Wyrok Trybunału Sprawiedliwości UE w sprawie C-131/12 (Google Spain) przyznał każdemu z nas tzw. prawo do bycia zapomnianym. Korzystając z niego, możemy doprowadzić do usunięcia z wyników wyszukiwania tych spośród nich, które nas dotyczą. Nie usuwa się więc danych źródłowych, a jedynie odnośniki (linki) do nich, które indeksuje i publikuje wyszukiwarka. Jeżeli wyszukiwarka nie uwzględni naszego żądania, mamy prawo zwrócić się o takie nakazanie do organu ochrony danych osobowych (w Polsce do generalnego inspektora ochrony danych osobowych). I w ostatnich miesiącach GIODO wydał pierwsze decyzje. Ich lektura każe jednak postawić fundamentalne pytanie o prawidłowość stosowania w tych sprawach przez GIODO przepisów.

Spór o adresata

Decyzje GIODO zostały wydane m.in. w sprawach, w których wyszukiwarka odmówiła usunięcia z udostępnianych przez siebie wyników wyszukiwania odnośników do informacji o poszukiwaniu osoby listem gończym w sytuacji, gdy to poszukiwanie zostało odwołane oraz o zaangażowaniu osoby w „Wielką aferę w spółkach IT" podczas gdy postępowanie karne przeciwko tej osobie częściowo zostało umorzone, a częściowo zakończone dobrowolnym poddaniem się karze za... brak należytej staranności w prowadzeniu ksiąg finansowych. Wydaje się więc, że decyzje GIODO są co do zasady słuszne – te informacje powinny z wyników wyszukiwarki zniknąć z tej choćby przyczyny, że z perspektywy czasu okazały się nieprawdziwe. Były prawdziwe w chwili ich sporządzania i publikowania, ale z upływem czasu okazały się nieaktualne. Problem pojawia się jednak wtedy, gdy weźmiemy pod uwagę, do kogo te decyzje zostały skierowane: a zostały skierowane do Google Poland sp. z o.o. z siedzibą w Warszawie. I to w sytuacji, gdy w decyzjach czytamy, że operatorem wyszukiwarki Google Search jest Google Inc. z siedzibą w Stanach Zjednoczonych. Skąd więc nakaz usunięcia danych skierowany do Google Poland?

W wyroku Google Spain. Trybunał uznał – po pierwsze – że działalność prowadzona przez wyszukiwarki internetowe jest przetwarzaniem danych osobowych w rozumieniu przepisów dyrektywy 95/46/WE (o ochronie danych osobowych), a operator wyszukiwarki jest administratorem danych osobowych przetwarzanych przez wyszukiwarkę w procesie wyszukiwania, czyli podmiotem odpowiedzialnym m.in. za legalność przetwarzania danych, do którego powinny być skierowane decyzje organów.

Po drugie, Trybunał wypowiedział się na temat zakresu zastosowania dyrektywy w kontekście przetwarzania danych osobowych wykraczającego poza granice jednego kraju. Otóż dyrektywa w art. 4 ust. 1 pkt a) nakazuje stosować swoje przepisy w sytuacji, gdy przetwarzanie danych „odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium Państwa Członkowskiego". Problem w tym, że polskie brzmienie dyrektywy pomija jeden fragment, który pojawia się w innych jej wersjach językowych: np. w wersji angielskiej jest to establishment of the controller, w wersji francuskiej un établissement du responsable du traitement itd. I dlatego właśnie w pkt 2 wyroku Google Spain pojawia się niezrozumiałe dla nas słowo „zakład", nie występujące nigdzie w dyrektywie o ochronie danych osobowych w jej wersji polskiej – bo establishment of the controller użyte np. w angielskiej wersji wyroku Google Spain przetłumaczono w polskiej wersji wyroku jako zakład administratora danych. Co to oznacza w praktyce?

Zdaniem Trybunału, przepisy dyrektywy należy stosować do administratora danych, jeżeli dane są przetwarzane przez jego establishment na terenie państwa UE, a sytuacja taka ma miejsce wtedy, gdy „operator wyszukiwarki internetowej ustanawia w danym państwie oddział lub spółkę zależną, których celem jest promocja i sprzedaż powierzchni reklamowych oferowanych za pośrednictwem tej wyszukiwarki, a działalność tego oddziału lub tej spółki zależnej jest skierowana do osób zamieszkujących to państwo". Administratorem danych jest operator wyszukiwarki, czyli Google Inc. Oznacza to, że przepisy polskiej ustawy o ochronie danych osobowych należy stosować do Google Inc., ponieważ na terenie Polski działa spółka zależna Google Inc., czyli Google Poland. Tymczasem GIODO w swoich decyzjach zastosował przepisy polskiej ustawy o ochronie danych osobowych, ale nie do Google Inc., lecz do Google Poland.

Skąd takie nieporozumienie? Lektura uzasadnień decyzji nie daje dobrej odpowiedzi. Z jednej strony bowiem GIODO pisze wyraźnie, że operatorem wyszukiwarki jest podmiot amerykański, zaś podmiot polski zajmuje się sprzedażą „przestrzeni reklamowej". Z drugiej strony jednak uzasadnienie w niezrozumiały sposób powtarza wywód mówiący o „nierozerwalnym powiązaniu" działalności Google Inc. i Google Poland, co ma zadaniem GIODO prowadzić do wniosku, że to podmiot polski powinien być adresatem decyzji nakazowej. I to w sytuacji, gdy w uzasadnieniu wprost wskazuje się na przetwarzanie danych przez „administratora danych odpowiedzialnego za to przetwarzanie" – a przecież w pierwszym punkcie wyroku Google Spain Trybunał stwierdził wyraźnie, że tym administratorem jest operator wyszukiwarki, czyli Google Inc.

W rezultacie powstają fundamentalne wątpliwości, czy decyzje zostały skierowane do podmiotu będącego stroną w sprawie.

Czekając na 2018 r.

W tym miejscu można pokusić się o pewną bardziej generalną refleksję. Stan prawny, w którym obowiązuje dyrektywa oraz krajowe ustawy ją implementujące nie sprzyja prowadzeniu działalności gospodarczej w więcej niż jednym państwie. M.in. z tego powodu przed kilku laty podjęto inicjatywę zmierzającą do przyjęcia rozporządzenia ogólnego o ochronie danych osobowych, które będzie stosowane we wszystkich państwa UE od 25 maja 2018 r. Ale problemy z transgranicznym przetwarzaniem danych mamy już obecnie i trzeba je rozwiązywać doraźnie – stąd właśnie w ostatnim czasie dwa fundamentalne wyroki TSUE. Pierwszy z nich w sprawie Google Spain. W drugim, w sprawie C-230/14 (Weltimmo), Trybunał przyjął, że uregulowania państwa członkowskiego dotyczące ochrony danych mogą być stosowane do spółki z innego państwa UE, prowadzącej w tym państwie „rzeczywistą i faktyczną działalność" przez „stabilne rozwiązanie organizacyjne". Nie ulega wątpliwości, że istotna zmiana stanu prawnego w tym zakresie nastąpi dopiero pod rządami rozporządzenia ogólnego.

dr Paweł Litwiński, adwokat, Instytut Allerhanda, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.