Prawo do bycia zapomnianym jest potrzebne, ale należy skonstruować je na nowo, w sposób odpowiadający realiom Internetu. Prawo w kształcie zaproponowanym przez Trybunał Sprawiedliwości nie spełnia tego warunku. Jego skuteczna realizacja byłaby niemożliwa lub wymagałaby niewspółmiernych do tego celu środków i mogłaby naruszać interes publiczny – uważa Konfederacja Lewiatan.
Lewiatan przygotował uwagi do art. 17 projektu rozporządzenia o ochronie danych osobowych z uwzględnieniem tez wyroku Trybunału Sprawiedliwości w sprawie C-131/12 Costeja[1]. szerzej znanemu jako wyrok w sprawie „Prawa do bycia zapomnianym”.
– Usuwanie danych osobowych przez podmiot, który nie decydował o ich upublicznieniu (operatora wyszukiwarki) rodzi ryzyko naruszenia interesów podmiotów, odpowiedzialnych za publikację takich informacji (wydawców). Ma to szczególne znaczenie, w przypadku prasy i serwisów informacyjnych, których działalność powinna być chroniona zgodnie z art. 11 Karty Praw Podstawowych Unii Europejskiej. Taka ochrona powinna co do zasady, obejmować nie tylko stronę własną „wydawcy”, ale także strony, które ułatwiają dostęp do informacji prasowych (w tym wypadku strony operatora wyszukiwarki zawierające linki do tych stron) – mówi Magdalena Piech, ekspertka Konfederacji Lewiatan.
Niewłaściwe ważenie interesów
Zdaniem Konfederacji Lewiatan krytycznie należy ocenić dokonane przez Trybunał ważenie interesów. Nadmiernym uproszczeniem jest stwierdzenie, że co do zasady prawo do prywatności powinno przeważać nad innymi prawami. Takie podejście nie uwzględnia konieczności zapewnienia wolności prasy i może ograniczać dostęp do istotnych z punktu widzenia interesu publicznego informacji. Niesłuszne jest też twierdzenie Trybunału, że interes społeczny może przeważać jedynie w szczególnych sytuacjach, w odniesieniu do osób publicznych. Bardzo często uzasadnione jest rozpowszechnianie informacji o osobie, która nie jest szeroko znana, np. w celu ochrony społeczeństwa przed nieuczciwymi, niebezpiecznymi działaniami.
Uwzględnić specyfikę działalności operatora wyszukiwarki
Błędne jest uznanie operatora wyszukiwarki za administratora indeksowanych przez nią danych. Choć zaangażowanie także takich podmiotów w zapewnienie ochrony danych osobowych jest zasadne, nie należy zrównywać ich roli z rolą podmiotu odpowiedzialnego za publikację danych.
Umożliwić wydawcom treści sprzeciw wobec usuwania linków do publikowanych przez nich danych
Zdaniem Konfederacji Lewiatan racjonalne jest, by to wydawcy byli pierwszym adresatem żądania usunięcia danych. To oni celowo umieszczają informacje o podmiocie danych i znają kontekst umieszczanych treści. W sytuacji gdy podmiot danych zdecyduje się zwrócić bezpośrednio do wyszukiwarki, zasadne jest zaangażowanie podmiotów odpowiedzialnych za publikację treści w procedurę usuwania linków. Niezależnie od tego, że w takiej sytuacji do wyszukiwarki będzie należała decyzja co do usunięcia treści, podmiot, który opublikował dane powinien otrzymać informację o usunięciu. Powinien mieć także możliwość wskazania operatorowi wyszukiwarki względów, które przemawiają za nie usuwaniem linków do jego stron i zakwestionowania decyzji o usunięciu przed organem ds. ochrony danych.
Zapewnić ochronę legalnych danych w Internecie
Krytycznie należy ocenić przyznanie przez Trybunał prawa usuwania z wyników wyszukiwania linków do legalnych treści. Linki, jako takie, były już dotychczas usuwane, ale w sytuacjach, kiedy uznano je za bezprawne. Co do zasady linki, jako przedłużenie stron z legalnymi informacjami źródłowymi nie powinny być usuwane. Podstawą usunięcia „legalnych” linków powinno być rozstrzygnięcie organu lub sądu, a nie uznaniowa decyzja podmiotu prywatnego. Należy rozważyć ukształtowanie tej procedury na wzór dyskutowanej przy okazji dyrektywy o handlu elektronicznym procedury notice and take down.
Wyznaczyć jasne i precyzyjne przepisy
Rozporządzenie musi wyznaczyć ramy prawa do bycia zapomnianym, tak by zapewnić jasny i uwzględniający rolę poszczególnych podmiotów, podział ról. Konieczne jest precyzyjne wskazanie zakresu praw podmiotów danych i obowiązków administratorów.
Rozporządzenie nie powinno jednak zbyt szczegółowo regulować całej procedury. Tryb realizacji tego prawa, uwzględniający specyfikę branży i rozwój technologii, mógłby zostać uregulowany np. w kodeksach dobrych praktyk zatwierdzanych zgodnie z art. 38 Projektu.
[1] Wyrok Trybunału (wielka izba) z dnia 13 maja 2014 r. (wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Audiencia Nacional – Hiszpania) – Google Spain SL, Google Inc. przeciwko Agencia de Protección de Datos (AEPD), Mario Costeja González, Dz.U. C 165 z 9.06.2012.