Wyrok Trybunału Sprawiedliwości UE w sprawie C-131/12 (Google Spain) przyznał każdemu z nas tzw. prawo do bycia zapomnianym. Korzystając z niego, możemy doprowadzić do usunięcia z wyników wyszukiwania tych spośród nich, które nas dotyczą. Nie usuwa się więc danych źródłowych, a jedynie odnośniki (linki) do nich, które indeksuje i publikuje wyszukiwarka. Jeżeli wyszukiwarka nie uwzględni naszego żądania, mamy prawo zwrócić się o takie nakazanie do organu ochrony danych osobowych (w Polsce do generalnego inspektora ochrony danych osobowych). I w ostatnich miesiącach GIODO wydał pierwsze decyzje. Ich lektura każe jednak postawić fundamentalne pytanie o prawidłowość stosowania w tych sprawach przez GIODO przepisów.
Spór o adresata
Decyzje GIODO zostały wydane m.in. w sprawach, w których wyszukiwarka odmówiła usunięcia z udostępnianych przez siebie wyników wyszukiwania odnośników do informacji o poszukiwaniu osoby listem gończym w sytuacji, gdy to poszukiwanie zostało odwołane oraz o zaangażowaniu osoby w „Wielką aferę w spółkach IT" podczas gdy postępowanie karne przeciwko tej osobie częściowo zostało umorzone, a częściowo zakończone dobrowolnym poddaniem się karze za... brak należytej staranności w prowadzeniu ksiąg finansowych. Wydaje się więc, że decyzje GIODO są co do zasady słuszne – te informacje powinny z wyników wyszukiwarki zniknąć z tej choćby przyczyny, że z perspektywy czasu okazały się nieprawdziwe. Były prawdziwe w chwili ich sporządzania i publikowania, ale z upływem czasu okazały się nieaktualne. Problem pojawia się jednak wtedy, gdy weźmiemy pod uwagę, do kogo te decyzje zostały skierowane: a zostały skierowane do Google Poland sp. z o.o. z siedzibą w Warszawie. I to w sytuacji, gdy w decyzjach czytamy, że operatorem wyszukiwarki Google Search jest Google Inc. z siedzibą w Stanach Zjednoczonych. Skąd więc nakaz usunięcia danych skierowany do Google Poland?
W wyroku Google Spain. Trybunał uznał – po pierwsze – że działalność prowadzona przez wyszukiwarki internetowe jest przetwarzaniem danych osobowych w rozumieniu przepisów dyrektywy 95/46/WE (o ochronie danych osobowych), a operator wyszukiwarki jest administratorem danych osobowych przetwarzanych przez wyszukiwarkę w procesie wyszukiwania, czyli podmiotem odpowiedzialnym m.in. za legalność przetwarzania danych, do którego powinny być skierowane decyzje organów.
Po drugie, Trybunał wypowiedział się na temat zakresu zastosowania dyrektywy w kontekście przetwarzania danych osobowych wykraczającego poza granice jednego kraju. Otóż dyrektywa w art. 4 ust. 1 pkt a) nakazuje stosować swoje przepisy w sytuacji, gdy przetwarzanie danych „odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium Państwa Członkowskiego". Problem w tym, że polskie brzmienie dyrektywy pomija jeden fragment, który pojawia się w innych jej wersjach językowych: np. w wersji angielskiej jest to establishment of the controller, w wersji francuskiej un établissement du responsable du traitement itd. I dlatego właśnie w pkt 2 wyroku Google Spain pojawia się niezrozumiałe dla nas słowo „zakład", nie występujące nigdzie w dyrektywie o ochronie danych osobowych w jej wersji polskiej – bo establishment of the controller użyte np. w angielskiej wersji wyroku Google Spain przetłumaczono w polskiej wersji wyroku jako zakład administratora danych. Co to oznacza w praktyce?
Zdaniem Trybunału, przepisy dyrektywy należy stosować do administratora danych, jeżeli dane są przetwarzane przez jego establishment na terenie państwa UE, a sytuacja taka ma miejsce wtedy, gdy „operator wyszukiwarki internetowej ustanawia w danym państwie oddział lub spółkę zależną, których celem jest promocja i sprzedaż powierzchni reklamowych oferowanych za pośrednictwem tej wyszukiwarki, a działalność tego oddziału lub tej spółki zależnej jest skierowana do osób zamieszkujących to państwo". Administratorem danych jest operator wyszukiwarki, czyli Google Inc. Oznacza to, że przepisy polskiej ustawy o ochronie danych osobowych należy stosować do Google Inc., ponieważ na terenie Polski działa spółka zależna Google Inc., czyli Google Poland. Tymczasem GIODO w swoich decyzjach zastosował przepisy polskiej ustawy o ochronie danych osobowych, ale nie do Google Inc., lecz do Google Poland.
