Povzetek sodbe v zadevi C-507/17 z dne 24. 9. 2019
Zadeva se nanaša na spor glede načina izvrševanja pravice posameznika do odstranitve povezav s strani upravljavca iskalnika, in sicer med družbo Google LLC in Commission nationale de l’informatique et des libertés (CNIL) (nadzorni organ za varstvo podatkov Francije). V odločbi z dne 21. maja 2015 je predsednica CNIL družbo Google opomnila, naj v primerih ugoditev zahtevam fizičnih oseb za odstranitev povezav na spletnih straneh, ki se prikažejo po iskanju, opravljenem na podlagi njihovega imena, le-te odstrani z vseh domenskih končnic njihovega iskalnika.
Družba Google temu ni sledila. Odstranitev povezav je omejila zgolj na zadetke, prikazane po iskanjih na podlagi domen, ustrezajočim domenskim končnicah njenega iskalnika v državah članicah. Po izteku roka iz opomina je podala dodatni predlog ”geoblokiranja,” ki se je nanašal na preprečitev možnosti dostopa iz naslova IP (internet protocol), ki ga je CNIL ocenil kot nezadostnega, zaradi česar je družbi z novo odločbo izrekel sankcijo v višini 100.000 EUR. Google LLC je s tožbo pri Conseil d’État (upravno sodišče, Francija) zahteval njeno odpravo, ker naj bi slednja temeljila na napačni razlagi določb zakona (ki je med drugim v francosko pravo prenašal 12(b). in točko (a) prvega odstavka 14. člena Direktive 95/46/ES[1]). Zatrjeval je, da pravica do odstranitve povezav[2] ne pomeni nujno potrebe po odstranitvi spornih povezav z vseh domen iskalnika brez geografske omejitve.
Conseil d’État je v zadevi zaznal resna vprašanja glede razlage Direktive 95/46/ES, zaradi česar je odločanje prekinil in na Sodišče v predhodno odločanje naslovil več vprašanj. Zanimalo ga je, ali je potrebno pravila Unije, nanašajoča se na varstvo osebnih podatkov[3] razlagati ali na način, da mora upravljavec iskalnika v primeru ugoditve zahtevi za odstranitev povezav, le-te odstraniti na vseh različicah svojega iskalnika ali na način, da jih je potrebno odstraniti zgolj na različicah iskalnika, ki ustrezajo vsem državam članicam oziroma na različici, ustrezajoči državi članici, kjer ima imetnik pravice do odstranitve povezav prebivališče.
Družba Google LLC je v postopku pred Sodiščem navedla, da je po vložitvi predloga za sprejetje predhodne odločbe uvedla nov prikaz nacionalnih različic svojega iskalnika. V okviru slednjega domena, vnesena s strani spletnega uporabnika, ne določa več nacionalne različice iskalnika, do katere le-ta dostopa, ampak pride do samodejne preusmeritve spletnega uporabnika na nacionalno različico iskalnika Google in sicer glede na kraj, iz katerega se iskanje opravlja. Skladno s tem se najdeni rezultati prikazujejo na podlagi kraja, določenega s strani družbe v procesu ”geolokalizacije”.
Sodišče uvodoma spomni, da je v preteklosti (glej sodbo Google Spain in Google z dne 13. maja 2014) že presojalo dolžnost upravljavca iskalnika. Slednji je dolžan, da z namenom spoštovanja pravic, pripadajočih posamezniku po določbah 12(b). in 14. člena Direktive 95/46/ES, s seznama zadetkov, prikazanega po iskanju opravljenem na podlagi imena osebe, odstrani povezave na spletne strani, objavljene s strani tretjih oseb, ki vsebujejo podatke, nanašajoče se na to osebo. To je potrebno tudi v primerih, ko ime ali informacije niso predhodno ali sočasno zbrisane s teh spletnih strani in tudi če je objava na navedenih straneh sama po sebi zakonita. Poleg tega je pojasnilo, da je za presojo med drugim potreben preizkus ali ima posameznik, na katerega se osebni podatki nanašajo, pravico, nanj nanašajoča informacija ni več povezana z njegovim imenom prek seznama zadetkov, prikazanih v primeru iskanja na podlagi njegovega imena. Poudarilo je, da ugotovitev obstoja take pravice hkrati tudi ni odvisna od dejstva nastajanja škode zaradi vključitve zadevne informacije na seznam zadetkov.
Nadalje sodišče pojasni, da ima posameznik že na podlagi 7. in 8. člena Listine EU o temeljnih pravicah[4] možnost zahtevati odstranitev zadevne informacije z dosega splošne javnosti in sicer prek vključitve na poseben seznam zadetkov. Gre namreč za pravice, ki imajo načeloma prednost tako nad gospodarskim interesom upravljavca kot tudi nad interesom javnosti za dostop do navedene informacije prek iskanja na podlagi imena določenega posameznika. Drugače velja za posebne primere, ko gre na primer za določene javne osebnosti. Za slednje velja, da je poseg v temeljne pravice utemeljen na prevladujočem javnem interesu.
Sodišče pojasni, da Uredba 2016/679[5] pravico posameznika, na katerega se nanašajo osebni podatki, do ostranitve spornih povezav posebej ureja v 17. členu kot ”pravico do izbrisa,” imenovano tudi ”pravica do pozabe”. Na podlagi slednjega ima posameznik pravico doseči izbris osebnih podatkov brez nepotrebnega odlašanja s strani upravljavca in sicer v primeru izpolnjenosti enega od taksativno določenih razlogov. V nadaljevanju še pojasni, da se obdelava osebnih podatkov izvaja v okviru dejavnosti poslovne enote upravljavca na ozemlju države članice, če upravljavec iskalnika v eni od držav članic ustanovi podružnico ali hčerinsko družbo, ki se ukvarja s trženjem in prodajo oglasnega prostora na iskalniku, katerega dejavnost je usmerjena k prebivalcem te države članice. V slednjem primeru so namreč dejavnosti upravljavca iskalnika in dejavnosti njegove poslovne enote v Uniji neločljivo povezane, saj so dejavnosti, nanašajoče se na oglasni prostor, sredstvo, s katerim iskalnik postane donosen in gre hkrati sredstvo, ki omogoča opravljanje teh dejavnosti, saj je prikazu zadetkov na isti strani dodan prikaz oglasov, povezanih z iskanimi izrazi. Posledično okoliščina, da iskalnik upravlja podjetje tretje države, nima učinka na njeno odgovornost.
Sodišče v odločitvi poudari, da je splet globalno omrežje brez meja, v katerem ima vsak uporabnik, ne glede na kraj, kjer se nahaja, možnost dostopa do povezav, ki napotujejo na informacije o osebi, katere središče interesov je sicer v Uniji. Slednje pa ima lahko na tako osebo takojšnje in znatne učinke znotraj Unije.
Glede na navedeno, je po mnenju Sodišča upravičena pristojnost zakonodajalca Unije za določitev obveznosti upravljavca iskalnika, da v primeru ugoditve zahtevi za odstranitev povezav, le-to odstrani z vseh različic svojega iskalnika. Kljub temu pa izpostavi zavedanje, da take pravice številne tretje države ne poznajo oziroma so njihovi pristopi k njej drugačni tako med državami članicami kot širše.
Nadalje sodniki pojasnjujejo, da pravica do varstva osebnih podatkov ni absolutna. Skladno z načelom sorazmernosti jo je potrebno obravnavati glede na njeno družbeno vlogo in jo uravnotežiti z drugimi temeljnimi pravicami.[6] Pri tem je seveda razumljivo, da je ravnotežje med pravico do spoštovanja zasebnega življenja in pravico do varstva osebnih podatkov na eni strani ter svobodo obveščanja spletnih uporabnikov na drugi strani po svetu vzpostavljeno na različne načine. Opravljajo ga nacionalni organi, ki so hkrati tudi pristojni za odreditev odstranitve povezav upravljavcu. Zakonodajalec Unije je tako ravnotežje s 17. členom Uredbe 2016/679 vzpostavil zgolj v Uniji, ne pa tudi zunaj nje. Posledica tega je ugotovitev, da upravljavec iskalnika nima obveznosti odstranitve povezav na vseh različicah svojega iskalnika, vendar pa Sodišče izpostavi, da hkrati ne obstoji določba, ki bi takšno ravnanje prepovedovala.
V zaključku Sodišče glede vprašanja potrebe po odstranitvi povezav na različicah iskalnika, ki ustrezajo vsem državam članicam ali zgolj na tisti, ki ustreza državi članici, v kateri ima upravičenec do odstranitve povezav prebivališče, ugotavlja potrebo po odstranitvi povezave na različicah iskalnika, ki ustrezajo vsem državam članicam. Hkrati s tem pa nalaga upravljalcu iskalnika tudi sprejetje učinkovitih ukrepov za zagotovitev varstva temeljnih pravic posameznika, na katerega se osebni podatki nanašajo. Slednji morajo biti sprejeti skladno z zakonskimi zahtevami in preprečevati ali vsaj resno odvračati spletne uporabnike držav članic od dostopanja do zadevnih spornih povezav na podlagi imena določenega posameznika.
Pripravila Mateja Jakša (študentka na praksi)
[1] https://eur-lex.europa.eu/legal-content/SL/TXT/HTML/?uri=CELEX:31995L0046&from=SL (25. 9. 2019).
[2] Glede slednje je Sodišče odločalo že v zadevi Google Spain in Google z dne 13. maja 2014, opr. št.: C-131/12.
[3] Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355) in Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46 (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2).
[4] https://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CELEX:12010P&from=EN (25. 9. 2019).
[5] https://eur-lex.europa.eu/legal-content/SL/TXT/HTML/?uri=CELEX:32016R0679&from=SL (25. 9. 2019).
[6] Sodišče na tem mestu napotuje na sodbo v zadevi Volker in Markus Schecke in Elfert, opr. št.: c-92/09, z dne 9. 11. 2010.