (iii) omogočanje različnih storitev informacijske družbe, ki jih zagotavlja ponudnik storitve internetnega iskalnika in ki so dodane iskalniku, kot je zagotavljanje oglaševanja na podlagi ključnih besed. Ti trije cilji se nanašajo na tri temeljne pravice, varovane z Listino, in sicer svobodo obveščanja in svobodo izražanja (obe v členu 11) ter svobodo gospodarske pobude (člen 16). Ponudnik storitve internetnega iskalnika tako sledi zakonitim interesom v smislu člena 7(f) Direktive, ko obdeluje na internetu objavljene podatke, vključno z osebnimi.
96. Kot upravljavec mora ponudnik storitve internetnega iskalnika upoštevati zahteve iz člena 6 Direktive. Natančneje, osebni podatki morajo biti primerni, ustrezni in ne pretirani glede na namene, za katere se zbirajo, ter ažurirani, vendar ne zastareli za namene, za katere so bili zbrani. Poleg tega je treba pretehtati interese „upravljavca“ ali tretjih strank, v interesu katerih obdelava poteka, in interese posameznika, na katerega se osebni podatki nanašajo.
97. Posameznik, na katerega se nanašajo osebni podatki, v postopku v glavni stvari zahteva, naj se iz Googlovega indeksa odstrani indeksiranje njegovega imena in priimkov z naslovi URL časopisnih strani, na katerih so prikazani osebni podatki, ki jih želi prikriti. Imena oseb se dejansko uporabljajo kot iskalni izrazi in so kot ključne besede zapisana v indeksih iskalnikov. Vendar običajno ime kot tako ne zadošča za neposredno identifikacijo fizične osebe na internetu, saj je na svetu več, celo na tisoče ali milijone oseb z enakim imenom ali kombinacijo imen(‑a) in priimka.(72) Vseeno domnevam, da je v večini primerov mogoče s kombinacijo imena in priimka kot iskalnega izraza posredno identificirati fizično osebo v smislu člena 2(a) Direktive, saj rezultat iskanja v indeksu iskalnika razkrije omejen niz povezav, na podlagi katerih lahko internetni uporabnik razlikuje med osebami z enakim imenom.
98. Indeks iskalnika poveže imena in druge identifikatorje, ki se uporabijo kot iskalni izraz, z eno ali več povezavami do spletnih strani. Glede na to, da je povezava ustrezna, v smislu, da se podatki, ki ustrezajo iskalnemu izrazu, dejansko pojavljajo ali so se pojavili na povezanih spletnih straneh, indeks po mojem mnenju izpolnjuje merila primernosti, ustreznosti, sorazmernosti, točnosti in popolnosti iz člena 6(c) in (d) Direktive. Tudi časovne vidike iz člena 6(d) in (e) (osebni podatki morajo biti ažurni in shranjeni le toliko časa, kolikor je potrebno) bi bilo treba obravnavati z vidika zadevne obdelave, to je zagotavljanja informacijske lokacijske storitve, in ne kot vprašanje, povezano z vsebino izvornih spletnih strani.(73)
F – Ugotovitev glede druge skupine vprašanj
99. Na podlagi takega sklepanja menim, da nacionalni organ za varstvo podatkov od ponudnika storitve internetnega iskalnika ne more zahtevati umika informacij iz njegovega indeksa, razen kadar ta ponudnik storitve ne upošteva kod za izključevanje(74) ali kadar ni bila upoštevana zahteva spletne strani v zvezi s posodobitvijo predpomnilnika. Ta scenarij se za obravnavani predlog za sprejetje predhodne odločbe ne zdi upošteven. Morebiten „postopek za prijavo in odstranitev“(75) v zvezi s povezavami do izvornih spletnih strani z nezakonito ali neprimerno vsebino je stvar civilne odgovornosti po nacionalnem pravu, ki temelji na drugačnih razlogih, kot je varstvo osebnih podatkov.(76)
100. Zato Sodišču predlagam, naj na drugo skupino vprašanj odgovori tako, da v okoliščinah iz predloga za sprejetje predhodne odločbe ponudnik storitve internetnega iskalnika „obdeluje“ osebne podatke v smislu člena 2(b) Direktive. Vendar ponudnika storitve, razen v primeru, pojasnjenem zgoraj, ni mogoče šteti za „upravljavca“ obdelave takih podatkov v smislu člena 2(d) Direktive.
VII – Tretje vprašanje, ki se nanaša na morebitno pravico posameznika, na katerega se nanašajo osebni podatki, „biti pozabljen“
A – Uvodne ugotovitve
101. Tretje vprašanje za predhodno odločanje je upoštevno samo, če Sodišče bodisi zavrne ugotovitev, do katere sem prišel zgoraj, in sicer da družbe Google ni mogoče na splošno šteti za „upravljavca“ na podlagi člena 2(d) Direktive, bodisi sprejme mojo trditev, da bi se za ponudnika storitve internetnega iskalnika, kot je družba Google, v nekaterih primerih lahko štelo, da je v takem položaju. V nasprotnem primeru je del, ki sledi, odveč.
102. Kakor koli že, nacionalno sodišče s tretjim vprašanjem sprašuje, ali se pravici do izbrisa in blokiranja podatkov iz člena 12(b) Direktive in pravica do ugovora iz člena 14(a) Direktive nanašajo na možnost posameznika, na katerega se nanašajo osebni podatki, da se sam obrne na ponudnike storitve internetnega iskalnika, da bi preprečil indeksiranje informacij, ki se nanašajo nanj osebno in so bile objavljene na spletnih straneh tretjih oseb. Posameznik, na katerega se nanašajo osebni podatki, skuša s tem preprečiti dostop internetnih uporabnikov do potencialno škodljivih informacij oziroma želi, da bi se te informacije pozabile, čeprav so jih tretje osebe objavile zakonito. Z drugimi besedami, nacionalno sodišče sprašuje, ali lahko „pravica biti pozabljen“ temelji na členih 12(b) in 14(a) Direktive. To je prvo vprašanje, ki ga je treba obravnavati v analizi, ki sledi, in ki bo temeljilo na besedilu in ciljih navedenih določb.
103. Če bom ugotovil, da člena 12(b) in 14(a) Direktive sama po sebi takega varstva ne zagotavljata, bom nato preučil, ali je taka razlaga v skladu z Listino.(77) Pri tem bo treba upoštevati pravico do varstva osebnih podatkov iz člena 8, pravico do spoštovanja zasebnega in družinskega življenja iz člena 7, svobodo izražanja in obveščanja, ki je varovana s členom 11 (obe v zvezi s svobodo izražanja izdajateljev spletnih strani in pravico internetnih uporabnikov do prejemanja informacij), ter svobodo gospodarske pobude iz člena 16. Pravici posameznikov, na katere se nanašajo osebni podatki, iz členov 7 in 8 bo dejansko treba primerjati s pravicami, varovanimi s členoma 11 in 16, tistih, ki želijo razširjati podatke ali do njih dostopati.
B – Ali je mogoče pravice do popravka, izbrisa, blokiranja in ugovora iz Direktive šteti za pravico posameznika, na katerega se nanašajo osebni podatki, „biti pozabljen“?
104. Pravice do popravka, izbrisa in blokiranja iz člena 12(b) Direktive se nanašajo na podatke, katerih obdelava ni v skladu z določbami Direktive, zlasti zaradi nepopolnih ali netočnih podatkov (moj poudarek).
105. V predložitvenem sklepu se priznava, da informacij, prikazanih na zadevnih spletnih straneh, ni mogoče šteti za nepopolne ali netočne. Še toliko manj se trdi, da to velja za Googlov indeks ali vsebino njegovega predpomnilnika, ki take podatke vsebuje. Pravica do popravka, izbrisa ali blokiranja iz člena 12(b) Direktive bo zato nastala samo, če obdelava osebnih podatkov z izvornih spletnih strani tretjih oseb, ki jo izvaja Google, ni v skladu z Direktivo iz drugih razlogov.
106. Države članice morajo na podlagi člena 14(a) Direktive posamezniku, na katerega se osebni podatki nanašajo, priznati pravico, da na podlagi zakonitih in nujnih razlogov, povezanih z njegovim posebnim položajem, kadar koli ugovarja obdelavi podatkov, ki se nanašajo nanj, razen če nacionalna zakonodaja določa drugače. To velja zlasti v primerih iz člena 7(e) in (f) Direktive, torej če je obdelava potrebna zaradi javnega interesa ali zakonitih interesov, za katere si prizadeva upravljavec ali tretja stranka. Dalje, v skladu s členom 14(a) „obdelava, ki jo uvede upravljavec“, ne sme več vključevati spornih podatkov, če je ugovor utemeljen.
107. Če se ponudniki storitve internetnega iskalnika štejejo za upravljavce obdelave osebnih podatkov, morajo na podlagi člena 6(2) Direktive pretehtati med interesi upravljavca podatkov ali tretjih oseb, v interesu katerih se obdelava izvaja, in interesi posameznika, na katerega se osebni podatki nanašajo. Kot je Sodišče opozorilo v sodbi ASNEF in FECEMD, je pri tem tehtanju pomembno, ali so zadevni podatki že v javno dostopnih virih ali ne.(78)
108. Kljub temu menim, kot trdijo skoraj vse stranke, ki so v tej zadevi predložile pisna stališča, da Direktiva ne določa splošne pravice biti pozabljen v smislu, da ima posameznik, na katerega se nanašajo osebni podatki, pravico omejiti ali prekiniti razširjanje osebnih podatkov, ki po njegovem mnenju škoduje njegovim interesom ali mu nasprotuje. Če se podatki obdelujejo brez privolitve posameznika, je treba uporabiti merila namena obdelave in interesov zanjo v primerjavi z namenom in interesi posameznika, na katerega se nanašajo osebni podatki, in ne njegove subjektivne želje. Subjektivna želja še ne pomeni zakonitega in nujnega razloga v smislu člena 14(a) Direktive.
109. Tudi če bi Sodišče ugotovilo, da so ponudniki storitve internetnega iskalnika kot upravljavci, quod non, odgovorni za osebne podatke na izvornih spletnih straneh tretjih oseb, posameznik, na katerega se osebni podatki nanašajo, vseeno ne bi imel absolutne pravice „biti pozabljen“, na katero bi se lahko skliceval zoper te ponudnike storitev. Vendar bi se moral ponudnik storitve postaviti v položaj izdajatelja izvorne spletne strani in preveriti, ali se lahko razširjanje osebnih podatkov na strani zdaj šteje za zakonito in legitimno za namene Direktive. Z drugimi besedami, ponudnik storitve bi se moral odreči svoji posredniški vlogi med uporabnikom in izdajateljem ter prevzeti odgovornost za vsebino izvorne spletne strani in to vsebino po potrebi cenzurirati s preprečitvijo ali omejitvijo dostopa do nje.
110. Zaradi celovitosti je koristno opozoriti, da predlog splošne uredbe Komisije o varstvu podatkov v členu 17 določa pravico biti pozabljen. Vendar se predlogu očitno resno nasprotuje, poleg tega ne skuša uzakoniti veljavne zakonodaje, temveč prinaša pomembno pravno novost. Zato očitno ne vpliva na odgovor, ki ga je treba dati na vprašanje za prehodno odločanje. Vseeno je zanimivo, da člen 17(2) predloga določa, da „[č]e upravljavec […] objavi osebne podatke, sprejme v zvezi s podatki, za objavo katerih je odgovoren, vse primerne ukrepe, […] da tretje osebe, ki te podatke obdelujejo, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, da izbrišejo morebitne povezave do teh osebnih podatkov ali kopije osebnih podatkov“. V tem besedilu se ponudniki storitve internetnega iskalnika štejejo bolj za tretje osebe kot upravljavce v svojem imenu.
111. Zato ugotavljam, da člena 12(b) in 14(a) Direktive ne določata pravice biti pozabljen. V nadaljevanju bom preučil, ali je taka razlaga navedenih določb v skladu z Listino.
C – Obravnavane temeljne pravice
112. V členu 8 Listine je vsakomur zagotovljena pravica do varstva njegovih osebnih podatkov. Osebni podatki se morajo obdelovati pošteno, za določene namene in s privolitvijo prizadete osebe ali na drugi, z zakonom določeni legitimni podlagi. Vsakdo ima pravico do dostopa do podatkov, zbranih o njem, in pravico zahtevati, da se ti podatki popravijo. Spoštovanje teh pravil nadzira neodvisen organ.
113. Menim, da je s to temeljno pravico, ki pomeni preoblikovanje zakonodajnega reda Evropske unije in Sveta Evrope na tem področju, poudarjen pomen varstva osebnih podatkov, kot taka pa ne dodaja pomembnih novih elementov k razlagi Direktive.
114. Kot izhaja iz člena 7 Listine, ima vsakdo pravico do spoštovanja svojega zasebnega in družinskega življenja, stanovanja ter komunikacij. To določbo, ki je po vsebini enaka členu 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin, podpisane 4. novembra 1950 v Rimu (v nadaljevanju: EKČP), je treba ustrezno upoštevati pri razlagi zadevnih določb Direktive, na podlagi katere morajo države članice varovati zlasti pravico do zasebnosti.
115. Opozoriti moram, da so v okviru EKČP s členom 8 te konvencije zajeta tudi vprašanja v zvezi z varstvom osebnih podatkov. Zato je v skladu s členom 52(3) Listine sodna praksa Evropskega sodišča za človekove pravice v zvezi s členom 8 EKČP upoštevna tako za razlago člena 7 Listine kot tudi za uporabo Direktive v skladu s členom 8 Listine.
116. Evropsko sodišče za človekove pravice je v sodbi v zadevi Niemietz ugotovilo, da poklicne in poslovne dejavnosti posameznika lahko spadajo v okvir zasebnega življenja, varovanega s členom 8 EKČP.(79) Ta pristop se je uporabil v poznejši sodni praksi navedenega sodišča.
117. Poleg tega je to sodišče v sodbi v zadevi Volker und Markus Schecke in Eifert(80) ugotovilo, da se „spoštovanje pravice do zasebnega življenja v zvezi z obravnavo osebnih podatkov, ki jo določata člena 7 in 8 Listine, nanaša na vsako informacijo [moj poudarek] o določeni ali določljivi fizični osebi [… ] in […] da mogoče zakonite omejitve pravice do varstva osebnih podatkov ustrezajo omejitvam, ki so dovoljene v okviru člena 8 [EKČP]“.
118. Na podlagi sodbe v zadevi Volker und Markus Schecke in Eifert sklepam, da varstvo zasebnega življenja na podlagi Listine, kar zadeva obdelavo osebnih podatkov, zajema vse informacije v zvezi s posameznikom, ne glede na to, ali deluje v popolnoma zasebni sferi ali kot gospodarski subjekt ali na primer kot politik. Glede na široka pojma osebnih podatkov in njihove obdelave v pravu EU se zdi, da iz zgoraj navedene sodne prakse izhaja, da vsako dejanje komuniciranja, ki temelji na avtomatskih sredstvih, na primer s telekomunikacijskimi sredstvi, elektronsko pošto ali družbenimi mediji, v zvezi s fizično osebo kot tako pomeni domnevno poseganje v to temeljno pravico, ki zahteva utemeljitev.(81)
119. V točki 75 sem ugotovil, da ponudnik storitve internetnega iskalnika sodeluje pri obdelavi osebnih podatkov, prikazanih na izvornih spletnih straneh tretje osebe. Zato iz sodbe Sodišča v zadevi Volker und Markus Schecke in Eifert izhaja, da gre, ne glede na razvrstitev vloge navedenega ponudnika, na podlagi Direktive za poseganje v pravico do zasebnosti zadevnih posameznikov, na katere se nanašajo osebni podatki, iz člena 7 Listine. V skladu z EKČP in Listino mora imeti vsak poseg v varovane pravice pravno podlago in biti nujen v demokratični družbi. V obravnavani zadevi ne gre za vmešavanje javnih organov, ki bi ga bilo treba utemeljiti, temveč za vprašanje, kolikšno vmešavanje zasebnih subjektov je dopustno. Meje tega so določene v Direktivi, torej imajo pravno podlago, kot se zahteva v EKČP in Listini. Zato je razlaga Direktive povezana prav z razlago omejitev, določenih za obdelavo podatkov s strani zasebnih subjektov, z vidika Listine. To poraja vprašanje, ali imajo EU in države članice pozitivno obveznost, da uveljavijo pravico biti pozabljen, na primer v razmerju do ponudnikov storitve internetnega iskalnika, ki so zasebni subjekti.(82) To pa posledično pripelje do vprašanj glede utemeljitve poseganja v člena 7 in 8 Listine in povezave s povezanima pravicama do svobode izražanja in obveščanja ter pravico do gospodarske pobude.
D – Pravici do svobode izražanja in obveščanja ter pravica do gospodarske pobude
120. Obravnavana zadeva se z več vidikov nanaša na svobodo izražanja in obveščanja iz člena 11 Listine, ki ustreza členu 10 EKČP. Člen 11(1) Listine določa, da ima „[v]sakdo […] pravico do svobodnega izražanja. Ta pravica vključuje svobodo mnenja ter sprejemanja in širjenja vesti ali idej brez vmešavanja javnih organov in ne glede na državne meje.“(83)
121. Pravica internetnih uporabnikov, da iščejo in prejmejo informacije, ki so na voljo na internetu, je varovana s členom 11 Listine.(84) To se nanaša na informacije na izvornih spletnih straneh, pa tudi na informacije, zagotovljene z internetnimi iskalniki. Kot sem že navedel, je internet korenito spremenil dostop do vseh vrst informacij in njihovo razširjanje ter omogočil nove oblike komuniciranja in socialne interakcije med posamezniki. Menim, da temeljna pravica do obveščanja zasluži posebno varstvo v pravu EU, zlasti glede na naraščajoče težnje avtoritarnih režimov drugje, da bi omejili dostop do interneta ali cenzurirali vsebino, ki je na njem dostopna.(85)
122. Varstvo na podlagi člena 11 Listine uživajo tudi izdajatelji spletnih strani. Objavljanje vsebine na internetu se samo po sebi šteje za uveljavljanje svobode izražanja,(86) še toliko bolj če izdajatelj to stran poveže z drugimi stranmi in ne omeji njenega indeksiranja ali arhiviranja z iskalniki, s čimer izrazi željo po širokem razširjanju te vsebine. Objava na spletu je za posameznike eden od načinov, da sodelujejo v razpravi ali razširjajo svojo vsebino ali vsebino, ki jo na internet naložijo drugi.(87)
123. Natančneje, obravnavani predložitveni sklep se nanaša na osebne podatke, objavljene v arhivskem gradivu časopisa. Evropsko sodišče za človekove pravice je v sodbi v zadevi Times Newspapers Ltd proti Združenemu kraljestvu (št. 1 in 2) poudarilo, da internetni arhivi precej pripomorejo k ohranjanju novic in informacij ter dostopu do njih: „Taki arhivi so pomemben vir izobraževanja in zgodovinskih raziskav, zlasti ker so zlahka dostopni javnosti in so običajno brezplačni. […] Vendar je polje proste presoje, ki ga imajo države pri lovljenju ravnotežja med povezanimi pravicami, običajno večje, kadar gre za arhive novic o preteklih dogodkih kot pa za novice o tekočih zadevah. Natančneje, dolžnost novinarjev, da upoštevajo načela odgovornega novinarstva, tako da zagotovijo točnost [moj poudarek] objavljenih preteklih, namesto pokvarljivih informacij, je običajno strožja, če objava gradiva ni nujna.“(88)
124. Komercialni ponudniki storitev internetnega iskalnika ponujajo informacijske lokacijske storitve v okviru poslovne dejavnosti, katere cilj je prihodek od oglaševanja na podlagi ključnih besed. Gre torej za poslovanje, katerega svoboda je v skladu s pravom EU in nacionalnim pravom priznana v členu 16 Listine.(89)
125. Treba je še opozoriti, da nobena od temeljnih pravic, ki so pomembne v tej zadevi, ni absolutna. Omejiti jih je mogoče na podlagi utemeljitve, ki je sprejemljiva na podlagi pogojev iz člena 52(1) Listine.(90)
E – Ali lahko pravica posameznika, na katerega se nanašajo osebni podatki, izhaja iz člena 7 Listine?
126. Nazadnje je treba razmisliti, ali bi bilo mogoče z razlago členov 12(b) in 14(a) Direktive glede na Listino, natančneje člen 7 Listine, priznati pravico „biti pozabljen“ v smislu, kot to navaja nacionalno sodišče. Najprej, taka ugotovitev ne bi bila v nasprotju s členom 51(2) Listine, saj bi zadevala natančnost obsega pravice posameznika, na katerega se nanašajo osebni podatki, do dostopa in pravice do ugovora, ki sta z Direktivo že priznani, in ne na vzpostavitev novih pravic ali širitev področja uporabe prava EU.
127. Evropsko sodišče za človekove pravice je v zadevi Aleksey Ovchinnikov(91) ugotovilo, da je „v nekaterih okoliščinah omejitev kopiranja informacij, ki so že prišle v javnost, lahko upravičena, na primer da se prepreči nadaljnje razkrivanje podrobnosti iz posameznikovega zasebnega življenja, ki ne spadajo v okvir politične ali javne razprave o zadevi splošnega pomena“. Na temeljno pravico do varstva zasebnega življenja se je tako načeloma mogoče sklicevati celo, če so zadevne informacije že prišle v javnost.
128. Vendar je treba pravico posameznika, na katerega se nanašajo osebni podatki, uravnotežiti z drugimi temeljnimi pravicami, zlasti s svobodo izražanja in svobodo obveščanja.
129. Svoboda obveščanja varuje pravico izdajatelja časopisa, da svoje tiskane časnike na internetu ponovno objavi v digitalni obliki. Menim, da javni organi, vključno z organi za varstvo podatkov, take ponovne objave ne morejo cenzurirati. Sodba Evropskega sodišča za človekove pravice v zadevi Times Newspapers Ltd proti Združenemu kraljestvu (št. 1 in 2)(92) dokazuje, da je lahko odgovornost izdajatelja za točnost preteklih objav strožja kot pri tekočih novicah in lahko zahteva uporabo ustreznih opozoril, ki dopolnjujejo sporno vsebino. Vendar po mojem mnenju nikakor ni mogoče utemeljiti zahteve, naj ima ponovna objava izdaje časopisa v digitalni obliki drugačno vsebino kot prvotno objavljena tiskana različica. To bi pomenilo potvarjanje preteklosti.
130. Težava na področju varstva podatkov, ki je jedro obravnavanega spora, nastane šele, če internetni uporabnik v iskalnik vnese ime in priimka posameznika, na katerega se nanašajo osebni podatki, s čimer se mu prikaže povezava do spletnih strani časnika s spornimi objavami. Internetni uporabnik v takem primeru dejavno uveljavlja svojo pravico, da iz javnih virov prejme informacije v zvezi s posameznikom, na katerega se nanašajo osebni podatki, in sicer iz razlogov, ki so znani samo njemu.(93)
131. V današnji informacijski družbi je pravica do iskanja na internetu objavljenih informacij z iskalniki med najpomembnejšimi načini izvajanja te temeljne pravice. Ta pravica brez dvoma zajema pravico do iskanja informacij o drugih posameznikih, ki so načeloma varovane s pravico do zasebnega življenja, na primer informacij na internetu, ki se nanašajo na dejavnosti posameznika kot poslovneža ali politika. Pravica internetnega uporabnika do obveščanja bi bila ogrožena, če pri iskanju informacij o posamezniku ne bi dobil rezultatov iskanja, ki bi bili verodostojen izraz zadevnih spletnih strani, temveč njihova „bowdlerisirana“(94) različica.
132. Ponudnik storitve internetnega iskalnika zakonito izvaja svojo pravico do gospodarske pobude in svobodo izražanja, če omogoča dostop do internetnih informacijskih lokacijskih orodij, ki temeljijo na iskalniku.
133. Še posebno zahtevno in težavno razmerje med temeljnimi pravicami, obravnavanimi v tej zadevi, ne daje upravičenih razlogov za to, da bi okrepili pravni položaj posameznika, na katerega se nanašajo osebni podatki, na podlagi Direktive in mu dodali pravico biti pozabljen. S tem bi bile žrtvovane ključne pravice, kot je svoboda izražanja in obveščanja. Sodišče bi rad odvrnil tudi od sklepanja, da bi bilo mogoče te nasprotujoče si interese v posameznih primerih zadovoljivo uravnotežiti s preučitvijo od primera do primera, pri čemer bi presojo prepustili ponudniku storitve internetnega iskalnika. Taki postopki „za prijavo in odstranitev“, če bi jih Sodišče zahtevalo, bi verjetno povzročili bodisi samodejen umik povezav do vseh spornih vsebin bodisi neobvladljivo število zahtevkov, ki bi jih morali obravnavati najbolj priljubljeni in največji ponudniki storitve internetnega iskalnika.(95) Pri tem je treba opozoriti, da se „postopki za prijavo in odstranitev“, ki jih vsebuje Direktiva o elektronskem poslovanju 2000/31, nanašajo na nezakonito vsebino, medtem ko gre v obravnavani zadevi za zahtevo po umiku legitimnih in zakonitih informacij, ki so prišle v javnost.
134. Natančneje, ponudnikom storitve internetnega iskalnika ne bi smeli naložiti take obveznosti. To bi pomenilo poseganje v svobodo izražanja izdajatelja spletne strani, ki v takem primeru ne bi užival ustreznega pravnega varstva, saj gre pri morebitnem „postopku za prijavo in odstranitev“ za zasebno zadevo med posameznikom, na katerega se nanašajo osebni podatki, in ponudnikom storitve iskalnika.(96) Njegovo objavljeno vsebino bi tako cenzurirala zasebna stranka.(97) Popolnoma nekaj drugega je, če imajo države pozitivno obveznost, da zagotovijo učinkovito pravno sredstvo zoper izdajatelja, ki posega v pravico do zasebnega življenja, ki bi na področju interneta zadevala izdajatelja spletne strani.
135. Kot je opozorila delovna skupina iz člena 29, je mogoče, da subsidiarna odgovornost ponudnikov storitve iskalnika na podlagi nacionalnega prava povzroči obveznosti v smislu preprečitve dostopa do spletnih strani tretjih oseb z nezakonitimi vsebinami, kot so spletne strani, ki kršijo pravice intelektualne lastnine ali prikazujejo obrekljive ali kriminalne informacije.(98)
136. Nasprotno pa se na splošno pravico biti pozabljen zoper njih ni mogoče sklicevati na podlagi Direktive, niti če se razlaga v skladu z Listino.
137. Zato Sodišču predlagam, naj na tretje vprašanje za predhodno odločanje odgovori, da se pravici do izbrisa in blokiranja podatkov iz člena 12(b) in pravica do ugovora iz člena 14(a) Direktive ne nanašajo na tako pravico biti pozabljen, kot je opisana v predložitvenem sklepu.
VIII – Predlog
138. Glede na zgoraj navedeno menim, da bi moralo Sodišče na vprašanja, ki jih je predložilo Audiencia Nacional, odgovoriti tako:
1. Obdelava osebnih podatkov se izvaja v okviru dejavnosti „ustanovitve [poslovne enote]“ upravljavca v smislu člena 4(1)(a) Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, kadar ponudnik internetnega iskalnika zaradi trženja in prodaje oglasnega prostora na iskalniku v državi članici ustanovi podružnico ali hčerinsko družbo, katere dejavnost je usmerjena k prebivalcem navedene države.
2. Ponudnik storitve internetnega iskalnika, katerega iskalnik poišče informacije, ki so jih objavile ali na splet postavile tretje osebe, jih samodejno indeksira, začasno shrani in končno da na voljo internetnim uporabnikom po določenem prednostnem vrstnem redu, „obdeluje“ osebne podatke v smislu člena 2(b) Direktive 95/46, če te informacije vsebujejo osebne podatke.
Vendar ponudnika storitve internetnega iskalnika ni mogoče šteti za „upravljavca“ obdelave takih osebnih podatkov v smislu člena 2(d) Direktive 95/46, z izjemo vsebine indeksa njegovega iskalnika, če ta ponudnik storitve ne indeksira ali arhivira osebnih podatkov v nasprotju z navodili ali zahtevami izdajatelja spletne strani.
3. Pravici do izbrisa in blokiranja podatkov iz člena 12(b) in pravica do ugovora iz člena 14(a) Direktive 95/46 posamezniku, na katerega se nanašajo osebni podatki, ne dajejo pravice, da od ponudnika storitve iskalnika zahteva, naj prepreči indeksiranje informacij, ki se nanašajo nanj osebno in so bile zakonito objavljene na spletnih straneh tretjih oseb, ker ne želi, da bi bile dostopne internetnim uporabnikom, kadar meni, da bi bil lahko zaradi tega oškodovan, ali pa želi, da bi se te informacije pozabile.