GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Projekt badawczy dotyczący „prawa do bycia zapomnianym” wraz z komentarzem autora.

Projekt badawczy dotyczący „prawa do bycia zapomnianym” wraz z komentarzem autora.

WSTĘP

Prawo do bycia zapomnianym z perspektywy administratora.

Prawo do bycia zapomnianym, czyli nowe i szersze wcielenie prawa do usunięcia danych osobowych nie jest proste w implementacji dla administratorów, których główna działalność polega na publikacji treści w Internecie na szerszą skalę.

Portale społecznościowe, prasa, fora internetowe, strony agregujące informacje o użytkownikach – wszędzie tam przedsiębiorcy muszą opracować i wdrożyć odpowiednie mechanizmy rozpatrywania i realizacji wniosków pochodzących od podmiotów danych.

W kontekście przedstawionych badań, cieszy fakt, że prawo to w szerszej lub węższej formie przysługuje w porządkach prawnych na różnych kontynentach. Trzeba jednak pamiętać, że gwarancją jego stosowania jest właściwe zaprojektowanie i wdrożenie rozwiązań:

  1. zapewniających udzielenie użytkownikom pełnej informacji o przysługujących mu prawach. Z tej perspektywy mylące może być np. wielokrotne informowanie o „prawie do usunięcia danych”, gdy podmiot jest zobowiązany przetwarzać je na mocy przepisów powszechnie obowiązującego prawa przez okres kilkudziesięciu lat;
  2. cała komunikacja musi być prowadzona w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka;
  3. administrator powinien przewidzieć mechanizm weryfikacji tożsamości wnioskodawcy;
  4. należy wdrożyć procedurę realizacji prawa, w szczególności oceny przesłanek wskazanych w art. 17 RODO, w tym jeżeli administrator upublicznił dane osobowe, a ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – należy przewidzieć rozsądne działania, w tym środki techniczne, by móc poinformować administratorów przetwarzających te dane osobowe, o żądaniu osoby.

Administrator musi być także w stanie ocenić i w razie potrzeby wykazać, że uprawnienie takie nie przysługuje osobie, gdyż przetwarzanie jest niezbędne:

  1. do korzystania z prawa do wolności wypowiedzi i informacji;
  2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego,
  4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo to uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania.

W świetle ostatnich decyzji Prezesa Urzędu Ochrony Danych Osobowych realizacja takiego prawa powinna być także oceniana pod kątem zachowania zasady rozliczalności (kiedy, jak i dlaczego usunięto dane), a także oceny ryzyka (jakie środki organizacyjne i techniczne są tu angażowane).

r. pr. Tomasz Osiej

Projekt badawczy dotyczący „prawa do bycia zapomnianym” w krajach G20,  w języku angielskim, dostępny jest w poniższym linku:

„Prawo do bycia zapomnianym” w ustawodawstwie ochrony danych osobowych krajów G20_

Komentarz autora badania P. dr Krzysztofa Garstki

„Prawo do bycia zapomnianym” w ustawodawstwie ochrony danych osobowych krajów G20

Po decyzji ETS w sprawie C-131/12 Google Spain (2014), zwrot „prawo do bycia zapomnianym” zagościł na czołowych stronach wielu gazet. 24-go września 2019 r. Trybunał Sprawiedliwości przypomniał nam w dwóch wyrokach dotyczących tego konceptu (sprawy C-136/16 oraz C-507/17), że ta sytuacja może się jeszcze nieraz powtórzyć.  Myśl, iż można w jakiś wsparty prawem sposób wytrzeć swoje ślady (lub ślady do nas prowadzące) słusznie rodzi znaczące kontrowersje i trudne pytania.

Z jednej strony mamy kuszącą ideę kontroli nad danymi osobowymi pędzącymi przez tradycyjnie nieokiełznaną prerię cyberprzestrzeni; z drugiej jednak strony, ta kontrola mogłaby przerodzić się w cenzurę komunikacji publicznej na niesamowitą skalę.

W tym artykule chciałbym przybliżyć Państwu wyniki projektu badawczego dotyczącego „prawa do bycia zapomnianym” w krajach G20, który podjęliśmy wraz z Dr David’em Erdosem na University of Cambridge, a którego tekst w języku angielskim zamieszczony został powyżej.

Dla przypomnienia i w uproszczeniu: w sprawie Google Spain, ETS uznał iż jest możliwe by osoby fizyczne usuwały wyniki z wyszukiwarki Google’a, prowadzące (po wpisaniu imienia i nazwiska) do stron z ich danymi osobowymi, zakładając iż owe dane są „niewłaściwe, (już) niestosowne czy też nadmierne w stosunku do celów, w jakich są one przetwarzane”. Prawa z Dyrektywy 95/46 które zostały w tym celu zinterpretowane to prawo do sprostowania niekompletnych/niedokładnych danych, prawo do usunięcia danych przetwarzanych bezprawnie, oraz prawo do sprzeciwienia się przetwarzaniu danych osobowych. RODO, które zastąpiło Dyrektywę 95/46, zawiera odpowiedniki tychże praw.

Publikacja wyroku Google Spain spotkała się z dużą falą krytyki; niektórzy (zwłaszcza Amerykańscy) komentatorzy scharakteryzowali owe orzeczenie jako Unijną pomyłkę, antagonistyczną do prawa do swobody wypowiedzi. Wraz z Dr Erdosem, postanowiliśmy poszukać „prawa do bycia zapomnianym” (rozumianego jako szerszy koncept w prawie ochrony danych osobowych, a nie pojedyncze orzeczenie o wyszukiwarkach internetowych) poza granicami Unii Europejskiej, ze szczególną uwagą poświęconą mechanizmom ustawodawczym mającym na celu unormowanie relacji tego prawa z prawem do swobody wypowiedzi. Nurtowało nas tu zwłaszcza pytanie, czy te dwa fundamentalne prawa mogą koegzystować w symbiozie. Postanowiliśmy skupić się na krajach G20, zakładając optymistycznie, iż rozwój ekonomiczno-technologiczny  powinien, przynajmniej w teorii, iść w parze z wysokiej jakości ustawodawstwem.

Oto główne wnioski:

  • 15 z 19 krajów obecnych w G20 (UE jest dwudziestym członkiem) posiadało ustawy bezpośrednio chroniące ogólne dane osobowe; wyjątkami są tu USA, Chiny, Indie, oraz Arabia Saudyjska.
  • Z tych 15, wszystkie posiadały podstawę prawną powołującą do życia prawo do sprostowania niekompletnych/niedokładnych danych osobowych.
  • 14 z 15 posiadało podstawę prawną powołującą do życia ogólniejsze prawo do usunięcia dostępu do bezprawnie przetwarzanych danych osobowych.
  • 13 z 15 badanych systemów posiadało wyjątek od stosowania badanych ustaw chroniących dane osobowe, na rzecz swobody wypowiedzi. Niestety, ponad połowa z tychże systemów uformowała te wyjątki w sposób absolutny, nie pozwalając na właściwe zrównoważenie praw podstawowych.
  • Właściwe zrównoważenie “prawa do bycia zapomnianym” i swobody wypowiedzi wymaga elastycznej bazy ustawodawczej która pozwala na balans tych interesów za każdym razem gdy platforma internetowa ocenia wniosek o usunięcie dostępu do danych. Niestety, w przypadku tzw. danych wrażliwych, większość badanych krajów G20 posiada sztywne zasady, które nie pozwalają na właściwe zrównoważenie owych praw podstawowych. Niedawna decyzja ETS-u w sprawie C-136/16 GC v CNIL jest tu przykładem kroku w dobrą stronę, gdyż sędziowie orzekli iż operatorzy wyszukiwarek internetowych powinni oceniać żądania dot. usunięcia dostępu do danych wrażliwych indywidualnie, mając na uwadze pytanie czy wyświetlenie linków jest absolutnie konieczne do ochrony swobody wypowiedzi użytkowników, którzy mogliby być zainteresowani dostępem do strony źródłowej.
  • 11 z 15 krajów posiada ustawy ograniczające odpowiedzialność usługodawców internetowych za treści przez nich publikowane, co sprawia że owe podmioty mogą być uznane za „zwolnione” z obowiązków a priori (np. odpowiedzialność cywilna, niedopuszczenie do publikacji, usunięcie jej bez zawiadomienia), podlegając wciąż obowiązkom a posteriori. (np. żądanie usunięcia danych po publikacji). Niezależnie od tego, wciąż pozostaje wiele do zrobienia, jeśli chodzi o jasne nakreślenie relacji między ustawami chroniącymi dane osobowe, a tymi ograniczajacymi odpowiedzialność platform internetowych.
  • Wyrokiem w sprawie C-507/17 Google v CNIL, ETS stwierdził, iż wyszukiwarki internetowe nie muszą usuwać linków usuniętych na podstawie Unijnego prawa ochrony danych osobowych ze swoich poza-Unijnych wersji. Jest to moim zdaniem jak najbardziej słuszna decyzja, respektująca nieuniknione podstawy prawa publicznego międzynarodowego. Po tym wyroku, jeszcze bardziej jasne jest że bazą dla „prawa do bycia zapomnianym” do funkcjonowania na globalnej arenia jest kooperacja, a nie siłowe próby narzucania swojej jurysdykcji. Tym bardziej też aktualny jest nasz wniosek, by kwestie związane z „prawem do bycia zapomnianym” weszły do agendy G20 dot. Ekonomii Cyfrowej, np. poprzez spotkania odpowiednich organów nadzorczych.

Gorąco zapraszamy do lektury całego raportu, który opublikowaliśmy w trybie Open Access na platformie SSRN – https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3451269

Zachęcamy również do lektury wcześniejszego raportu, dotyczącego regulacji „prawa do bycia zapomnianym” w międzynarodowych instrumentach ustawodawczych dotyczących ochrony danych osobowych –https://bibliotecadigital.fgv.br/dspace/handle/10438/19402

Dr Krzysztof Garstka

University of Cambridge

 

 

Autor: Redakcja
Udostępnj publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach