TRYBUNAŁ SPRAWIEDLIWOŚCI UNII EUROPEJSKIEJ

Google (Portée territoriale du déréférencement)
C-507/17

WYROK WIELKIEJ IZBY TSUE
z dnia 24-09-2019 r.
EU:C:2019:772
przedmiot:

Pytanie prejudycjalne złożone przez Conseil d’État (Radę Stanu, Francja) w ramach sporu między Google LLC a Commission nationale de l’informatique et des libertés (krajową komisją ds. informatyki i swobód, Francja, dalej: “CNIL”) w przedmiocie kary w wysokości 100 000 EUR nałożonej przez CNIL na Google w związku z odmówieniem przez Google usunięcia linków do rozszerzeń nazwy domeny wyszukiwarki, dotyczy wykładni dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej: „dyrektywa 95/46”), która obowiązywała w chwili zadania pytania prejudycjalnego, a została uchylona ze skutkiem od dnia 25 maja 2018 r., przy czym od tego samego dnia stosuje się Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „rozporządzenie 2016/679” lub „RODO”)

rostrzygnięcie:

Czy art. 12 lit. b) i art. 14 akapit pierwszy lit. a) dyrektywy 95/46, jak też art. 17 ust. 1 rozporządzenia 2016/679, należy interpretować w ten sposób, że w sytuacji gdy operator wyszukiwarki uwzględnia wniosek o usunięcie linków na podstawie wskazanych przepisów, jest on zobowiązany do usunięcia owych linków ze wszystkich wersji swojej wyszukiwarki, czy też, przeciwnie, jest on zobowiązany do usunięcia linków tylko z tych wersji wyszukiwarki, które odpowiadają wszystkim państwom członkowskim, względnie jedynie z tej wersji wyszukiwarki, która odpowiada państwu członkowskiemu, w którym złożony został wniosek o usunięcie linków, w stosownym wypadku w powiązaniu z zastosowaniem techniki zwanej „geoblokowaniem”, tak aby zapewnić, że bez względu na to, z jakiej krajowej wersji wyszukiwarki skorzysta internauta, nie będzie on mógł, w ramach wyszukiwania przeprowadzanego z adresu IP, który uważa się za zlokalizowany w państwie członkowskim, gdzie miejsce zamieszkania ma osoba uprawniona do usunięcia linków, lub, bardziej ogólnie, w jednym z państw członkowskich, uzyskać dostępu do linków podlegających usunięciu?

Artykuł 12 lit. b) i art. 14 akapit pierwszy lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz art. 17 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że w sytuacji gdy operator wyszukiwarki uwzględnia żądanie usunięcia linków na podstawie wskazanych przepisów, jest on zobowiązany do usunięcia owych linków nie ze wszystkich wersji swojej wyszukiwarki, ale z tych wersji wyszukiwarki, które odpowiadają wszystkim państwom członkowskim, w razie konieczności w powiązaniu z zastosowaniem środków, które spełniają wymogi przewidziane prawem i które rzeczywiście uniemożliwiają internautom – przeprowadzającym, z terytorium któregoś z państw członkowskich, wyszukiwania w oparciu o imię i nazwisko osoby, której dane dotyczą – uzyskanie, dzięki liście wyników wyświetlonej po przeprowadzeniu tego wyszukiwania, dostępu do linków będących przedmiotem rzeczonego wniosku, lub przynajmniej poważnie zniechęcają ich do uzyskania dostępu do owych linków.

stan faktyczny:

CNIL wezwała Google do tego, aby w sytuacji, gdy Google uwzględnia wniosek osoby fizycznej o usunięcie z listy wyników wyszukiwania linków prowadzących do stron internetowych, które zostają wyświetlone w następstwie wpisania do wyszukiwarki imienia i nazwiska danej osoby, owo usunięcie linków miało zastosowanie do wszystkich rozszerzeń wyszukiwarki Google.

Spółka Google nie zastosowała się w pełni do tego wezwania. Usunięto jedynie linki z rezultatów wyświetlanych jako odpowiedź na wyszukiwania wprowadzone z nazw domen odpowiadających wersjom jej wyszukiwarki w państwach członkowskich.

W konsekwencji CNIL nałożył na Google, podaną do publicznej wiadomości, karę w wysokości 100 000 EUR. Przedmiotowa uchwała CNIL została zaskarżona do Rady Stanu. Podczas rozpatrywania sprawy sąd francuski napotkał trudności związane z wykładnią dyrektywy 95/46, w związku z czym zawiesił postępowanie i zwrócił się do Trybunału z trzema pytaniami, które miały doprowadzić do ustalenia zakresu terytorialnego skuteczności prawa unijnego. Trybunał ustalił jednak, że treść pytań zadanych przez sąd francuski sprowadza się w istocie do jednego pytania, w związku z czym odpowiedział na nie łącznie.

główne tezy:
  • Jeżeli stan prawny uległ zmianie między czasem, kiedy sąd krajowy zwrócił się do TSUE z pytaniem, a czasem wyrokowania TSUE, Trybunał w wyroku może odnieść się do zarówno obowiązujących, jak i już uchylonych aktów prawnych. Działania Trybunału powinny być podyktowane tym, aby odpowiedź na pytanie prejudycjalne była jak najbardziej przydatna dla sądu pytającego.
  • Zgodnie z regulacjami unijnymi operator wyszukiwarki internetowej jest zobowiązany do usunięcia z wyświetlanej listy wyników wyszukiwania, mającego za punkt wyjścia imię i nazwisko danej osoby, linków do publikowanych przez osoby trzecie stron internetowych zawierających dotyczące tej osoby informacje, nawet w przypadku, gdy to imię, czy nazwisko, czy też te informacje nie zostały uprzednio, czy też jednocześnie usunięte z tych stron internetowych, i, w odpowiednim przypadku, nawet jeśli ich publikacja na tych stronach jest zgodna z prawem.
  • Obecnie podstawę prawną do żądania usunięcia danych osobowych przez osobę fizyczną stanowi art. 17 rozporządzenia 2016/679. Sformułowana w nim norma, w języku prawniczym, funkcjonuje też jako „prawo do bycia zapomnianym”.
  • Przepisy RODO pozwalają na żądanie usunięcia danych od operatora wyszukiwarki posiadającego jeden lub więcej zakładów na terytorium Unii, w ramach działalności których przetwarza on dane osobowe dotyczące tych osób, niezależnie od tego, czy takie przetwarzanie ma miejsce w Unii.
  • Prawo do ochrony danych osobowych nie jest prawem bezwzględnym, ale należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych, w myśl zasady proporcjonalności.
  • „Prawo do bycia zapomnianym” nie przysługuje, jeśli rola odgrywana przez daną osobę w życiu publicznym jest na tyle istotna, że ingerencja w prawa podstawowe tej osoby jest uzasadniona nadrzędnym interesem danego kręgu odbiorców, polegającym na posiadaniu, dzięki temu umieszczeniu na liście, dostępu do danej informacji.
  • Celem dyrektywy 95/46 i rozporządzenia 2016/679 jest zapewnienie wysokiego poziomu ochrony danych osobowych w całej Unii, co uzasadniałoby eksterytorialny zakres stosowania prawa unijnego, w zakresie ochrony danych osobowych w ramach usług społeczeństwa informatycznego (dostęp internautów spoza Unii, do linków odsyłających do informacji o osobie, której główny ośrodek interesów znajduje się w Unii, może wywrzeć natychmiastowe i istotne skutki dla tej osoby w samej Unii).
  • Uregulowanie kwestii ochrony danych osobowych, w formie rozporządzenia, ma na celu zapewnienie spójnego i wysokiego poziomu ochrony w całej Unii oraz usunięcia przeszkód w przepływie danych w jej obrębie. Oznacza to, że usunięcie danych powinno być dokonane w wersjach wyszukiwarki funkcjonujących w państwach członkowskich.
  • Interes publiczny w dostępie do informacji może się różnić nawet w obrębie Unii, w poszczególnych jej państwach członkowskich, w związku z czym wynik wymaganego wyważenia między prawem dostępu do informacji a przysługującymi osobie, której dane dotyczą, prawami do poszanowania życia prywatnego i ochrony danych osobowych, nie musi wcale być taki sam we wszystkich państwach członkowskich.
  • Operator wyszukiwarki jest odpowiedzialny za podjęcie, w razie konieczności, wystarczająco skutecznych środków w celu zapewnienia rzeczywistej ochrony praw podstawowych osoby, której dane dotyczą.
  • Prawo Unii nie przewiduje obecnie instrumentów i mechanizmów współpracy, w odniesieniu do zakresu usuwania linków poza terytorium państw Unii Europejskiej.
  • Prawo Unii, na obecnym etapie jego rozwoju, nie wymaga, aby prawo do usunięcia linków, które zostanie uwzględnione, obejmowało wszystkie wersje danej wyszukiwarki. Nie zakazuje ono jednak, aby tak było. Organ nadzorczy lub sądowy państwa członkowskiego może więc nakazać, w stosownym wypadku, operatorowi wyszukiwarki usunięcie linków, w odniesieniu do wszystkich wersji owej wyszukiwarki.
opinia rzecznika generalnego:
powiązane sprawy:

  • Wyrok z dnia 13 maja 2014 r., Google Spain i Google, C-131/12, EU:C:2014:317
  • Wyrok z dnia 9 listopada 2010 r., Volker und Markus Schecke i Eifert, C-92/09 i C-93/09, EU:C:2010:662
  • Wyrok z dnia 27 marca 2014 r., UPC Telekabel Wien, C-314/12, EU:C:2014:192

akty prawne:

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31) – akt stracił moc obowiązującą dnia 24 maja 2018 r.

(https://eur-lex.europa.eu/dyrektywa95/46…)

Art. 12 lit. b)

Art. 14 akapit pierwszy lit. a)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2)

(https://eur-lex.europa.eu/RODO…)

słowa kluczowe:

Francja; CNIL; Google; pytanie prejudycjalne; C-507/17; nowe technologie; usługa społeczeństwa informacyjnego; Internet; dane osobowe; przetwarzanie danych osobowych; dyrektywa 95/46; rozporządzenie 2016/679; RODO

autor omówienia:

Monika Świderska

Refleksje o konsekwencjach:

Prawo nowych technologii to nowa i prężnie rozwijająca się dziedzina, w związku z czym mamy do czynienia z bardzo ciekawym procesem, w którym Trybunał dopiero zaczyna tworzyć swoją linię orzeczniczą. Omówiony wyrok jest właściwie jednym z pierwszych orzeczeniem z zakresu ochrony danych osobowych wydanym przez TSUE (podstawowym wyrokiem w tej materii, do którego szeroko odwołuje się Trybunał, jest wyrok TSUE z dnia 13 maja 2014 r. w sprawie Google Spain i Google, C-131/12).