Prywatność w sieci to problem, który ostatnimi czasy spędza sen z powiek nie tylko wielu unijnym politykom i urzędnikom, ale coraz częściej również samym internautom. Jak usunąć z – pełnego zakamarków i ciemnych uliczek – wirtualnego świata, treści, które naruszają naszą prywatność czy dobre imię? Jak zapewnić naszym danym skuteczną ochronę?

Tego zadania podjęły się w ostatnim czasie unijne instytucje. Prace nad nowymi regulacjami dotyczącymi ochrony danych osobowych właśnie trwają. Ich efekty mają zapewnić nam lepszą ochronę informacji w Internecie, a także ujednolicić zasady udostępniania danych podmiotom zagranicznym. Nowy akt ma także uregulować prawo do bycia zapomnianym. Kiedy nowe regulacje zyskają ostateczny kształt? Tego niestety nie wiadomo. Wokół projektu rozporządzenia UE regulującego ochronę danych osobowych, które ma zastąpić obowiązującą już prawie 20 lat dyrektywę UE 95/46/WE o ochronie danych osobowych, rodzi się wciąż wiele pytań i wątpliwości. Nie wszystkie kraje są zgodne co do jego finalnego kształtu. Dlatego też prace nad nowymi przepisami cały czas się przedłużają.

Pytań jest wiele

Jak skutecznie usunąć z sieci treści, które naruszają nasze dobra osobiste? Czy wszystkie one powinny być usunięte? Gdzie jest granica wolności słowa? Co zrobić z profilami społecznościowymi osób zmarłych? Takich pytań bez odpowiedzi pozostaje cały czas wiele. O ich skali najlepiej świadczy fakt, iż w czasie prac legislacyjnych w Parlamencie Europejskim do projektu dotyczącego ochrony danych osobowych zgłoszono ponad 3,5 tys. poprawek.

Stworzenie skutecznych przepisów nie jest zadaniem prostym. Eksperci, prawnicy, przedstawiciele rynku czy sami informatycy mają różne spojrzenia na problem ochrony danych w sieci. W celu skonfrontowania ze sobą stanowisk różnych środowisk i pomysłów na interpretację m.in. prawa do bycia zapomnianym rada ekspertów Google postanowiła zorganizować kilka paneli dyskusyjnych. Do tej pory takie spotkania odbyły się w Madrycie, Rzymie, Paryżu. 30 września panel dyskusyjny z udziałem m.in. wiceprezydenta Google Davida Drummond’a oraz założyciela Wikipedii Jimmy’ego Wales’a zorganizowany został  również w Warszawie.

Niestety, pomimo wielu starań nie udało się rozwiązać wszystkich spornych kwestii. Przyczyna? Różnice zdań wśród ekspertów. Część ekspertów chciałaby, aby sprawy o usunięcie linków do stron z informacjami o naszych danych osobowych były rozpatrywane lokalnie. Ich zdaniem linki powinny być usuwane z wyszukiwarek tylko na serwach krajowych, a pozostały dostępne już na tych zagranicznych. Ten pomysł nie podoba się m.in. przedstawicielom Helsińskiej Fundacji Praw Człowieka, którzy twierdzą, iż takie działania stanowią po prostu obejście prawa (wejście na zagraniczny serwer nie jest przecież żadnym problemem). Kolejna sporna kwestia dotyczy właściwości sądowej w sprawach o prawo do bycia zapomnianym. W chwili obecnej w Polsce procesy dotyczące naruszenia dóbr osobistych w sieci odbywają się przed sądami cywilnymi. Zdaniem części ekspertów właściwe do rozstrzygania sporów w tej kwestii powinny być sądy administracyjne.

Eksperci zgłaszają również wątpliwości co do wyboru podmiotów, które mają decydować o usunięciu danego linka z wyników wyszukiwarki. Według części z nich wnioski o usunięcie linków powinny być kierowane nie do administratorów wyszukiwarek lecz do wydawców. To oni bowiem wiedzą jakie treści publikowali, i skąd mają ich źródło. Administratorzy wyszukiwarek takich informacji nie posiadają.

Kontrowersje wokół unijnego projektu

Prace nad nowym rozporządzeniem UE trwają już kilka lat. Komisja Europejska poinformowała ostatnio, że do końca grudnia liczy na to, iż negocjacje nad ostatecznym projektem dobiegną końca.

Jak ma wyglądać egzekwowanie prawa do bycia zapomnianym (a w zasadzie – zgodnie z nazewnictwem unijnych legislatorów – „prawa do wykreślenia”)? Przepisy rozporządzenia mają dawać możliwość wykreślenia danych nieprawdziwych, niestosownych czy też nadmiernych w stosunku do celów, dla których są one przetwarzane, włączając w to kopie, odnośniki czy wszelkie powielenia informacji. Obowiązek usunięcia danych i zabezpieczenia ich przed rozprzestrzenianiem się w sieci spoczywać ma na administratorze danych[1]. Taka procedura usuwania linków rodzi jednak wiele problemów praktycznych. Nie jest powiedziane wprost jak taki administrator ma informować wszystkich odbiorców, że dane te zostały usunięte oraz jak interpretować obowiązek „podjęcia wszelkich uzasadnionych kroków w odniesieniu do publikacji, za których publikację odpowiada”[2].

Zaznaczyć również należy, że prawo do bycia zapomnianym nie jest prawem absolutnym. Administrator będzie mógł odmówić usunięcia linku, zdecydować o zachowaniu informacji w wynikach wyszukiwania. Do powodów takiej decyzji zaliczyć będzie można m.in.  wykonywanie prawa do wolności wypowiedzi, cele naukowe, statystyczne czy też realizacja interesu publicznego w dziedzinie zdrowia publicznego.

Co ciekawe, rozporządzenie ma wprowadzić również sankcje administracyjne za nieprzestrzeganie prawa do bycia zapomnianym. Ich wysokość ma kształtować się na poziomie 1 000 000 tys. euro, a w przypadku przedsiębiorstwa – do 2 proc. jego rocznego światowego obrotu[3]. Zgodnie z treścią projektu rozporządzenia powyższe zasady mają dotyczyć także firm spoza Unii, które prowadzą działalność na jej terytorium.

Jak zapowiadają niektórzy unijni urzędnicy, część nowych przepisów regulujących najtrudniejsze kwestie m.in. te związane z  prawem do bycia zapomnianym, może zostać wprowadzona w życie nawet w 2017 r. Pytanie tylko czy w dobie tak szybkiego rozwoju nowych technologii, przepisy te nie pozostaną już tylko reliktem przeszłości.

***

13 maja 2014 r. Trybunał Sprawiedliwości Unii Europejskiej wydał długo oczekiwany wyrok w sprawie C‑131/12 – Google vs Mario Costeja Gonzalez (znany szerzej jako wyrok w sprawie prawa do bycia zapomnianym w sieci). Trybunał Sprawiedliwości UE uznał, że operator wyszukiwarki internetowej (w tym przypadku Google) jest administratorem danych osobowych, które pojawiają się w wynikach wyszukiwania jako linki do stron publikowanych przez osoby trzecie. Co więcej – zdaniem Trybunału – każdy internauta ma prawo domagać się od operatora wyszukiwarki, by informacje na temat jego osoby (dane zawierające imię i nazwisko) zostały usunięte, jeśli wyniki te są niewłaściwe, niestosowne czy też nadmierne w stosunku do celów, dla których są one przetwarzane (nawet, gdyby informacje te były prawdziwe).

Google w ciągu dwóch tygodni od ogłoszenia wyroku opracował procedurę usuwania ze swoich wyników treści, które mogą być niewłaściwe, niestosowne czy też nadmierne w stosunku do celów, dla których są one przetwarzane. 30 maja Google udostępnił dla swoich europejskich użytkowników specjalny formularz, za pomocą którego internauci mogą ubiegać się usunięcie wybranych wyników wyszukiwania.

Więcej o wyroku z 13 maja 2014 r. oraz o tym jak zostać zapomnianym w sieci przeczytasz tutaj.

***

[1] Art. 17 pkt. 2 projektu rozporządzenia o ochronie danych osobowych https://mac.gov.pl/files/wp-content/uploads/2013/11/TABELA-zbiorcza-GDPR-stan-31-10-2013.pdf

[2] Por. J. Żak, Koncepcja prawa do bycia zapomnianym [w:] Aktualne wyzwania ochrony wolności i praw jednostki, 2014.

[3] Notatka Komisji Europejskiej z dnia 12 marca 2014 file:///C:/Users/Q/Desktop/Notatka-Komisji-Europejskiej-z-12-marca-2014-r-tlumaczenie-nieoficjalne.pdf

fot.: Anna Dziubińska (unsplash.com)