EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62012CC0131

Opinia rzecznika generalnego N. Jääskinena przedstawiona w dniu 25 czerwca 2013 r.
Google Spain SL i Google Inc. przeciwko Agencia Española de Protección de Datos (AEPD) i Mariowi Costesze Gonzálezowi.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Audiencia Nacional.
Dane osobowe – Ochrona osób fizycznych w zakresie przetwarzania tych danych – Dyrektywa 95/46/WE – Artykuły 2, 4, 12 i 14 – Przedmiotowy i terytorialny zakres stosowania – Wyszukiwarki internetowe – Przetwarzanie danych zawartych na stronach internetowych – Wyszukiwanie, indeksacja i przechowywanie tych danych – Odpowiedzialność operatora wyszukiwarki internetowej – Prowadzenie działalności gospodarczej na terenie państwa członkowskiego – Zakres obowiązków spoczywających na tym operatorze oraz praw przysługujących danej osobie – Karta praw podstawowych Unii Europejskiej – Artykuły 7 i 8.
Sprawa C-131/12.

Digital reports (Court Reports - general)

ECLI identifier: ECLI:EU:C:2013:424

OPINIA RZECZNIKA GENERALNEGO

NIILA JÄÄSKINENA

przedstawiona w dniu 25 czerwca 2013 r. ( 1 )

Sprawa C‑131/12

Google Spain SL

Google Inc.

przeciwko

Agencia Española de Protección de Datos (AEPD)

Mario Costeja González

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Audiencia Nacional (Hiszpania)]

„World Wide Web — Dane osobowe — Wyszukiwarka internetowa — Dyrektywa 95/46 w sprawie ochrony danych osobowych — Wykładnia art. 2 lit. b) i d), art. 4 ust. 1 lit. a) i c), art. 12 lit. b) i art. 14 lit. a) — Terytorialny zakres stosowania — Pojęcie prowadzenia działalności gospodarczej na terenie państwa członkowskiego — Przedmiotowy zakres stosowania — Pojęcie przetwarzania danych osobowych — Pojęcie administratora przetwarzania danych osobowych — Prawo do usunięcia i zablokowania danych — „Prawo do bycia zapomnianym” — Karta praw podstawowych Unii Europejskiej — Artykuły 7, 8, 11 i 16”

I – Wprowadzenie

1.

W 1890 r. w zamieszczonym w Harvard Law Review przełomowym artykule zatytułowanym „Prawo do prywatności” ( 2 ) Samuel D. Warren i Louis D. Brandeis ubolewali, że „najnowsze wynalazki i metody prowadzenia działalności gospodarczej” takie jak „błyskawiczne fotografie i branża gazet codziennych wtargnęły na uświęcony teren życia prywatnego i domowego”. W tym samym artykule odnieśli się do „następnego kroku, który należy powziąć celem ochrony osób”.

2.

Obecnie ochrona danych osobowych oraz prywatności jednostek nabiera coraz większego znaczenia. Wszelkie treści, w tym dane osobowe, czy to w formie tekstów, czy też materiałów audiowizualnych, mogą być natychmiast i stale udostępniane w formacie cyfrowym na całym świecie. Internet zrewolucjonizował nasze życie poprzez usunięcie barier technicznych i instytucjonalnych w rozpowszechnianiu oraz odbiorze informacji, jak również stworzył platformę dla różnych usług społeczeństwa informacyjnego. Sytuacja ta przynosi korzyści konsumentom, przedsiębiorstwom i społeczeństwu w ogólności. Jej skutkiem jest powstanie bezprecedensowych okoliczności, w których należy zachować równowagę pomiędzy różnymi prawami podstawowymi, takimi jak wolność wypowiedzi, wolność informacji oraz wolność prowadzenia działalności gospodarczej z jednej strony, a ochroną danych osobowych oraz prywatności jednostek z drugiej strony.

3.

W kontekście Internetu należy rozróżnić trzy sytuacje, które odnoszą się do danych osobowych. Pierwszą z nich jest opublikowanie elementów danych osobowych na jakiejkolwiek stronie WWW w Internecie ( 3 ) (zwanej dalej „źródłową stroną internetową”) ( 4 ). Drugą stanowi przypadek, w którym wyszukiwarka internetowa przedstawia wyniki wyszukiwania, które kierują użytkownika Internetu do źródłowej strony internetowej. Trzecie, bardziej niewidoczne działanie ma miejsce, gdy użytkownik Internetu dokonuje przeszukiwania za pomocą wyszukiwarki internetowej, a niektóre z jego danych osobowych takie jak adres IP, z którego dokonywane jest przeszukiwanie, są automatycznie przenoszone do dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej ( 5 ).

4.

Jeśli chodzi o sytuację pierwszą, Trybunał orzekł już w wyroku w sprawie Lindqvist, że dyrektywa 95/46/WE ( 6 ) (zwana dalej „dyrektywą w sprawie ochrony danych” lub „dyrektywą”) znajduje zastosowanie do niniejszej sytuacji. Sytuacja trzecia nie dotyczy niniejszego postępowania, przy czym toczą się postępowania administracyjne wszczęte przez krajowe organy ochrony danych celem wyjaśnienia zakresu zastosowania uregulowań UE w zakresie ochrony danych wobec użytkowników wyszukiwarek internetowych ( 7 ).

5.

Wniosek o wydanie orzeczenia w trybie prejudycjalnym w niniejszej sprawie dotyczy sytuacji drugiej. Złożony został przez Audiencia Nacional (sąd najwyższy Hiszpanii) w trakcie postępowania pomiędzy Google Spain SL i Google Inc. (zwanymi dalej odrębnie bądź łącznie „Google”) z jednej strony a Agencia Española de Protección de Datos (hiszpańskim organem ds. ochrony danych, zwanym dalej „AEPD”) i Mariem Costeją Gonzálezem (zwanym dalej „osobą, której dane dotyczą”) z drugiej strony. Postępowanie dotyczy stosowania dyrektywy w sprawie ochrony danych do wyszukiwarki internetowej obsługiwanej przez Google, jako dostawcę usług. W postępowaniu głównym bezsporne jest, że dane osobowe osoby, której dane dotyczą, zostały opublikowane przez hiszpańską gazetę w jej dwóch wydaniach wydrukowanych w 1998 r., przy czym oba z nich zostały ponownie opublikowane w późniejszym czasie w wersji elektronicznej udostępnionej w Internecie. Osoba, której dane dotyczą obecnie, sądzi, że informacje te nie powinny być już wyświetlane w wynikach wyszukiwania przedstawianych przez wyszukiwarkę internetową obsługiwaną przez Google, gdy wyszukiwanie wykorzystuje jego imię i nazwiska.

6.

Pytania przedłożone Trybunałowi dzielą się na trzy kategorie ( 8 ). Pierwsza grupa pytań dotyczy terytorialnego zakresu stosowania unijnych uregulowań dotyczących ochrony danych. Druga grupa dotyczy zagadnień odnoszących się do statusu prawnego dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej ( 9 ) w świetle dyrektywy, w szczególności jeśli chodzi o przedmiotowy zakres stosowania. Wreszcie pytanie trzecie dotyczy tzw. prawa do bycia zapomnianym oraz zagadnienia, czy osoby, których dane dotyczą, mogą domagać się, aby niektóre czy też wszystkie wyniki wyszukiwania ich dotyczące przestały być dostępne poprzez wyszukiwarkę. Wszystkie te pytania, które również podnoszą istotne zagadnienia dotyczące ochrony praw podstawowych, są nowe dla Trybunału.

7.

Wydaje się, że jest to pierwsza sprawa, w której wystąpiono do Trybunału o wykładnię dyrektywy w sprawie ochrony danych w kontekście wyszukiwarek internetowych. Zagadnienie to w widoczny sposób jest aktualne dla organów ochrony danych osobowych oraz sądów państw członkowskich. Sąd odsyłający wskazał bowiem, że toczy się przed nim kilka innych zbliżonych spraw.

8.

Najważniejszą dotychczas sprawą rozpatrywaną przez Trybunał, w której podniesione zostały zagadnienia ochrony danych oraz Internetu, była sprawa Lindqvist ( 10 ). Niemniej jednak sprawa ta nie dotyczyła wyszukiwarek internetowych. Wykładnia samej dyrektywy dokonywana była w szeregu spraw, spośród których szczególne znaczenie mają Österreichischer Rundfunk ( 11 ), Satakunnan Markkinapörssi i Satamedia ( 12 ) oraz Volker und Markus Schecke i Eifert ( 13 ). Rola wyszukiwarek internetowych odnośnie do praw własności intelektualnej oraz właściwości sądów była również poruszana w orzecznictwie Trybunału w sprawach Google France i Google, L’Oréal i in., Interflora i Interflora British Unit, jak również Wintersteiger ( 14 ).

9.

Już po przyjęciu dyrektywy w sprawie ochrony danych osobowych przepis dotyczący ochrony danych osobowych został włączony do art. 16 TFUE i art. 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”). Co więcej, w 2012 r. Komisja złożyła wniosek dotyczący ogólnego rozporządzenia w sprawie ochrony danych osobowych ( 15 ) celem zastąpienia dyrektywy. Niemniej jednak spór musi zostać rozstrzygnięty na podstawie prawa istniejącego.

10.

Na wniosek o wydanie w niniejszej sprawie orzeczenia w trybie prejudycjalnym wpływa okoliczność, że wniosek dotyczący dyrektywy Komisji został złożony w 1990 r., kiedy to Internet w dzisiejszym znaczeniu światowej sieci Word Wide Web nie istniał i nie było żadnych wyszukiwarek. Moment przyjęcia dyrektywy w 1995 r. przypadał na początki Internetu, kiedy to zaczęły się pojawiać pierwsze podstawowe wyszukiwarki, jednakże nikt nie mógł przewidzieć, jak bardzo zrewolucjonizuje to świat. Obecnie niemal każdą osobę dysponującą smartfonem lub komputerem można uznać za zaangażowaną w działalność internetową, do której dyrektywa w sprawie ochrony danych mogłaby potencjalnie znajdować zastosowanie.

II – Ramy prawne

A – Dyrektywa w sprawie ochrony danych

11.

Zgodnie z art. 1 dyrektywy 95/46/WE wymaga ona, aby państwa członkowskie chroniły podstawowe prawa i wolności osób fizycznych, w szczególności ich prawa do prywatności w odniesieniu do przetwarzania danych osobowych z przepisami dyrektywy.

12.

Artykuł 2 definiuje między innymi pojęcia: „dane osobowe” i „osoba, której dane dotyczą”, „przetwarzanie danych osobowych”, „administrator” przetwarzania danych osobowych oraz „osoba trzecia”.

13.

Zgodnie z art. 3 dyrektywa stosuje się do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz w niektórych sytuacjach do przetwarzania innego niż w sposób zautomatyzowany.

14.

Zgodnie z art. 4 ust. 1 dyrektywy państwo członkowskie stosuje w odniesieniu do przetwarzania danych osobowych przepisy prawa krajowego przyjmowane na mocy dyrektywy wówczas, gdy administrator danych prowadzi działalność na jego terytorium lub w przypadkach, gdy administrator danych nie prowadzi działalności gospodarczej na terytorium Unii, jeśli do celów przetwarzania danych osobowych wykorzystuje środki znajdujące się na terytorium wymienionego państwa członkowskiego.

15.

Artykuł 12 dyrektywy stanowi, że osobom, których dane dotyczą, przysługuje „prawo dostępu” do danych osobowych przetwarzanych przez administratora, natomiast na podstawie art. 14 „prawo sprzeciwu” do przetwarzania danych osobowych w niektórych sytuacjach.

16.

Artykuł 29 dyrektywy ustanawia działającą w sposób niezależny grupę roboczą o charakterze doradczym, w której skład wchodzą między innymi przedstawiciele organów nadzorczych powołanych przez każde państwo członkowskie (zwaną dalej „Grupą Roboczą Artykułu 29”).

B – Prawo krajowe

17.

Ley Orgánica 15/1999 de Protección de Datos (ustawa organiczna 15/1999 w sprawie ochrony danych osobowych) dokonała transpozycji dyrektywy do prawa hiszpańskiego ( 16 ).

III – Okoliczności faktyczne oraz pytania prejudycjalne

18.

Na początku 1998 r. gazeta szeroko rozpowszechniana w Hiszpanii opublikowała w swoim wydaniu drukowanym dwa komunikaty dotyczące licytacji nieruchomości w związku z ich zajęciem wynikającym z niespłaconych należności na rzecz zakładu ubezpieczeń społecznych. Osoba, której dane dotyczą, wymieniona była jako właściciel. W późniejszym terminie wydawca udostępnił elektroniczną wersję gazety w Internecie.

19.

W listopadzie 2009 r. osoba, której dane dotyczą, skontaktowała się z wydawcą gazety, twierdząc, że po wpisaniu jej imienia i nazwisk do wyszukiwarki Google ukazywało się odwołanie do stron gazety z ogłoszeniami dotyczącymi licytacji nieruchomości. Twierdziła ona, że zajęcie nieruchomości w związku z niespłaceniem należności na rzecz zakładu ubezpieczeń społecznych zostało zakończone i zamknięte wiele lat temu i nie przedstawiało żadnego znaczenia dla teraźniejszości. Wydawca udzielił odpowiedzi, zgodnie z którą usunięcie danych nie jest właściwe, biorąc pod uwagę fakt, że publikacja została zrealizowana na podstawie zarządzenia ministerstwa pracy i polityki społecznej.

20.

W lutym 2010 r. osoba, której dane dotyczą, zwróciła się do Google Spain z żądaniem, by wyniki wyszukiwania nie wskazywały żadnych linków do gazety po wpisaniu jej imienia i nazwisk do wyszukiwarki Google. Wniosek ten został przekazany przez Google Spain do Google Inc. (zwanego dalej „Google”), mającego siedzibę w Kalifornii (Stany Zjednoczone), w oparciu o okoliczność, iż to właśnie to ostatnie przedsiębiorstwo świadczy usługę wyszukiwania w Internecie.

21.

Następnie osoba, której dane dotyczą, złożyła skargę do AEPD, wnosząc o to, by wydawca został zobowiązany do usunięcia lub zmiany publikacji w taki sposób, by nie pojawiały się jej dane osobowe lub też, by wykorzystał narzędzia udostępniane przez wyszukiwarki internetowe do ochrony jej danych osobowych. Domagała się również zobowiązania Google Spain lub Google Inc. do usunięcia lub ukrycia jej danych osobowych w taki sposób, by nie były one ujawniane w wynikach wyszukiwania i powiązane z linkami do publikacji w gazecie.

22.

Decyzją z dnia 30 lipca 2010 r. dyrektor AEPD przychylił się do skargi wniesionej przez osobę, której dane dotyczą przeciwko Google Spain i Google Inc., zobowiązując te podmioty do przyjęcia środków niezbędnych do usunięcia danych osobowych z ich indeksów wyszukiwania i uniemożliwienia dostępu do tych danych w przyszłości. Wspomniany organ oddalił jednakże skargę przeciwko wydawcy ze względu na okoliczność, że publikacja danych w prasie była prawnie uzasadniona. Google Spain i Google Inc. wniosły dwa odwołania od tej decyzji do sądu odsyłającego, żądając uchylenia decyzji AEPD.

23.

Sąd odsyłający zawiesił postępowanie i zwrócił się do Trybunału Sprawiedliwości z następującymi pytaniami prejudycjalnymi:

„1)

Co się tyczy terytorialnego zakresu stosowania [dyrektywy] i w konsekwencji hiszpańskiego ustawodawstwa ochrony danych osobowych:

1.1.

Czy należy uznać, iż ma miejsce »działalność gospodarcza« w rozumieniu art. 4 ust. 1 lit. a) [dyrektywy], gdy zachodzi jeden lub kilka z następujących przypadków:

gdy przedsiębiorstwo będące dostawcą wyszukiwania ustanawia w danym państwie członkowskim biuro lub oddział [oddział lub spółkę zależną], których celem jest promocja i sprzedaż powierzchni reklamowych w wyszukiwarce, której działalność jest skierowana do osób zamieszkujących to państwo,

lub

gdy spółka dominująca wyznacza oddział znajdujący [spółkę zależną znajdującą] się w tym państwie członkowskim jako swojego przedstawiciela i jednocześnie jako administratora danych odpowiedzialnego za przetwarzanie dwóch określonych zbiorów, które wykazują związek z danymi klientów, którzy zamówili usługi reklamowe w rzeczonym przedsiębiorstwie,

lub

gdy biuro lub oddział [oddział lub spółka zależna] ustanowione w danym państwie członkowskim przekazują swojej spółce dominującej znajdującej się poza Unią Europejską wnioski i żądania kierowane do niej zarówno przez osoby, których dane dotyczą, jak i przez właściwe organy w związku z przestrzeganiem prawa do ochrony danych osobowych, nawet jeśli taka współpraca jest dobrowolna?

1.2.

Czy art. 4 ust. 1 lit. c) [dyrektywy] należy interpretować w ten sposób, że »wykorzyst[anie] środk[ów] znajdując[ych] się na terytorium wymienionego państwa członkowskiego« następuje w sytuacji:

gdy wyszukiwarka korzysta z robotów internetowych lub tzw. pająków, by zlokalizować i zindeksować treści stron internetowych umieszczonych na serwerach znajdujących w tym państwie członkowskim,

lub

gdy wyszukiwarka posługuje się nazwą domeny przypisaną do danego państwa członkowskiego i porządkuje wyszukiwanie i wyniki z uwzględnieniem języka tego państwa członkowskiego?

1.3.

Czy można uznać za wykorzystanie środków w rozumieniu art. 4 ust. 1 lit. c) [dyrektywy] czasowe przechowywanie informacji zindeksowanych przez wyszukiwarki internetowe? Jeżeli odpowiedź na to ostatnie pytanie będzie twierdząca, czy można uznać, iż ten łącznik występuje, gdy przedsiębiorstwo odmawia wskazania miejsca przechowywania tych indeksów, powołując się na względy konkurencyjności?

1.4.

Niezależnie od odpowiedzi na wcześniejsze pytania i w szczególności w przypadku, gdyby [Trybunał] uznał, że nie występują łączniki przewidziane w art. 4 dyrektywy:

Czy należy stosować [dyrektywę] z uwzględnieniem art. 8 [karty], w tym państwie członkowskim, w którym mieści się punkt ciężkości konfliktu, tak by umożliwić bardziej skuteczną ochronę praw obywateli Unii Europejskiej?

2)

Co się tyczy działalności wyszukiwarek internetowych jako dostawców treści w odniesieniu do [dyrektywy]:

2.1.

W związku z działalnością wyszukiwarki przedsiębiorstwa »Google« w Internecie jako dostawcy treści, która to działalność polega na zlokalizowaniu informacji opublikowanych lub zamieszczonych w sieci przez osoby trzecie, indeksowaniu ich w sposób automatyczny, czasowym przechowywaniu takich informacji i wreszcie ich udostępnianiu internautom w sposób uporządkowany zgodnie z określonymi preferencjami, w sytuacji gdy takie informacje zawierają dane osobowe osób trzecich:

Czy należy uznać opisaną powyżej działalność za »przetwarzanie danych« w rozumieniu definicji zawartej w art. 2 lit. b) [dyrektywy]?

2.2.

W przypadku gdy odpowiedź na powyższe pytanie będzie twierdząca i w związku z taką działalnością jak opisana powyżej: czy należy interpretować art. 2 lit. d) [dyrektywy] w ten sposób, że przedsiębiorstwo, które zarządza wyszukiwarką »Google«, jest »administratorem danych« osobowych zawartych na stronach internetowych indeksowanych przez tę wyszukiwarkę?

2.3.

W przypadku gdy odpowiedź na powyższe pytanie będzie twierdząca:

Czy krajowy organ ochrony danych (w tym przypadku [AEPD]), strzegąc praw zawartych w art. 12 lit. b) i art. 14 lit. a) [dyrektywy], może zażądać bezpośrednio od przedsiębiorstwa »Google«, prowadzącego wyszukiwarkę internetową, usunięcia z jego indeksów informacji opublikowanych przez osoby trzecie, bez uprzedniego lub jednoczesnego zwrócenia się z takim żądaniem do podmiotu będącego właścicielem strony internetowej, na której zamieszczona została ta informacja?

2.4.

W przypadku gdy odpowiedź na to ostatnie pytanie będzie twierdząca:

Czy odpowiedzialność podmiotów prowadzących wyszukiwarki internetowe za przestrzeganie tych praw jest wyłączona w sytuacji, gdy informacja zawierająca dane osobowe została opublikowana zgodnie z prawem przez osoby trzecie i nadal znajduje się na źródłowej stronie internetowej?

3)

Co się tyczy zakresu prawa do unieważnienia lub sprzeciwu w kontekście [»derecho al olvido«] (»prawa do bycia zapomnianym«), pojawia się następujące pytanie:

3.1.

Czy należy interpretować prawo do usunięcia i zablokowania danych ustanowione w art. 12 lit. b) oraz prawo sprzeciwu wynikające z art. 14 lit. a) [dyrektywy] jako obejmujące prawo zainteresowanego do zwracania się do wyszukiwarek w celu uniemożliwienia indeksowania dotyczącej go informacji, opublikowanej na stronach internetowych osób trzecich, a takie żądania byłyby podyktowane wolą zainteresowanego, by te informacje nie były dostępne dla internautów, gdyż uważa, że mogą mu zaszkodzić, lub też życzy sobie »być zapomnianym«, nawet jeśli dotyczy to informacji opublikowanych zgodnie z prawem przez osoby trzecie?”.

24.

Uwagi na piśmie przedstawiły Google, rządy hiszpański, grecki, włoski, austriacki i polski oraz Komisja Europejska. Z wyłączeniem rządu polskiego wszyscy uczestnicy postępowania stawili się na rozprawie w dniu 26 lutego 2013 r., podobnie jak pełnomocnik osoby, której dane dotyczą, i przedstawili stanowiska ustnie.

IV – Uwagi wstępne

A – Uwagi wprowadzające

25.

Głównym zagadnieniem w niniejszej sprawie jest to, w jaki sposób należy interpretować rolę dostawców usług wyszukiwania za pomocą wyszukiwarek internetowych w świetle istniejących instrumentów prawnych UE w dziedzinie ochrony danych, a w szczególności dyrektywy. Zatem należałoby rozpocząć od kilku uwag dotyczących rozwoju danych osobowych, Internetu oraz wyszukiwarek internetowych.

26.

W momencie negocjowania i przyjmowania dyrektywy w 1995 r. ( 17 ) nadano jej szeroki przedmiotowy zakres stosowania. Zrobiono to w celu sprostania zmianom technologicznym dotyczącym przetwarzania danych przez administratorów, które miało charakter bardziej zdecentralizowany niż systemy archiwizacji oparte o tradycyjne banki danych i obejmowało również nowe typy danych osobowych, takie jak wizerunki oraz techniki przetwarzania danych takie jak swobodne wyszukiwanie tekstów ( 18 ).

27.

W 1995 r. powszechny dostęp do Internetu był zjawiskiem nowym. Obecnie, niemal po dwudziestu latach, nastąpiła erupcja, jeśli chodzi o ilość treści w formacie cyfrowym dostępnych w Internecie. Można uzyskać do nich łatwy dostęp, zapoznawać się z nimi oraz rozpowszechniać je poprzez media społecznościowe, jak również pobierać na rozmaite nośniki takie jak tablety, smartfony i laptopy. Niemniej jednak jasne jest, że prawodawca wspólnotowy nie przewidział rozwoju Internetu we wszechstronny globalny zbiór informacji, do którego można uzyskać powszechny dostęp i który można przeszukiwać.

28.

Sednem wniosku o wydanie orzeczenia w trybie prejudycjalnym w niniejszych sprawach jest okoliczność, że Internet zwielokrotnia i ułatwia w sposób bezprecedensowy rozpowszechnianie informacji ( 19 ). Podobnie jak wynalezienie druku w XV w. umożliwiło reprodukcję nieograniczonej ilości egzemplarzy, które wcześniej trzeba było przepisywać ręcznie, umieszczenie materiałów w Internecie umożliwia masowy dostęp do informacji, które wcześniej prawdopodobnie można było uzyskać wyłącznie po mozolnych poszukiwaniach w ograniczonych fizycznie miejscach. Powszechny dostęp do informacji znajdujących się w Internecie jest możliwy wszędzie, z wyłączeniem tych państw, w których władze ograniczyły, za pomocą różnych środków technicznych (takich jak elektroniczne blokady) dostęp do Internetu lub w których dostęp do usług telekomunikacyjnych jest kontrolowany bądź rzadki.

29.

Z uwagi na te uwarunkowania potencjalny zakres stosowania dyrektywy we współczesnym świecie stał się zaskakująco szeroki. Wyobraźmy sobie profesora prawa europejskiego, który pobrał ze strony internetowej Trybunału niezbędne orzecznictwo na swój komputer przenośny. W rozumieniu dyrektywy profesora można by uznać za „administratora” danych osobowych pochodzących od osób trzecich. Profesor posiada pliki, zawierające dane osobowe, które są automatycznie przetwarzane w celu wyszukiwania oraz konsultowania w kontekście działalności, która nie jest całkowicie osobista, czy też związana z gospodarstwem domowym. W istocie obecnie każda osoba czytająca gazetę na tablecie lub śledząca media społecznościowe na smartfonie wydaje się zaangażowana w przetwarzanie danych osobowych za pomocą środków automatycznych i potencjalnie mogłaby być objęta zakresem dyrektywy w zakresie, w jakim ma to miejsce poza wymiarem ściśle prywatnym ( 20 ). Ponadto wykładnia rozszerzająca nadana przez Trybunał prawu podstawowemu do prywatności w kontekście ochrony danych osobowych wydaje się poddawać wszelką komunikację ludzką z wykorzystaniem środków elektronicznych kontroli poprzez odwołanie się do tego prawa.

30.

W obecnym stanie rzeczy szerokie definicje danych osobowych, przetwarzania danych osobowych oraz administratora danych mogą objąć bezprecedensowo szeroki zakres nowych okoliczności faktycznych ze względu na rozwój technologiczny. Jest tak dlatego, że wiele, jeśli nie większość, stron internetowych i plików dostępnych dzięki nim zawiera dane osobowe, takie jak nazwiska żyjących osób fizycznych. Zobowiązuje to Trybunał do zastosowania reguły rozsądku, innymi słowy – zasady proporcjonalności, przy interpretowaniu zakresu dyrektywy celem uniknięcia nieuzasadnionych i nadmiernych skutków prawnych. Takie umiarkowane podejście zastosowane już zostało przez Trybunał w sprawie Lindqvist, w którym odrzucił on wykładnię, która mogłaby doprowadzić do nadmiernie szerokiego zastosowania art. 25 dyrektywy dotyczącego przekazywania danych osobowych do państw trzecich w kontekście Internetu ( 21 ).

31.

W związku z tym w niniejszej sprawie niezbędne będzie prawidłowe, zasadne i proporcjonalne wyważenie pomiędzy ochroną danych osobowych, spójną wykładnią celów społeczeństwa informacyjnego i uzasadnionymi interesami podmiotów gospodarczych i szeroko rozumianych internautów. Choć dyrektywa nie została zmieniona od jej przyjęcia w 1995 r., stosowanie jej do nowej sytuacji było nieuniknione. Jest to złożona dziedzina, w której spotykają się prawo oraz nowa technologia. Opinie przyjęte przez Grupę Roboczą Artykułu 29 dostarczają niezwykle pomocnej analizy w tym względzie ( 22 ).

B – Wyszukiwarki internetowe oraz ochrona danych

32.

Przy dokonywaniu analizy sytuacji prawnej dotyczącej wyszukiwarki internetowej w odniesieniu do uregulowań dotyczących ochrony danych odnotować należy następujące elementy ( 23 ).

33.

Po pierwsze, w swojej formie podstawowej wyszukiwarka internetowa nie tworzy, co do zasady, nowych autonomicznych treści. W najprostszej postaci wskazuje jedynie, gdzie można znaleźć już istniejącą treść udostępnioną przez osoby trzecie w Internecie poprzez podanie hiperłącza do strony zawierającej wyszukiwane terminy.

34.

Po drugie, wyniki wyszukiwania wyświetlane przez wyszukiwarki internetowe nie są oparte na bezpośrednim przeszukiwaniu całej sieci, ale zbierane są z treści uprzednio przetworzonych przez wyszukiwarkę internetową. Oznacza to, że wyszukiwarka internetowa pozyskała treści z istniejących stron internetowych oraz skopiowała, przeanalizowała i zindeksowała te treści na swoich własnych urządzeniach. Takie wyszukane treści zawierają dane osobowe, jeśli zawierają je którekolwiek ze stron źródłowych.

35.

Po trzecie, aby ułatwić użytkownikowi korzystanie z wyników wyszukiwania, wyszukiwarki internetowe często wyświetlają dodatkowe treści wraz z linkiem do oryginalnej strony. Mogą być to fragmenty tekstów, treści audiowizualne lub nawet migawki źródłowych stron internetowych. Takie informacje, do których dostępny jest podgląd, mogą być przynajmniej w części pobierane z urządzeń dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej, a nie bezpośrednio ze strony oryginalnej. Oznacza to, że usługodawca w istocie posiada informacje w ten sposób wyświetlane.

C – Uregulowanie zagadnienia wyszukiwarek internetowych

36.

Unia Europejska przywiązuje ogromną wagę do rozwoju społeczeństwa informacyjnego. W kontekście tym poświęcono uwagę również pośrednikom społeczeństwa informacyjnego. Działalność takich pośredników polega na budowie pomostu pomiędzy dostawcami treści a użytkownikami Internetu. Szczególna rola pośredników została uznana przykładowo w dyrektywie (motyw 47), w dyrektywie o handlu elektronicznym ( 24 ) (art. 21 ust. 2 oraz motyw 18), jak również w opinii 1/2008 Grupy Roboczej Artykułu 29. Rola dostawców usług internetowych została uznana za kluczową dla społeczeństwa informacyjnego, a ich odpowiedzialność za treści osób trzecich, które dostawcy ci przekazują lub przechowują, została ograniczona w celu usprawnienia ich zgodnych z prawem działań.

37.

Rola oraz sytuacja prawna dostawców usług wyszukiwania za pomocą wyszukiwarek internetowych nie została uregulowana w sposób bezpośredni w prawodawstwie UE. Jako „usługi udostępniania narzędzi lokalizacji informacji” są „świadczone na odległość drogą elektroniczną oraz na indywidualny wniosek odbiorcy usług” i w ten sposób odpowiadają usługom społeczeństwa informacyjnego polegającym na udostępnieniu narzędzi pozwalających na wyszukiwanie, dostęp i pobieranie danych. Niemniej jednak wydaje się, że dostawcy usług wyszukiwania za pomocą wyszukiwarek tacy jak Google, którzy nie świadczą swoich usług za wynagrodzeniem od internautów, znajdują się poza zakresem stosowania dyrektywy o handlu elektronicznym ( 25 ).

38.

Pomimo to konieczne jest przeanalizowanie ich sytuacji w świetle zasad prawnych leżących u podstaw ograniczeń odpowiedzialności dostawców usług internetowych. Innymi słowy, do jakiego stopnia czynności dokonywane przez dostawcę usług wyszukiwania za pomocą wyszukiwarki internetowej są analogicznie, z punktu widzenia zasad odpowiedzialności, do usług wymienionych w dyrektywie o handlu elektronicznym (zwykłe przekazanie, caching, hosting), czy usług transmisyjnych wspomnianych w motywie 47 dyrektywy oraz w jakim stopniu dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej działa w charakterze dostawcy treści w ramach przysługującego mu prawa.

D – Rola i odpowiedzialność wydawców źródłowych stron internetowych

39.

Trybunał orzekł w wyroku w sprawie Lindqvist, że „operację polegającą na zamieszczeniu danych osobowych na stronie internetowej należy uznać za […] przetwarzanie [danych osobowych]” ( 26 ). Co więcej, „zamieszczenie tych informacji na stronie internetowej wymaga, według aktualnie stosowanych procedur technicznych i informatycznych, załadowania tej strony na serwer oraz przeprowadzenia niezbędnych operacji, które uczynią tę stronę dostępną dla osób, które mają połączenie z Internetem. Operacje te są realizowane, przynajmniej częściowo, w sposób zautomatyzowany”. Trybunał podsumował, że „operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków […] stanowi »przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany« w rozumieniu art. 3 ust. 1 dyrektywy 95/46”.

40.

Z powyższych ustaleń w sprawie Lindqvist wynika, że wydawca źródłowych stron internetowych zawierających dane osobowe jest administratorem przetwarzania danych osobowych w rozumieniu dyrektywy. W związku z tym statusem wydawcę wiążą wszystkie obowiązki, które dyrektywa nakłada na administratorów danych.

41.

Źródłowe strony internetowe przechowywane są na serwerach podłączonych do Internetu. Wydawca źródłowych stron internetowych może zastosować „kody wyłączenia” ( 27 ) do obsługi wyszukiwarek internetowych. Kody wyłączenia polecają wyszukiwarkom internetowym zaniechanie indeksowania czy też zaniechanie przechowywania źródłowej strony internetowej oraz niewyświetlanie jej w ramach wyników wyszukiwania ( 28 ). Zastosowanie ich świadczy o tym, że wydawca nie życzy sobie, aby niektóre informacje zawarte na źródłowej stronie internetowej były pobierane za pomocą wyszukiwarek internetowych w celu rozpowszechniania.

42.

W związku z tym technicznie wydawca ma możliwość zamieszczenia na swoich stronach internetowych kodów wyłączenia ograniczających indeksowanie i archiwizowanie strony, tym samym zwiększając ochronę danych osobowych. W skrajnych przypadkach wydawca może usunąć stronę z serwera, opublikować ją bez kontrowersyjnych danych osobowych oraz zażądać aktualizacji strony znajdującej się w pamięci podręcznej wyszukiwarek.

43.

Zatem osoba, która publikuje treść źródłowej strony internetowej, występuje w charakterze administratora danych odpowiadającego za dane osobowe opublikowane na stronie i osoba ta dysponuje różnymi środkami celem wypełnienia swoich zobowiązań w tym względzie. Takie skanalizowanie odpowiedzialności prawnej jest zgodne z ustalonymi zasadami odpowiedzialności wydawcy w kontekście tradycyjnych nośników ( 29 ).

44.

Niemniej jednak odpowiedzialność wydawcy nie daje gwarancji, że problemy dotyczące ochrony danych można rozwiązać ostatecznie wyłącznie poprzez odwołanie się do administratorów źródłowych stron internetowych. Jak wskazał sąd odsyłający, możliwe jest, że te same dane osobowe zostały opublikowane na niezliczonych stronach, co mogłoby utrudnić lub wręcz uniemożliwić śledzenie i kontaktowanie się ze wszystkimi istotnymi wydawcami. Co więcej, wydawca mógłby znajdować się w państwie trzecim, a przedmiotowe strony internetowe mogłyby nie wchodzić w zakres stosowania uregulowań UE dotyczących ochrony danych osobowych. Mogłyby również wystąpić przeszkody prawne takie jak w niniejszej sprawie, gdy zachowanie oryginalnej publikacji w Internecie zostało uznane za zgodne z prawem.

45.

W istocie, powszechny dostęp do informacji znajdujących się w Internecie opiera się na wyszukiwarkach, ponieważ znalezienie odpowiednich informacji bez nich byłoby zbyt złożone i skomplikowane oraz dawałoby ograniczone wyniki. Jak słusznie zauważył sąd odsyłający, zdobycie informacji na temat ogłoszeń dotyczących sprzedaży przymusowej mienia osoby, której dane dotyczą, dawniej wymagałoby odwiedzenia archiwum gazety. Obecnie informacje te można uzyskać poprzez wpisanie nazwiska takiej osoby do wyszukiwarki internetowej, co znacznie zwiększa efektywność rozpowszechniania takich danych, a jednocześnie uciążliwość dla osoby, której dane dotyczą. Wyszukiwarki internetowe mogą być wykorzystywane do szeroko zakrojonego profilowania osób poprzez wyszukiwanie i zbieranie ich danych osobowych. Niemniej jednak obawa dotycząca profilowania osób stanowiła inspirację dla rozwoju nowoczesnych przepisów dotyczących ochrony danych ( 30 ).

46.

Z tych względów istotne jest zbadanie odpowiedzialności dostawców usług wyszukiwania za pomocą wyszukiwarek internetowych odnośnie do danych osobowych publikowanych na źródłowych stronach internetowych osób trzecich, które są dostępne za pośrednictwem ich wyszukiwarek. Innymi słowy, Trybunał stoi tu w obliczu zagadnienia „odpowiedzialności wtórnej” tej kategorii usługodawców społeczeństwa informacyjnego analogicznej do tej, jaka była przedmiotem jego orzecznictwa w zakresie znaków towarowych i rynków elektronicznych ( 31 ).

E – Działalność dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej

47.

Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej może prowadzić różnorodną działalność. Charakter i ocena tych działań z punktu widzenia ochrony danych osobowych mogą być odmienne.

48.

Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej może automatycznie pozyskiwać dane osobowe dotyczące swoich użytkowników ( 32 ), to znaczy osób, które wprowadzają określone terminy do wyszukiwarki. Te automatycznie przesyłane dane mogą zawierać ich adres IP, preferencje użytkownika (język itd.) oraz oczywiście same wyszukiwane hasła, które w przypadku tak zwanych wyszukań „vanity search” (tzn. wyszukiwań dokonywanych przez użytkownika w swoim własnym imieniu) z łatwością ujawniają tożsamość użytkowników. Co więcej, w przypadku osób, które posiadają konta użytkownika i które w ten sposób dokonały rejestracji, dane osobowe takie jak nazwisko, adres poczty elektronicznej czy numer telefonu, niemal zawsze trafiają do dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej.

49.

Dochody dostawcy wyszukiwania za pomocą wyszukiwarki internetowej nie pochodzą od użytkowników, którzy wpisują szukane hasła do wyszukiwarki, ale od reklamodawców, którzy kupują szukane hasła jako słowa kluczowe, w celu wyświetlania swoich reklam równocześnie z wynikami wyszukiwania za pomocą danego słowa kluczowego ( 33 ). To oczywiste, że dane osobowe dotyczące klientów będących reklamodawcami znajdują się w posiadaniu dostawcy usług.

50.

Jednakże odesłanie prejudycjalne w niniejszej sprawie dotyczy Google działającego w charakterze dostawcy usługi prostej wyszukiwarki odnośnie do danych, w tym danych osobowych, opublikowanych w Internecie na źródłowych stronach internetowych osób trzecich oraz przetworzonych i zindeksowanych przez wyszukiwarkę Google. W związku z tym problemy użytkowników i klientów będących reklamodawcami, do których danych bez wątpienia dyrektywa znajduje zastosowanie w odniesieniu do ich związku z Google, nie mają wpływu na analizę drugiej grupy pytań prejudycjalnych. Jednakże biorąc pod uwagę zagadnienia jurysdykcji w ramach pierwszej grupy pytań prejudycjalnych, te grupy klientów mogą mieć znaczenie.

V – Pierwsza grupa pytań dotyczących terytorialnego zakresu stosowania dyrektywy

A – Wprowadzenie

51.

Pierwsza grupa pytań prejudycjalnych dotyczy wykładni art. 4 dyrektywy w świetle kryteriów określania terytorialnego zakresu stosowania krajowych przepisów implementujących.

52.

Sąd odsyłający podzielił swoje pytania prejudycjalne dotyczące terytorialnego stosowania hiszpańskiego prawa dotyczącego ochrony danych na cztery pytania cząstkowe. Pierwsze pytanie cząstkowe dotyczy pojęcia „działalność gospodarcza” w rozumieniu art. 4 ust. 1 lit. a) dyrektywy, natomiast drugie – okoliczności, w których administrator „wykorzystuje środki […] znajdujące się na terytorium wymienionego państwa członkowskiego” w rozumieniu art. 4 ust. 1 lit. c) dyrektywy. Trzecie pytanie cząstkowe podnosi zagadnienie, czy możliwe jest uznanie za wykorzystanie środków tymczasowego przechowywania informacji zindeksowanych przez wyszukiwarki internetowe, a w przypadku odpowiedzi twierdzącej na powyższe pytanie, czy obecność tego łącznika można domniemywać w przypadku, gdy przedsiębiorstwo odmawia ujawnienia miejsca przechowywania tych indeksów. Czwarte pytanie cząstkowe dotyczy tego, czy przepisy implementujące dyrektywę muszą znajdować zastosowanie, w świetle art. 8 karty, w państwie członkowskim, w którym znajduje się punkt ciężkości sporu i w którym możliwa jest bardziej skuteczna ochrona praw obywateli Unii Europejskiej.

53.

W pierwszej kolejności zajmę się ostatnim pytaniem cząstkowym, które przedłożył sąd krajowy „niezależnie od odpowiedzi na wcześniejsze pytania i w szczególności w przypadku, gdyby [Trybunał] uznał, że nie występują łączniki przewidziane w art. 4 dyrektywy”.

B – Sam geograficzny punkt ciężkości sporu nie wystarczy, aby umożliwić stosowanie dyrektywy

54.

Artykuł 51 ust. 2 karty stanowi, że karta nie rozszerza zakresu zastosowania prawa Unii poza kompetencje Unii, nie ustanawia nowych kompetencji ani zadań Unii, ani też nie zmienia kompetencji i zadań określonych w traktatach ( 34 ). Zasada ta znajduje również zastosowanie do art. 8 karty dotyczącego ochrony danych osobowych. W związku z tym wykładnia dyrektywy zgodna z kartą nie może dodawać żadnych nowych elementów, które mogłyby spowodować terytorialne stosowanie przepisów krajowych dokonujących transpozycji dyrektywy, do postanowień zawartych w art. 4 ust. 1 dyrektywy. Oczywiście przy dokonywaniu wykładni pojęć zastosowanych w art. 4 ust. 1 dyrektywy należy wziąć pod uwagę art. 8 karty, ale łączniki zdefiniowane przez prawodawcę UE nie mogą być uzupełniane całkowicie nowym kryterium opartym na tym prawie podstawowym ( 35 ).

55.

Grupa Robocza Artykułu 29 słusznie podkreśliła, że terytorialny zakres stosowania dyrektywy oraz krajowych przepisów implementujących jest wyznaczany albo przez miejsce prowadzenia działalności gospodarczej administratora danych, albo przez położenie wykorzystywanych środków, w przypadku, gdy administrator ma siedzibę poza EOG. Obywatelstwo lub stałe miejsce zamieszkania osób, których dotyczą dane, nie ma charakteru rozstrzygającego, podobnie jak fizyczne położenie danych osobowych ( 36 ).

56.

Grupa Robocza Artykułu 29 zaproponowała możliwość odpowiedniego zakreślania w przyszłym ustawodawstwie grupy docelowej jednostek w przypadku administratorów danych nieposiadających siedziby w Unii Europejskiej ( 37 ). We wniosku Komisji dotyczącym ogólnego rozporządzenia w sprawie ochrony danych (2012) ( 38 ) oferowanie towarów lub usług osobom, których dane dotyczą, zamieszkałym na terenie Unii Europejskiej stanowiłoby czynnik zastosowania prawa UE w zakresie ochrony danych do administratorów z państw trzecich. Takie podejście wiążące terytorialne stosowanie prawa UE z grupą użytkowników docelowych jest zgodne z orzecznictwem Trybunału w przedmiocie stosowania dyrektywy 2000/31 ( 39 ), rozporządzenia 44/2001 ( 40 ) oraz dyrektywy 2001/29 ( 41 ) do sytuacji transgranicznych.

57.

Natomiast jeśli chodzi o kryterium grupy docelowej, w niniejszej sprawie hiszpańscy użytkownicy wyszukiwarki Google, w oczach których reputacja podmiotu, którego dane dotyczą, mogłaby ponieść uszczerbek w wyniku ogłoszeń stanowiących przedmiot sporu, nie wydaje się czynnikiem uruchamiającym stosowanie terytorialne dyrektywy oraz krajowych przepisów implementujących ją.

58.

W związku z tym punktu ciężkości sporu w Hiszpanii nie można dodać do kryteriów ustalonych w art. 4 ust. 1 dyrektywy, która moim zdaniem w pełni harmonizuje terytorialny zakres stosowania przepisów państw członkowskich w sprawie ochrony danych. Wniosek ten znajduje zastosowanie niezależnie od tego, czy taki punkt ciężkości stanowi miejsce zamieszkania danej osoby, której dane dotyczą, położenie spornych danych osobowych na stronie internetowej gazety, czy też okoliczność, że strona internetowa Google Spain skierowana była w szczególności do odbiorców hiszpańskich ( 42 ).

59.

Z podanych powodów proponuję, aby w przypadku uznania przez Trybunał za konieczne udzielenia odpowiedzi na to pytanie udzielił on odpowiedzi przeczącej na czwarte pytanie cząstkowe.

C – Zastosowanie kryterium „prowadzenia działalności gospodarczej w UE” do dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej z państwa trzeciego

60.

Zgodnie z art. 4 ust. 1 dyrektywy głównym czynnikiem, który powoduje terytorialne stosowanie krajowych przepisów o ochronie danych osobowych, jest przetwarzanie danych osobowych, dokonywane w kontekście prowadzenia przez administratora danej działalności gospodarczej na terytorium państwa członkowskiego. Co więcej, gdy administrator nie prowadzi działalności gospodarczej na terytorium Unii Europejskiej, ale do celów przetwarzania danych wykorzystuje środki ( 43 ) znajdujące się na terytorium wymienionego państwa członkowskiego, o ile środki te nie są wykorzystywane wyłącznie do celów tranzytu przez terytorium Unii Europejskiej, wówczas przepisy tego państwa członkowskiego znajdują zastosowanie.

61.

Jak wspomniano powyżej, dyrektywa oraz jej art. 4 zostały przyjęte, zanim pojawiło się świadczenie usług internetowych na szeroką skalę. Co więcej, w tym względzie jej brzmienie nie jest spójne i kompletne ( 44 ). Nic dziwnego, że specjaliści ds. ochrony danych mieli spore trudności z zinterpretowaniem jej w odniesieniu do Internetu. Okoliczności faktyczne niniejszej sprawy ilustrują te problemy.

62.

Google Inc. jest spółką kalifornijską posiadającą spółki zależne w różnych państwach członkowskich UE. Jej działalność europejska do pewnego stopnia koordynowana jest przez jej irlandzką spółkę zależną. Obecnie posiada centra danych co najmniej w Belgii i Finlandii. Informacje na temat dokładnego położenia geograficznego funkcji dotyczących jej wyszukiwarki nie są powszechnie dostępne. Google twierdzi, że w Hiszpanii nie odbywa się żadne przetwarzanie danych osobowych pozostające w związku z jej wyszukiwarką. Google Spain działa jako przedstawiciel handlowy Google w zakresie działalności reklamowej. W tym charakterze przejęła odpowiedzialność za przetwarzanie danych osobowych dotyczących jej hiszpańskich klientów będących reklamodawcami. Google zaprzecza, jakoby jej wyszukiwarka dokonywała jakichkolwiek operacji na serwerach źródłowych stron internetowych lub gromadziła informacje niezarejestrowanych użytkowników wyszukiwarki za pomocą plików cookie.

63.

W tym kontekście faktycznym brzmienie art. 4 ust. 1 dyrektywy nie jest bardzo pomocne. Google posiada szereg ośrodków działalności gospodarczej na terytorium Unii Europejskiej. Powyższa okoliczność, zgodnie z wykładnią językową, wyłącza stosowanie przesłanki środków ustanowionej w art. 4 ust. 1 lit. c) dyrektywy. Z drugiej strony nie jest jasne, w jakim stopniu i gdzie odbywa się przetwarzanie danych osobowych osób, których dane dotyczą, zamieszkujących w UE w kontekście europejskich podmiotów zależnych Google.

64.

Moim zdaniem Trybunał powinien podejść do zagadnienia stosowania terytorialnego z perspektywy modelu biznesowego dostawców usługi wyszukiwania za pomocą wyszukiwarek internetowych. Jak już wspomniałem, opiera się on zazwyczaj na reklamie kontekstowej, co stanowi źródło dochodu i w związku z tym uzasadnienie ekonomiczne dla bezpłatnego udostępniania narzędzia lokalizacji informacji w formie wyszukiwarki. Podmiot odpowiadający za reklamę kontekstową w wyszukiwarkach (zwany w orzecznictwie Trybunału „podmiotem świadczącym usługę odsyłania” ( 45 )) jest powiązany z wyszukiwarką. Podmiot ten musi być obecny na krajowych rynkach reklamy. Z tego powodu Google utworzyło spółki zależne w wielu państwach członkowskich, które wyraźnie prowadzą działalność gospodarczą w rozumieniu art. 4 ust. 1 lit. a) dyrektywy. Udostępniło również krajowe domeny internetowe takie jak google.es czy też google.fi. Działanie wyszukiwarki uwzględnia takie zróżnicowanie krajowe w różny sposób w odniesieniu do wyświetlania wyników wyszukiwania, ponieważ tradycyjny model finansowy reklamy kontekstowej kieruje się zasadą „płatność-za-kliknięcie” ( 46 ).

65.

Z tej przyczyny przychyliłbym się do wniosku Grupy Roboczej Artykułu 29, zgodnie z którym to wnioskiem należy uwzględnić model biznesowy dostawcy wyszukiwania za pomocą wyszukiwarki internetowej w tym sensie, że jego działalność odgrywa istotną rolę w przetwarzaniu danych osobowych, jeśli jest związana z usługą polegającą na sprzedaży ukierunkowanych reklam mieszkańcom danego państwa członkowskiego ( 47 ).

66.

Ponadto, nawet jeśli z punktu widzenia jego przepisów materialnych art. 4 dyrektywy opiera się na jednolitym pojęciu administratora, sądzę, że dla celów rozstrzygnięcia w przedmiocie wstępnego zagadnienia stosowania terytorialnego podmiot gospodarczy należy uznać za pojedynczą jednostkę, a zatem na tym etapie analizy nie należy dokonywać jego rozbicia w oparciu o jego poszczególne działania dotyczące przetwarzania danych osobowych lub stosownie do różnych grup osób, których dane dotyczą, będących adresatami tych działań.

67.

Podsumowując, przetwarzanie danych osobowych odbywa się w kontekście działalności gospodarczej administratora, jeśli działalność ta stanowi pomost dla usługi odsyłania do rynku reklamowego tego państwa członkowskiego, nawet jeśli operacje techniczne przetwarzania danych osobowych mają miejsce w innych państwach członkowskich lub państwach trzecich.

68.

Z tego powodu proponuję, aby Trybunał udzielił odpowiedzi na pierwszą grupę pytań prejudycjalnych w ten sposób, że przetwarzanie danych osobowych odbywa się w kontekście „działalności gospodarczej” administratora danych w rozumieniu art. 4 ust. 1 lit. a) dyrektywy, gdy przedsiębiorstwo udostępniające wyszukiwarkę ustanawia w danym państwie członkowskim, dla celów promowania i sprzedaży powierzchni reklamowych w wyszukiwarce internetowej, oddział lub spółkę zależną, których działalność skierowana jest do osób mieszkających w tym państwie.

VI – Druga grupa pytań dotyczących przedmiotowego zakresu stosowania dyrektywy

69.

Druga grupa pytań odnosi się do sytuacji prawnej dostawcy usługi wyszukiwania za pomocą wyszukiwarki internetowej oferującego dostęp do wyszukiwarki internetowej w świetle przepisów dyrektywy. Sąd krajowy sformułował je jako dotyczące pojęć „przetwarzania” danych osobowych (pytanie 2.1) i „administratora” (pytanie 2.2), kompetencji krajowych organów ds. ochrony danych osobowych w zakresie wydawania nakazów bezpośrednio dostawcy wyszukiwania za pomocą wyszukiwarki internetowej (pytanie 2.3) oraz ewentualnego wyłączenia ochrony danych osobowych przez dostawcę usług wyszukiwania za pomocą wyszukiwarki internetowej w zakresie informacji zgodnie z prawem opublikowanych w Internecie przez osoby trzecie (pytanie 2.4). Ostatnie dwa pytania cząstkowe są istotne wyłącznie, jeśli dostawcę usług wyszukiwania za pomocą wyszukiwarki internetowej uznać można za przetwarzającego dane osobowe na źródłowych stronach internetowych osób trzecich oraz za ich administratora.

A – Przetwarzanie danych osobowych przez wyszukiwarkę internetową

70.

Pierwsze pytanie cząstkowe w tej grupie dotyczy stosowania pojęć „dane osobowe” i ich „przetwarzanie” do dostawcy usługi wyszukiwania za pomocą wyszukiwarki internetowej, takiego jak Google, zakładając, że nie ma tu mowy o danych osobowych użytkowników lub reklamodawców, ale o danych osobowych opublikowanych na źródłowych stronach internetowych osób trzecich oraz przetworzonych przez wyszukiwarkę prowadzoną przez usługodawcę. Sąd krajowy określa to przetwarzanie jako polegające na zlokalizowaniu informacji opublikowanych lub umieszczonych w Internecie przez osoby trzecie, ich automatyczne indeksowanie, czasowe przechowywanie oraz wreszcie udostępnianie ich użytkownikom Internetu zgodnie z określoną kolejnością preferencji.

71.

Moim zdaniem odpowiedź twierdząca na niniejsze pytanie cząstkowe nie wymaga szerszego omówienia. W dyrektywie pojęciu danych osobowych przypisano szeroką definicję, która została wykorzystana przez Grupę Roboczą Artykułu 29, a potwierdzona przez Trybunał ( 48 ).

72.

Co się tyczy „przetwarzania”, źródłowe strony internetowe mogą zawierać i często zawierają nazwy, wizerunki, adresy, numery telefonów, opisy oraz inne oznaczenia, za pomocą których można zidentyfikować osobę fizyczną. Okoliczność, że ich charakter, jako danych osobowych, pozostawałby „nieznany” dla dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej, którego wyszukiwarka działa bez żadnego udziału czynnika ludzkiego przy zbieraniu, indeksowaniu i wyświetlaniu danych dla celów wyszukiwania, nie zmienia tego stwierdzenia ( 49 ). To samo odnosi się do okoliczności, że obecność danych osobowych na źródłowych stronach internetowych ma w pewnym sensie charakter losowy dla dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej, ponieważ dla niego, a ściślej rzecz ujmując, dla funkcji wyszukiwarki polegających na pobieraniu, analizowaniu i indeksowaniu nakierowanych na wszystkie dostępne strony w Internecie może nie występować żadna różnica techniczna bądź operacyjna pomiędzy stroną źródłową w sieci zawierającą dane osobowe a inną stroną niezawierającą takich danych ( 50 ). Moim zdaniem okoliczności te powinny jednak mieć wpływ na wykładnię pojęcia „administrator danych”.

73.

Funkcja tzw. pająka wyszukiwarki Google zwana „googlebot” nieustannie i systematycznie przeszukuje Internet i przechodząc z jednej strony źródłowej do innej za pomocą hiperłącz pomiędzy stronami, zwraca się do odwiedzanych witryn o przesłanie odwiedzonej strony ( 51 ). Kopie takich stron źródłowych są analizowane za pomocą funkcji indeksowania Google. Ciągi znaków (słowa kluczowe, wyszukiwane hasła) znajdowane na stronach są zapisywane w indeksie wyszukiwarki ( 52 ). Opracowany algorytm wyszukiwania Google dokonuje również oceny trafności wyników wyszukiwania. Kombinacje tych słów kluczowych przy użyciu adresów URL, na których można je znaleźć, tworzą indeks wyszukiwarki. Wyszukiwania inicjowane przez użytkowników odbywają się w ramach indeksu. Dla celów indeksowania i wyświetlania wyników wyszukiwania kopia stron zapisywana jest w pamięci podręcznej wyszukiwarki ( 53 ).

74.

Kopie przeszukiwanych źródłowych stron internetowych, przechowywane w pamięci podręcznej, mogą być wyświetlane po dokonaniu wyszukiwania przez użytkownika. Jednakże użytkownik może uzyskać dostęp do oryginalnej strony, jeśli na przykład stara się wyświetlić zdjęcia znajdujące się na stronie internetowej. Pamięć podręczna jest często aktualizowana, ale mogą zaistnieć sytuacje, w których strona wyświetlana przez wyszukiwarkę nie odpowiada źródłowym stronom internetowym znajdującym się na serwerze z powodu zmian do niej wprowadzonych lub jej usunięcia ( 54 ).

75.

Oczywiste jest, że operacje opisane w poprzednich punktach oznaczają przetwarzanie danych osobowych na internetowej stronie źródłowej – kopiowanej, indeksowanej, przechowywanej w pamięci podręcznej oraz wyświetlanej przez wyszukiwarki. W szczególności wiążą się one z gromadzeniem, zapisywaniem, organizowaniem i przechowywaniem takich danych osobowych i mogą wiązać się z ich wykorzystywaniem, ujawnianiem przez transmisję, rozpowszechnianiem oraz innym udostępnianiem i łączeniem danych osobowych w rozumieniu art. 2 lit. b) dyrektywy.

B – Pojęcie administratora danych

76.

Administrator danych ( 55 ) oznacza zgodnie z art. 2 lit. d) dyrektywy „osobę fizyczną lub prawną, […] któr[a] samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych”. Moim zdaniem głównym problemem niniejszej sprawy jest to, czy oraz do jakiego stopnia dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej objęty jest powyższą definicją.

77.

Wszystkie strony poza Google oraz rządem greckim proponują udzielenie odpowiedzi twierdzącej na niniejsze pytanie, co łatwo da się obronić, jako logiczny wniosek wykładni językowej, a być może nawet i celowościowej dyrektywy, biorąc pod uwagę, że podstawowe definicje dyrektywy zostały sformułowane w sposób obszerny w celu objęcia nowych rozwiązań. Jednakże moim zdaniem takie podejście stanowiłoby metodę całkowicie niebiorącą pod uwagę okoliczności, że kiedy dyrektywa była redagowana, nie było możliwości uwzględnienia pojawienia się Internetu, a także związanych z nim różnych nowych zjawisk.

78.

W momencie przyjmowania dyrektywy sieć World Wide Web dopiero stawała się rzeczywistością, a wyszukiwarki znajdowały się w fazie początkowej. Przepisy dyrektywy nie uwzględniają okoliczności, że ogromne ilości, zamieszczanych w sposób rozproszony, dokumentów elektronicznych i plików dostępne są z dowolnego miejsca na świecie oraz że ich treść może być kopiowana i analizowana, jak również rozpowszechniana przez osoby niemające żadnego związku z autorami, lub osoby, które umieściły je na serwerze podłączonym do Internetu.

79.

Pragnę przypomnieć, że w wyroku w sprawie Lindqvist Trybunał nie przychylił się do maksymalistycznego podejścia zaproponowanego przez Komisję odnośnie do wykładni pojęcia przekazywania danych do państw trzecich. Trybunał orzekł: „[j]eśli uwzględnić z jednej strony stan rozwoju Internetu w okresie trwania prac nad dyrektywą 95/46 i z drugiej strony brak określenia w jej rozdziale IV kryteriów mających zastosowanie do korzystania z Internetu, to nie można przypisać prawodawcy wspólnotowemu zamiaru objęcia w przyszłości pojęciem przekazywania danych do państw trzecich faktu zamieszczenia przez osobę znajdującą się w sytuacji B. Lindqvist danych na stronie internetowej, nawet jeżeli stały się one w ten sposób dostępne dla osób znajdujących się w państwach trzecich i posiadających środki techniczne pozwalające na dostęp do nich” ( 56 ). Moim zdaniem oznacza to, że przy wykładni dyrektywy wobec zjawisk technologicznych należy uwzględnić – aby osiągnąć zrównoważony i uzasadniony wynik – zasadę proporcjonalności, cele dyrektywy oraz środki przewidziane w niej w celu ich osiągnięcia.

80.

Moim zdaniem jednym z kluczowych pytań jest to, czy ma znaczenie okoliczność, iż w ramach definicji administratora danych dyrektywa odnosi się do administratora będącego osobą, która „określa cele i sposoby przetwarzania danych osobowych” (podkreślenie własne). Strony, które uważają Google za administratora danych, opierają swoją ocenę o niezaprzeczalny fakt, że dostawca usług prowadzący wyszukiwarkę internetową określa cele i sposoby przetwarzania danych dla swoich celów.

81.

Jednakże wątpię, czy prowadzi to do zgodnej z prawdą wykładni dyrektywy w sytuacji, w której przedmiot przetwarzania składa się z plików łączących dane osobowe oraz inne dane w sposób przypadkowy, niewybiórczy i losowy. Czy profesor prawa europejskiego wymieniony w moim przykładzie w pkt 29 powyżej określa cele i sposoby przetwarzania danych osobowych, zawartych w orzecznictwie Trybunału, które pobrał na swój komputer przenośny? Ustalenia Grupy Roboczej Artykułu 29, zgodnie z którymi „użytkownicy usługi wyszukiwarki internetowej mogliby, wyrażając się ściśle, zostać uznani za administratorów”, ujawniają irracjonalny charakter ślepo stosowanej wykładni językowej dyrektywy w kontekście Internetu ( 57 ). Trybunał nie powinien przyjmować wykładni, zgodnie z którą administratorem przetwarzania danych osobowych opublikowanych w Internecie staje się praktycznie każdy posiadacz smartfona, tableta czy też laptopa.

82.

Moim zdaniem ogólna systematyka dyrektywy, większość wersji językowych oraz indywidualne obowiązki, które nakłada na administratora, opierają się na idei odpowiedzialności administratora za dane osobowe przetwarzane w tym sensie, że administrator zdaje sobie sprawę z istnienia pewnej określonej kategorii informacji oznaczających dane osobowe, przy czym administrator przetwarza te dane z pewnym zamiarem, który odnosi się do ich przetwarzania jako danych osobowych ( 58 ).

83.

Grupa Robocza Artykułu 29 słusznie zauważa, że „pojęcie administratora stanowi pojęcie funkcjonalne mające na celu powierzenie obowiązków osobom mającym faktyczny wpływ, i jest ono zatem oparte raczej na analizie faktycznej niż formalnej” ( 59 ). Grupa stwierdza dalej, że „administrator musi określić, które dane zostaną przetworzone w przewidzianym celu lub przewidzianych celach” ( 60 ). Moim zdaniem materialne przepisy dyrektywy, a w szczególności jej art. 6, 7 i 8, są oparte na założeniu, że administrator zdaje sobie sprawę z tego, co robi odnośnie do określonych danych osobowych, w tym sensie, że jest on świadomy, jakiego rodzaju dane przetwarza oraz w jakim celu. Innymi słowy, przetwarzanie danych musi jawić mu się jako przetwarzanie danych osobowych, to znaczy „informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej” w jakiś semantycznie istotny sposób, a nie jedynie jako kod informatyczny ( 61 ).

C – Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej nie jest „administratorem” danych osobowych znajdujących się na internetowych stronach źródłowych osób trzecich

84.

Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej, dostarczający jedynie narzędzie lokalizacji informacji, nie administruje danymi osobowymi znajdującymi się na stronach internetowych osób trzecich. Usługodawca nie jest „świadomy” istnienia danych osobowych w jakimkolwiek innym znaczeniu niż jako fakt statystyczny, że strony internetowe mogą zawierać dane osobowe. W trakcie przetwarzania źródłowych stron internetowych dla celów przeszukiwania, analizowania i indeksowania dane osobowe nie jawią się jako takie w żaden szczególny sposób.

85.

Z tego powodu uważam podejście Grupy Roboczej Artykułu 29 za odpowiednie, gdyż dąży do wyznaczenia linii demarkacyjnej pomiędzy funkcjami całkowicie biernymi i pośredniczącymi wyszukiwarek internetowych a sytuacjami, w których ich działalność stanowi rzeczywistą kontrolę nad przetwarzanymi danymi osobowymi ( 62 ). Tytułem uzupełnienia należy dodać, iż zagadnienie, czy dane osobowe zostały upublicznione ( 63 ), czy też zostały ujawnione zgodnie z prawem na źródłowych stronach internetowych osób trzecich, nie ma znaczenia dla stosowania dyrektywy ( 64 ).

86.

Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej nie ma związku z zawartością źródłowych stron internetowych osób trzecich w Internecie, na których mogą pojawić się dane osobowe. Co więcej, skoro wyszukiwarka działa w oparciu o kopie źródłowych stron internetowych, które jej przeszukiwarka [tzw. pająk] pobrała i skopiowała, dostawca nie dysponuje żadnymi środkami w zakresie zmiany informacji na serwerach. Udostępnienie narzędzi lokalizacji informacji nie oznacza żadnej kontroli nad treścią. Nie umożliwia nawet dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej dokonania rozróżnienia pomiędzy danymi osobowymi w rozumieniu dyrektywy, to znaczy dotyczącymi możliwej do zidentyfikowania żyjącej osoby fizycznej, a innymi danymi.

87.

W tym miejscu pragnę zwrócić uwagę na zasadę wyrażoną w motywie 47 dyrektywy. Stanowi ona, że w przypadku przekazywania komunikatu zawierającego dane osobowe przy pomocy urządzeń telekomunikacyjnych lub poczty elektronicznej za administratora uważać się będzie osobę, od której komunikat wychodzi, nie zaś osobę wykonującą usługę w zakresie transmisji danych. Zarówno ten motyw, jak i wyłączenia z odpowiedzialności przewidziane w dyrektywie o handlu elektronicznym (art. 12, 13 i 14) opierają się na zasadzie prawnej, zgodnie z którą związki z elektronicznie przechowywanymi lub przekazywanymi treściami mające charakter zautomatyzowany, techniczny i bierny nie powodują kontroli nad tymi treściami czy też odpowiedzialności za nie.

88.

Grupa Robocza Artykułu 29 podkreśliła, że po pierwsze i przede wszystkim, celem pojęcia administratora jest ustalenie, kto ma być odpowiedzialny za przestrzeganie uregulowań dotyczących ochrony danych i przypisanie tej odpowiedzialności miejscu faktycznego wpływu ( 65 ). Zdaniem grupy roboczej „zasada proporcjonalności wymaga, aby w zakresie, w którym dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej działa wyłącznie w charakterze pośrednika, nie był uznawany za głównego administratora w odniesieniu do mającego miejsce przetwarzania danych osobowych związanego z treścią. W tym przypadku głównymi administratorami danych osobowych są dostawcy informacji” ( 66 ).

89.

Moim zdaniem dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej nie może faktycznie lub prawnie spełniać obowiązków administratora przewidzianych w art. 6, 7 i 8 dyrektywy w odniesieniu do danych osobowych znajdujących się na witrynach źródłowych zamieszczonych na serwerach osób trzecich. W związku z powyższym uzasadniona wykładnia dyrektywy wymaga, aby dostawcy usług co do zasady nie traktować jako posiadającego taki status ( 67 ).

90.

Odmienny pogląd oznaczałby, że wyszukiwarki internetowe są niezgodne z prawem UE, co uważam za wniosek absurdalny. W szczególności, jeśli dostawców usług wyszukiwania za pomocą wyszukiwarek internetowych uznawałoby się za administratorów danych osobowych znajdujących się na źródłowych stronach internetowych i jeśliby na którejkolwiek z tych stron internetowych znajdowały się „szczególne kategorie danych osobowych”, o których mowa w art. 8 dyrektywy (np. dane osobowe ujawniające poglądy polityczne lub przekonania religijne czy też dane dotyczące zdrowia lub życia seksualnego osób), działalność dostawców usług wyszukiwania za pomocą wyszukiwarek internetowych automatycznie stałaby się nielegalna, w przypadku niespełnienia rygorystycznych warunków ustanowionych w tym artykule w związku z przetwarzaniem takich danych.

D – Okoliczności, w których dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej jest „administratorem danych”

91.

Dostawcy usług wyszukiwania za pomocą wyszukiwarek internetowych wyraźnie kontrolują indeks wyszukiwarki, który łączy słowa kluczowe z odpowiednimi adresami URL. Usługodawca określa strukturę indeksu oraz może technicznie zablokować niektóre wyniki wyszukiwania, przykładowo poprzez niewyświetlanie adresów URL z niektórych krajów lub domen w ramach wyników wyszukiwania ( 68 ). Co więcej, dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej kontroluje indeks w tym sensie, że decyduje, czy kody wyłączenia ( 69 ) na źródłowej stronie internetowej są przestrzegane, czy też nie.

92.

Natomiast pamięci podręcznej wyszukiwarki nie można uznać za wchodzącą w zakres kontroli usługodawcy, ponieważ pamięć podręczna jest wynikiem całkowicie technicznego i zautomatyzowanego procesu wytwarzającego lustrzane odbicie danych tekstowych przeszukiwanych stron internetowych, z wyjątkiem danych wyłączonych z indeksowania i archiwizowania. Interesujące jest to, że niektóre państwa członkowskie wydają się przewidywać szczególne wyłączenia horyzontalne dotyczące odpowiedzialności wyszukiwarek analogiczne do wyjątku przewidzianego w dyrektywie o handlu elektronicznym w przypadku niektórych usługodawców społeczeństwa informacyjnego ( 70 ).

93.

Jednakże w odniesieniu do treści pamięci podręcznej decyzja o niestosowaniu kodów wyłączenia ( 71 ) na stronie internetowej moim zdaniem wiąże się z kontrolą w znaczeniu dyrektywy nad takimi danymi osobowymi. Znajduje to również zastosowanie w sytuacjach, w których dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej nie uaktualnia strony internetowej znajdującej się w jego pamięci podręcznej, pomimo wniosku, który otrzymał ze strony internetowej.

E – Obowiązki dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej jako „administratora danych”

94.

To oczywiste, że jeśli oraz kiedy dostawcę usług wyszukiwania za pomocą wyszukiwarki internetowej uznać można za „administratora danych”, musi on stosować się do obowiązków przewidzianych dyrektywą.

95.

Jeśli chodzi o kryteria dotyczące uzasadnienia przetwarzania danych w przypadku braku zgody osoby, której dane dotyczą [art. 7 lit. a) dyrektywy], wydaje się oczywiste, że świadczenie usług wyszukiwania za pomocą wyszukiwarki internetowej służy jako takie do realizacji uzasadnionych interesów [art. 7 lit. f) dyrektywy], a mianowicie (i) ułatwiania użytkownikom Internetu dostępu do informacji; (ii) zwiększenia efektywności rozpowszechniania informacji zamieszczonych w Internecie oraz (iii) umożliwienia różnych usług społeczeństwa informacyjnego świadczonych przez dostawcę usług wyszukiwania za pomocą wyszukiwarki internetowej o charakterze uzupełniającym do wyszukiwarki, takich jak reklama kontekstowa („keyword advertising”). Wspomniane trzy cele odnoszą się odpowiednio do trzech praw podstawowych chronionych kartą, a mianowicie wolności informacji i wolności wypowiedzi (obu wyrażonych w art. 11) oraz wolności prowadzenia działalności gospodarczej (na podstawie art. 16). W związku z tym wyszukiwanie za pomocą wyszukiwarki internetowej realizuje uzasadnione interesy w rozumieniu art. 7 lit. f) dyrektywy przy przetwarzaniu danych udostępnionych w Internecie, w tym danych osobowych.

96.

Jako administrator danych dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej zobowiązany jest do poszanowania wymogów ustanowionych w art. 6 dyrektywy. W szczególności dane osobowe muszą być prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone, aktualne oraz, w razie konieczności, aktualizowane. Co więcej, należy wyważyć interesy „administratora danych” lub osób trzecich, w których interesie odbywa się przetwarzanie, oraz osoby, której dane dotyczą.

97.

W postępowaniu głównym roszczenie osoby, której dane dotyczą, odnosi się do usunięcia z indeksu Google indeksowania jej imienia i nazwisk z adresów URL stron gazety wyświetlających dane osobowe, o których pominięcie wnosi. W istocie nazwiska osób wykorzystywane są jako hasła wyszukiwania i są rejestrowane jako słowa kluczowe w indeksach wyszukiwarek. Jednakże zazwyczaj nazwisko nie wystarcza dla bezpośredniej identyfikacji osoby fizycznej w Internecie, ponieważ na świecie istnieje kilka, a nawet kilka tysięcy czy milionów osób o tym samym nazwisku czy też kombinacji imienia (imion) i nazwiska ( 72 ). Niemniej jednak zakładam, że w większości przypadków łącząc imię i nazwisko jako hasło wyszukiwania, umożliwia się pośrednią identyfikację osoby fizycznej w rozumieniu art. 2 lit. a) dyrektywy, gdyż wynik wyszukiwania w indeksie wyszukiwarki ujawnia ograniczony zestaw linków pozwalających użytkownikowi Internetu na dokonanie rozróżnienia pomiędzy osobami, które nazywają się tak samo.

98.

Indeks wyszukiwarki podłącza nazwiska oraz inne identyfikatory wykorzystywane jako hasła wyszukiwania do jednego lub kilku linków do stron internetowych. W zakresie, w jakim ten link jest prawidłowy, w tym sensie, że dane odpowiadające hasłu wyszukiwania rzeczywiście pojawiają się lub pojawiły się na stronach internetowych, do których prowadzą linki, moim zdaniem indeks spełnia kryteria prawidłowości, stosowności, proporcjonalności, dokładności i kompletności ustanowione w art. 6 lit. c) i d) dyrektywy. Co do aspektów czasowych, o których mowa w art. 6 lit. d) i e) (aktualne dane oraz przechowywanie danych osobowych przez czas nie dłuższy niż jest to konieczne), do zagadnień tych należy podejść z punktu widzenia przetwarzania, o którym mowa, to znaczy świadczenia usług lokalizacji informacji, a nie jako do zagadnienia dotyczącego treści źródłowych stron internetowych ( 73 ).

F – Wniosek dotyczący drugiej grupy pytań

99.

W oparciu o powyższą argumentację uważam, że krajowy organ ds. ochrony danych osobowych nie może wymagać od dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej usunięcia informacji z jego indeksu z wyjątkiem przypadków, w których dostawca ten nie zastosował się do kodów wyłączenia ( 74 ) lub gdy wnioski pochodzące ze strony internetowej dotyczące aktualizacji pamięci podręcznej nie zostały zrealizowane. Scenariusz ten nie wydaje się adekwatny dla wniosku o wydanie orzeczenia w trybie prejudycjalnym w niniejszej sprawie. Ewentualna „procedura powiadamiania i usuwania” ( 75 ) dotycząca linków do źródłowych stron internetowych, na których znajdują się treści nielegalne lub niewłaściwe, stanowi kwestię odpowiedzialności cywilnej na podstawie prawa krajowego w oparciu o podstawy inne niż ochrona danych osobowych ( 76 ).

100.

Z tych przyczyn proponuję, aby Trybunał udzielił odpowiedzi na drugą grupę pytań w ten sposób, że w okolicznościach określonych we wniosku o wydanie orzeczenia w trybie prejudycjalnym dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej „przetwarza” dane osobowe w rozumieniu art. 2 lit. b) dyrektywy. Niemniej jednak dostawcy usług nie można uznać za „administratora” przetwarzania takich danych osobowych w rozumieniu art. 2 lit. d) dyrektywy z wyjątkiem przedstawionym powyżej.

VII – Pytanie trzecie dotyczące ewentualnego prawa osoby, której dane dotyczą do „bycia zapomnianą”

A – Uwagi wstępne

101.

Trzecie pytanie prejudycjalne ma znaczenie wyłącznie, jeśli Trybunał albo odrzuci wniosek, do którego doszedłem powyżej, zgodnie z którym Google nie należy co do zasady uznawać za „administratora danych” na podstawie art. 2 lit. d) dyrektywy, albo w zakresie, w jakim Trybunał uzna moje twierdzenie, że istnieją przypadki, w których dostawcę usług wyszukiwania za pomocą wyszukiwarki internetowej takiego jak Google można uznać za posiadającego taki status. W przeciwnym razie poniższy wywód jest zbędny.

102.

W każdym razie w pytaniu trzecim sąd krajowy dąży do ustalenia, czy prawa do usunięcia lub zablokowania danych przewidziane w art. 12 lit. b) dyrektywy oraz prawo do sprzeciwu przewidziane w art. 14 lit. a) dyrektywy rozciągają się na umożliwienie osobie, której dane dotyczą, skontaktowania się z samymi dostawcami usług wyszukiwania za pomocą wyszukiwarek internetowych w celu uniemożliwienia indeksowania informacji osobiście jej dotyczących, które opublikowane zostały na stronach internetowych osób trzecich. W ten sposób osoba, której dane dotyczą, stara się zapobiec sytuacji, w której potencjalnie szkodliwe informacje stałyby się znane użytkownikom Internetu, bądź wyraża pragnienie, aby informacje zostały zapomniane, nawet jeśli dane informacje zostały zgodnie z prawem opublikowane przez osoby trzecie. Innymi słowy, sąd krajowy zmierza zasadniczo do ustalenia, czy „prawo do bycia zapomnianym” można oprzeć na art. 12 lit. b) i art. 14 lit. a) dyrektywy. Jest to pierwsze zagadnienie, które należy uwzględnić w poniższej analizie, która opierać się będzie na brzmieniu i celach tych przepisów.

103.

Jeśli dojdę do wniosku, że ochrona taka nie jest zapewniona w art. 12 lit. b) i art. 14 lit. a) oraz na ich podstawie, w następnej kolejności rozważę, czy wykładnia taka jest zgodna z kartą ( 77 ). Wymagać to będzie uwzględnienia prawa do ochrony danych osobowych wyrażonego w art. 8, prawa do poszanowania życia prywatnego i rodzinnego wyrażonego w art. 7, wolności wypowiedzi i informacji chronionej przez art. 11 (i to zarówno pod względem wolności wypowiedzi wydawców stron internetowych, jak i wolności użytkowników Internetu w zakresie uzyskiwania informacji), jak również wolności prowadzenia działalności gospodarczej, o której mowa w art. 16. W istocie prawa osób, których dane dotyczą, zawarte w art. 7 i 8 trzeba będzie zestawić z chronionymi art. 11 i 16 prawami podmiotów rozpowszechniających dane lub umożliwiających dostęp do nich.

B – Czy prawa do sprostowania, usunięcia, zablokowania oraz wniesienia sprzeciwu przewidziane w dyrektywie oznaczają prawo osoby, której dane dotyczą do „bycia zapomnianą”?

104.

Prawo do sprostowania, usunięcia i zablokowania danych przewidziane w art. 12 lit. b) dyrektywy dotyczy danych, których przetwarzanie nie jest zgodne z przepisami dyrektywy, szczególnie ze względu na niekompletność lub niedokładność danych (podkreślenie własne).

105.

Wniosek o wydanie orzeczenia w trybie prejudycjalnym przyznaje, że informacji pojawiających się na przedmiotowych stronach internetowych nie można traktować jako niekompletnych lub niedokładnych. Jeszcze mniej można określić w ten sposób indeks Google oraz treści znajdujące się w pamięci podręcznej zawierającej takie dane. W związku z tym prawo do sprostowania, usunięcia lub zablokowania, o którym mowa w art. 12 lit. b) dyrektywy, powstanie wyłącznie, jeśli przetwarzanie przez Google danych osobowych ze źródłowych stron internetowych osób trzecich będzie niezgodne z dyrektywą z innych przyczyn.

106.

Artykuł 14 lit. a) dyrektywy zobowiązuje państwa członkowskie do przyznania osobie, której dane dotyczą, w dowolnym czasie z ważnych i uzasadnionych przyczyn wynikających z jej konkretnej sytuacji, prawa sprzeciwu wobec przetwarzania dotyczących jej danych, z zastrzeżeniem odmiennych postanowień ustawodawstwa krajowego. Znajduje to zastosowanie w szczególności w przypadkach, o których mowa w art. 7 lit. e) i f) dyrektywy, to znaczy, gdy przetwarzanie jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej. Co więcej, zgodnie z art. 14 lit. a) w przypadku uzasadnionego sprzeciwu „przetwarzanie danych przez administratora danych” nie może już obejmować tych danych.

107.

W sytuacjach, w których dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej uznani są za administratorów przetwarzania danych osobowych, art. 6 ust. 2 dyrektywy zobowiązuje ich do ważenia interesów administratora danych lub osób trzecich, w których interesie przetwarzanie się odbywa, z interesami osoby, której dane dotyczą. Jak zauważył Trybunał w wyroku w sprawie ASNEF, to czy sporne dane figurują już w powszechnie dostępnych źródłach, jest istotne dla dokonania tego wyważenia ( 78 ).

108.

Jednakże, zgodnie z tym, co stwierdziły w tym przypadku niemal wszystkie strony, które przedstawiły uwagi na piśmie, sądzę, że dyrektywa nie przewiduje ogólnego prawa do bycia zapomnianym w tym sensie, że osoba, której dane dotyczą, ma prawo do ograniczenia lub zakończenia rozpowszechniania danych osobowych, które uważa za szkodliwe lub sprzeczne ze swoimi interesami. Cele przetwarzania oraz interesy, którym ono służy, w porównaniu z celami osoby, której dane dotyczą, stanowią kryteria, które należy zastosować przy przetwarzaniu danych bez zgody tej osoby, a nie jej subiektywne upodobania. Same subiektywne preferencje nie są równoznaczne z ważnymi i uzasadnionymi przyczynami w rozumieniu art. 14 lit. a) dyrektywy.

109.

Nawet jeśli Trybunał miałby uznać, że dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej byliby odpowiedzialni jako administratorzy, quod non, za dane osobowe znajdujące się na źródłowych stronach internetowych osób trzecich, osobie, której dane dotyczą, nadal nie przysługiwałoby bezwzględne „prawo do bycia zapomnianą”, na które można byłoby się powołać przeciwko tym dostawcom usług. Niemniej jednak dostawca usług musiałby przyjąć pozycję wydawcy źródłowej strony internetowej i zweryfikować, czy rozpowszechnianie danych osobowych na stronie internetowej może wówczas zostać uznane za legalne i uzasadnione dla celów dyrektywy. Innymi słowy, dostawca usług musiałby zarzucić swoją funkcję pośrednika pomiędzy użytkownikiem a wydawcą i przyjąć odpowiedzialność za treść źródłowej strony internetowej, a w razie potrzeby, ocenzurować treść poprzez uniemożliwienie lub ograniczenie dostępu do niej.

110.

Tytułem uzupełnienia wywodu warto przypomnieć, że wniosek Komisji dotyczący ogólnego rozporządzenia w sprawie ochrony danych przewiduje w swoim art. 17 prawo do bycia zapomnianym. Jednakże wydaje się, że wniosek spotkał się ze znacznym sprzeciwem i nie ma stanowić kodyfikacji dotychczasowego prawa, ale istotną innowację prawną. W związku z tym wydaje się, że nie wpływa on na odpowiedź, której należy udzielić na pytanie prejudycjalne. Niemniej jednak interesujące jest, że zgodnie z art. 17 ust. 2 wniosku „[w] przypadku podania przez administratora, […] danych osobowych do wiadomości publicznej, podejmuje on wszelkie uzasadnione kroki, […] w odniesieniu do danych, za których publikację odpowiada, by poinformować osoby trzecie przetwarzające takie dane, iż podmiot danych wnioskuje o usunięcie linków do danych, kopii lub replikacji tych danych osobowych”. Takie sformułowanie wydaje się uznawać dostawców usług wyszukiwania za pomocą wyszukiwarki internetowej raczej za osoby trzecie niż za administratorów danych jako takich.

111.

W związku z powyższym dochodzę do wniosku, że art. 12 lit. b) oraz art. 14 lit. a) dyrektywy nie przewidują prawa do bycia zapomnianym. Następnie rozważę, czy taka wykładnia przywołanych przypisów jest zgodna z kartą.

C – Istotne dla sprawy prawa podstawowe

112.

Artykuł 8 karty gwarantuje każdemu prawo do ochrony danych osobowych, które go dotyczą. Dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania. Przestrzeganie tych zasad podlega kontroli niezależnego organu.

113.

Moim zdaniem to prawo podstawowe, stanowiące przypieczętowanie dorobku prawnego Unii Europejskiej oraz Rady Europy w tej dziedzinie, podkreśla znaczenie ochrony danych osobowych, ale jako takie nie dodaje żadnych znaczących nowych elementów do wykładni dyrektywy.

114.

Zgodnie z art. 7 karty każdy ma prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się. Przepis ten, który zasadniczo jest tożsamy z art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności, podpisanej w Rzymie w dniu 4 listopada 1950 r. (zwanej dalej „EKPC”), musi być należycie wzięty pod uwagę przy dokonywaniu wykładni stosownych przepisów dyrektywy, która wymaga od państw członkowskich szczególnie ochrony prawa do prywatności.

115.

Pragnę przypomnieć w kontekście EKPC, że jej art. 8 również obejmuje zagadnienia dotyczące ochrony danych osobowych. Z tej przyczyny oraz zgodnie z art. 52 ust. 3 karty orzecznictwo Europejskiego Trybunału Praw Człowieka w przedmiocie art. 8 EKPC ma znaczenie zarówno dla wykładni art. 7 karty, jak i stosowania dyrektywy zgodnie z art. 8 karty.

116.

Europejski Trybunał Praw Człowieka stwierdził w sprawie Niemietz, że działalność zawodowa i gospodarcza osoby fizycznej może wchodzić w zakres życia prywatnego chronionego art. 8 EKPC ( 79 ). Podejście to stosowane było w późniejszym orzecznictwie tego Trybunału.

117.

Ponadto tutejszy Trybunał orzekł w wyroku w sprawie Volker und Markus Schecke i Eifert ( 80 ), że „należy uznać z jednej strony, że poszanowanie życia prywatnego w kontekście przetwarzania danych osobowych, uznane w art. 7 i 8 karty, odnosi się do wszelkich informacji [podkreślenie własne] dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej […], a z drugiej strony, że ograniczenia prawa do ochrony danych osobowych mogą być uzasadnione, jeżeli odpowiadają tym, które są tolerowane w ramach art. 8 EKPC”.

118.

W oparciu o wyrok w sprawie Volker und Markus Schecke i Eifert dochodzę do wniosku, że ochrona życia prywatnego na podstawie karty odnośnie do przetwarzania danych osobowych obejmuje wszystkie informacje dotyczące osoby bez względu na to, czy działa ona w sferze czysto prywatnej, czy też jako podmiot gospodarczy, lub przykładowo polityk. W związku z szerokim pojęciem danych osobowych i ich przetwarzania w prawie UE wydaje się, iż ze wspomnianego powyżej orzecznictwa wynika, że każdy akt komunikacji dokonany dzięki zautomatyzowanym procesom takim jak za pośrednictwem urządzeń telekomunikacyjnych, poczty elektronicznej lub mediów społecznościowych dotyczący osób fizycznych stanowi jako taki domniemaną ingerencję w to prawo podstawowe, która wymaga uzasadnienia ( 81 ).

119.

W pkt 75 doszedłem do wniosku, że dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej jest zaangażowany w przetwarzanie danych osobowych wyświetlanych na źródłowych stronach internetowych osób trzecich. Stąd z wyroku Trybunału w sprawie Volker und Markus Schecke i Eifert wynika, że niezależnie od tego, jak klasyfikowana jest jego rola na podstawie dyrektywy, występuje ingerencja w wyrażone w art. 7 karty prawo do prywatności osób, których dane dotyczą. Zgodnie z EKPC oraz kartą jakakolwiek ingerencja w prawa chronione opierać się musi na ustawie i powinna być niezbędna w społeczeństwie demokratycznym. W niniejszej sprawie nie mamy do czynienia z ingerencją ze strony władz publicznych wymagającą uzasadnienia, ale z pytaniem dotyczącym zakresu, w jakim może być tolerowana ingerencja ze strony osób prywatnych. Ograniczenia w tym zakresie zostały ustanowione w dyrektywie, a zatem oparte są na ustawie, zgodnie z wymogami EKPC oraz karty. Zatem przy dokonywaniu wykładni dyrektywy należy zinterpretować właśnie ograniczenia ustanowione względem przetwarzania danych przez podmioty prywatne w świetle karty. Wynika z tego pytanie, czy na Unii oraz państwach członkowskich ciąży pozytywny obowiązek egzekwowania, wobec dostawców wyszukiwania za pomocą wyszukiwarki internetowej, którzy stanowią podmioty prywatne, prawa do bycia zapomnianym ( 82 ). To pytanie z kolei prowadzi do zagadnienia uzasadnienia ingerencji w art. 7 i 8 karty oraz związku z konkurencyjnymi prawami wolności wypowiedzi i informacji oraz z prawem do prowadzenia działalności gospodarczej.

D – Prawa do wolności wypowiedzi i informacji oraz prawo do prowadzenia działalności gospodarczej

120.

Niniejsza sprawa dotyczy pod wieloma względami wolności wypowiedzi i informacji przewidzianej w art. 11 karty, która odpowiada art. 10 EKPC. Artykuł 11 ust. 1 karty stanowi, że „[k]ażdy ma prawo do wolności wypowiedzi. Prawo to obejmuje wolność posiadania poglądów oraz otrzymywania i przekazywania informacji i idei bez ingerencji władz publicznych i bez względu na granice państwowe” ( 83 ).

121.

Prawo użytkowników Internetu do poszukiwania i uzyskiwania informacji udostępnionych w Internecie chronione jest art. 11 karty ( 84 ). Dotyczy to zarówno informacji znajdujących się na źródłowych stronach internetowych, jak i informacji udostępnianych przez wyszukiwarki internetowe. Jak już wspomniałem, Internet zrewolucjonizował dostęp do informacji oraz rozpowszechnianie wszelkich rodzajów informacji, jak również umożliwił nowe formy komunikacji oraz interakcji społecznych pomiędzy osobami fizycznymi. W moim przekonaniu prawo podstawowe do informacji zasługuje na szczególną ochronę w prawie UE, w szczególności w świetle stale rosnącej tendencji reżimów autorytarnych w innym częściach świata do ograniczania dostępu do Internetu lub cenzurowania treści, które są tam udostępnione ( 85 ).

122.

Wydawcy stron internetowych również korzystają z ochrony zapewnionej przez art. 11 karty. Udostępnianie treści w Internecie oznacza samo w sobie korzystanie z wolności wypowiedzi ( 86 ), tym bardziej gdy wydawca zamieścił na swojej stronie linki do innych stron i nie ograniczył jej indeksowania lub archiwizowania przez wyszukiwarki, tym samym wyrażając życzenie szerszego rozpowszechniania treści. Publikacja w sieci stanowi dla osób fizycznych narzędzie uczestnictwa w debacie lub rozpowszechniania ich własnych treści lub treści zamieszczonych w Internecie przez innych ( 87 ).

123.

W szczególności, wniosek o wydanie w niniejszej sprawie orzeczenia w trybie prejudycjalnym dotyczy danych osobowych opublikowanych w archiwach historycznych gazety. W wyroku w sprawie Times Newspapers Ltd przeciwko Zjednoczonemu Królestwu (nr 1 i nr 2) Europejski Trybunał Praw Człowieka podniósł, że archiwa internetowe wnoszą znaczący wkład do zachowania i udostępniania wiadomości i informacji: „Takie archiwa stanowią ważne źródło dla edukacji i badań historycznych, w szczególności z uwagi na łatwą dostępność dla społeczeństwa oraz z uwagi na to, że zazwyczaj są bezpłatne […]. Jednakże margines uznania przyznany państwom przy dokonywaniu wyważenia pomiędzy konkurującymi prawami prawdopodobnie będzie większy, jeśli chodzi o archiwa wiadomości dotyczące wydarzeń przeszłych niż relacjonowania bieżących wydarzeń. W szczególności ciążący na prasie obowiązek postępowania zgodnie z zasadami odpowiedzialnego dziennikarstwa poprzez zachowanie dokładności [podkreślenie własne] prawdopodobnie będzie bardziej rygorystyczny w przypadku informacji historycznych niż wiadomości bieżących, z uwagi na brak pośpiechu przy publikowaniu materiału” ( 88 ).

124.

Dostawcy komercyjnych usług wyszukiwania za pomocą wyszukiwarek internetowych oferują swoje usługi lokalizacji informacji w ramach działalności gospodarczej ukierunkowanej na uzyskanie przychodów z reklamy kontekstowej. Działalność taka stanowi zatem działalność gospodarczą, której wolność prowadzenia jest uznawana na podstawie art.16 karty zgodnie z prawem UE oraz prawem krajowym ( 89 ).

125.

Co więcej, należy przypomnieć, że żadne z praw podstawowych wchodzących w grę w tym przypadku nie ma charakteru bezwzględnego. Mogą być ograniczone pod warunkiem, że istnieje uzasadnienie możliwe do przyjęcia w świetle przesłanek określonych w art. 52 ust. 1 karty ( 90 ).

E – Czy prawo podmiotu do „bycia zapomnianym” można wyprowadzić z art. 7 karty?

126.

Wreszcie należy zastanowić się, czy wykładnia art. 12 lit. b) i art. 14 lit. a) dyrektywy w świetle karty, a szczególnie jej art. 7, mogłaby prowadzić do uznania „prawa do bycia zapomnianym” w sensie określonym przez sąd krajowy. A priori takie stwierdzenie nie byłoby sprzeczne z art. 51 ust. 2 karty, ponieważ określałoby zakres prawa dostępu osoby, której dane dotyczą, oraz jej prawa do sprzeciwu uznanego już dyrektywą, a nie tworzenia nowych praw, czy też rozszerzania zakresu prawa UE.

127.

Europejski Trybunał Praw Człowieka orzekł w sprawie Aleksey Ovchinnikov ( 91 ), że „w pewnych okolicznościach ograniczenie dotyczące odtwarzania informacji, które już zostały udostępnione opinii publicznej, może być uzasadnione przykładowo, aby zapobiec dalszemu nagłaśnianiu szczegółów z życia prywatnego danej osoby, które nie wchodzą w zakres żadnej debaty politycznej czy też publicznej dotyczącej kwestii o wymiarze ogólnym”. Zatem podstawowe prawo do ochrony życia prywatnego może zostać co do zasady przywołane, nawet jeśli dane informacje zostały już przekazane do publicznej wiadomości.

128.

Jednakże przysługujące osobie, której dane dotyczą, prawo do ochrony jej życia prywatnego należy wyważyć z innymi prawami podstawowymi, a szczególnie z wolnością wypowiedzi i wolnością informacji.

129.

Wolność informacji przysługująca wydawcy gazety chroni jego prawo do cyfrowej ponownej publikacji w Internecie drukowanej wersji gazety. Moim zdaniem władze, w tym organy ds. ochrony danych, nie mogą cenzurować takiej ponownej publikacji. Wyrok Europejskiego Trybunału Praw Człowieka w sprawie Times Newspapers Ltd przeciwko Zjednoczonemu Królestwu (nr 1 i nr 2) ( 92 ) pokazuje, że odpowiedzialność wydawcy dotycząca dokładności publikacji historycznych może być bardziej rygorystyczna niż w przypadku wiadomości bieżących i może wymagać zastosowania odpowiednich zastrzeżeń uzupełniających do zakwestionowanej treści. Jednakże moim zdaniem nie może być uzasadnienia dla żądania ponownej publikacji cyfrowej danego wydania papierowego o treści odmiennej od pierwotnie opublikowanej wersji drukowanej. Oznaczałoby to fałszowanie historii.

130.

Problem ochrony danych osobowych stanowiący sedno niniejszego postępowania pojawia się wyłącznie, jeśli użytkownik Internetu wpisze imię i nazwiska osoby, której dane dotyczą, do takiej wyszukiwarki, tym samym uzyskując link do stron internetowych gazety z zakwestionowanymi ogłoszeniami. W takiej sytuacji użytkownik Internetu aktywnie korzysta z przysługującego mu prawa do uzyskiwania informacji dotyczących osoby, której dane dotyczą, ze źródeł publicznych z przyczyn znanych tylko jemu ( 93 ).

131.

We współczesnym społeczeństwie informacyjnym prawo do wyszukiwania informacji opublikowanych w Internecie za pomocą wyszukiwarek stanowi jeden z najważniejszych sposobów korzystania z tego prawa podstawowego. Prawo to niewątpliwie obejmuje prawo do szukania informacji dotyczących innych osób, czyli co do zasady chronionych prawem do życia prywatnego, takich jak informacje w Internecie dotyczące działalności danej osoby w charakterze przedsiębiorcy czy też polityka. Prawo do informacji przysługujące użytkownikowi Internetu byłoby zagrożone, jeśli jego poszukiwania informacji dotyczących danej osoby nie dawałyby wyników wyszukiwania zapewniających prawdziwe odzwierciedlenie odpowiednich stron internetowych, ale ich „bowdlerowską” ( 94 ) wersję.

132.

Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej zgodnie z prawem korzysta zarówno z przysługującej mu wolności prowadzenia działalności gospodarczej, jak i wolności wypowiedzi przy udostępnianiu internetowych narzędzi lokalizacji informacji opierających się na wyszukiwarce.

133.

Szczególnie złożona i skomplikowana konstelacja praw podstawowych zaprezentowana w niniejszej sprawie nie daje możliwości uzasadnienia na podstawie dyrektywy wzmocnienia statusu prawnego osób, których dane dotyczą, oraz wzbogacenia go o prawo do bycia zapomnianym. Pociągałoby to za sobą poświęcenie kluczowych praw, takich jak swoboda wypowiedzi czy prawo do informacji. Nie zachęcałbym również Trybunału do wyprowadzenia wniosku, że te sprzeczne interesy można z powodzeniem wyważyć w indywidualnych przypadkach każdorazową ocenę pozostawiając dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej. Takie procedury „powiadamiania i usuwania”, jeśli wymagałby tego Trybunał, mogłyby prowadzić albo do automatycznego usuwania linków do treści objętych sprzeciwem, albo do niewyobrażalnej liczby wniosków, które musieliby rozpatrzyć dostawcy usług wyszukiwania za pomocą najbardziej popularnych wyszukiwarek ( 95 ). W tym kontekście należy przypomnieć, że procedury „powiadamiania i usuwania”, które pojawiają się w dyrektywie o handlu elektronicznym, odnoszą się do treści niezgodnych z prawem, a w kontekście niniejszej sprawy mamy do czynienia z wnioskiem o pominięcie informacji legalnych i uzasadnionych, które podane zostały do wiadomości publicznej.

134.

W szczególności dostawcy usług wyszukiwania za pomocą wyszukiwarek internetowych nie powinni być obarczani takim obowiązkiem. Pociągałoby to za sobą ingerencję w wolność wypowiedzi wydawcy strony internetowej, który w takiej sytuacji nie korzystałby z odpowiedniej ochrony, jako że jakakolwiek nieuregulowana „procedura powiadamiania i usuwania” stanowi sprawę prywatną pomiędzy osobą, której dane dotyczą, a dostawcą usług wyszukiwania za pomocą wyszukiwarek internetowych ( 96 ). Byłoby to równoznaczne z cenzurowaniem opublikowanych treści przez osobę prywatną ( 97 ). Zupełnie odmienną sytuacją jest ciążący na państwach pozytywny obowiązek zapewnienia skutecznego środka prawnego wobec wydawcy dopuszczającego się naruszenia prawa do życia prywatnego, który w kontekście Internetu dotyczyłby wydawcy strony internetowej.

135.

Jak zauważyła Grupa Robocza Artykułu 29, możliwe jest, że wtórna odpowiedzialność dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej na podstawie prawa krajowego doprowadziłaby do obowiązków oznaczających zablokowanie dostępu do stron internetowych osób trzecich zawierających treści nielegalne, takich jak strony internetowe naruszające prawa własności intelektualnej lub wyświetlające informacje oszczercze lub kryminalne ( 98 ).

136.

Natomiast nie można powoływać się przeciw nim na żadne ogólne prawo do bycia zapomnianym na podstawie dyrektywy, nawet jeśli ona jest interpretowana zgodnie z kartą.

137.

Z tych powodów proponuję, aby Trybunał udzielił odpowiedzi na trzecie pytanie prejudycjalne w ten sposób, że prawa do usunięcia i zablokowania danych przewidziane w art. 12 lit. b) oraz prawo do sprzeciwu przewidziane w art. 14 lit. a) dyrektywy nie rozciągają się na takie prawo do bycia zapomnianym, jakie zostało opisane we wniosku o wydanie orzeczenia w trybie prejudycjalnym.

VIII – Wnioski

138.

W świetle powyższych rozważań jestem zdania, że na pytania przedłożone przez Audiencia Nacional Trybunał powinien udzielić odpowiedzi następującej:

1)

Przetwarzanie danych osobowych odbywa się w kontekście „działalności gospodarczej” administratora danych w rozumieniu art. 14 ust. 1 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, gdy przedsiębiorstwo zapewniające wyszukiwarkę internetową ustanawia w danym państwie członkowskim, dla celów promowania i sprzedaży powierzchni reklamowych w wyszukiwarce internetowej, oddział lub spółkę zależną, których działalność skierowana jest do osób mieszkających w tym państwie.

2)

Dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej, którego wyszukiwarka dokonuje lokalizacji informacji opublikowanych lub zamieszczonych w Internecie przez osoby trzecie, indeksuje je automatycznie, przechowuje czasowo i wreszcie udostępnia użytkownikom Internetu według określonej kolejności preferencji, „przetwarza” dane osobowe w rozumieniu art. 2 lit. b) dyrektywy 95/46, kiedy informacje te zawierają dane osobowe.

Jednakże dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej nie można uznać za „administratora” przetwarzania takich danych osobowych w rozumieniu art. 2 lit. d) dyrektywy 95/46, z wyjątkiem zawartości indeksu jego wyszukiwarki, pod warunkiem że dostawca usług nie indeksuje ani nie archiwizuje danych osobowych niezgodnie z instrukcjami lub wnioskami wydawcy strony internetowej.

3)

Prawa do usunięcia i zablokowania danych przewidziane w art. 12 lit. b) oraz prawo do sprzeciwu przewidziane w art. 14 lit. a) dyrektywy 95/46 nie przyznają osobie, której dane dotyczą, prawa do zwracania się do dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej celem uniemożliwienia indeksowania informacji dotyczących jej osobiście, opublikowanych legalnie na stronach internetowych osób trzecich, w oparciu o życzenie tej osoby, by takie informacje nie były znane użytkownikom Internetu, gdy uzna ona, że może to być dla niej szkodliwe, lub pragnie, by informacje te zostały zapomniane.


( 1 )   Język oryginału: angielski.

( 2 )   Harvard Law Review, Vol. IV, 15 grudnia 1890 r., nr 5.

( 3 )   W istocie Internet obejmuje dwie usługi główne, a mianowicie World Wide Web [ogólnoświatową sieć komputerową (WWW)] oraz usługi poczty elektronicznej. Podczas gdy Internet jako sieć połączonych wzajemnie komputerów istniała w wielu formach już dawniej, począwszy od Arpanet (Stany Zjednoczone), początki otwartej sieci ze swobodnym dostępem z adresami www i powszechną strukturą kodów datują się dopiero na początek lat 90. Wydaje się, że określeniem historycznie prawidłowym byłoby World Wide Web. Niemniej jednak z uwagi na obecne wykorzystanie i wybory terminologiczne dokonane w orzecznictwie Trybunału słowo „Internet” stosowane jest głównie dla określenia części sieci World Wide Web.

( 4 )   Lokalizacja stron internetowych odbywa się za pomocą indywidualnego adresu, URL (Uniform Resource Locator), systemu utworzonego w 1994 r. Dostęp do strony internetowej możliwy jest poprzez wpisanie jej adresu URL do przeglądarki internetowej bezpośrednio lub przez nazwę domeny. Strony internetowe muszą być zakodowane w jakimś języku znaczników. Hipertekstowy język znaczników [HyperText Markup Language (HTML)] stanowi główny język do tworzenia stron WWW oraz innych informacji, które mogą być wyświetlane w przeglądarce internetowej.

( 5 )   Zakres trzech zagadnień obrazuje następująca informacja (choć nie są dostępne dokładne dane liczbowe w tym zakresie). Po pierwsze, szacuje się, że w Internecie może być ponad 600 milionów witryn internetowych. Witryny te mogą obejmować szacunkowo ponad 40 miliardów stron internetowych. Po drugie, jeśli chodzi o wyszukiwarki, ich liczba jest o wiele bardziej ograniczona; szacuje się, że istnieje mniej niż 100 popularnych wyszukiwarek, przy czym Google wydaje się mieć obecnie ogromny udział w wielu rynkach. Mówi się, że wspomniany sukces wyszukiwarki Google opiera się na doskonałych tzw. pająkach web, efektywnych systemach identyfikowania oraz technologii, która umożliwia sortowanie wyników wyszukiwania według przydatności dla użytkownika (w tym opatentowanego algorytmu PageRank), zob. A. López-Tarruella, Introduction: Google Pushing the Boundaries of Law, Google and the Law. Empirical Approaches to Legal Aspects of Knowledge‑Economy Business Models, Ed., A. López‑Tarruella, T.M.C. Asser Press, Haga 2012. s. 1–8, pkt 2. Po trzecie, ponad trzy czwarte ludności w Europie korzysta z Internetu i, o ile wykorzystuje wyszukiwarki internetowe, dane osobowe tych osób – jako dane użytkowników wyszukiwarek internetowych – mogą być gromadzone i przetwarzane przez wyszukiwarki internetowe, z których korzystają.

( 6 )   Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31).

( 7 )   Zobacz ogólnie opinia 1/2008 Grupy Roboczej Artykułu 29 [ds. Ochrony Danych] w sprawie zagadnień ochrony danych w związku z wyszukiwarkami internetowymi (WP 148). Polityka prywatności Google, w stosunku do użytkowników wyszukiwarki internetowej, podlega kontroli organów do spraw ochrony danych osobowych państw członkowskich. Działania te prowadzone są przez francuski organ ds. ochrony danych (CNIL). W celu zapoznania się z najnowszymi zmianami, zob. pismo z dnia 16 października 2012 r. Grupy Roboczej Artykułu 29 do Google, dostępne w witrynie internetowej wymienionej w przypisie 22 poniżej.

( 8 )   Zobacz pkt 19 poniżej.

( 9 )   Wyrażenie „wyszukiwarka internetowa” odnosi się do kombinacji oprogramowania i sprzętu umożliwiających funkcję przeszukiwania tekstu oraz treści audiowizualnych w Internecie. W niniejszej opinii nie są omawiane szczególne zagadnienia dotyczące wyszukiwarek internetowych działających w ramach określonej domeny (lub witryny) internetowej jak np. http://curia.europa.eu. Podmiot gospodarczy udzielający dostępu do wyszukiwarki zwany jest „dostawcą usługi wyszukiwania za pomocą wyszukiwarki internetowej”. W niniejszej sprawie Google Inc. występuje jako dostawca usługi udzielający dostępu do wyszukiwarki Google oraz wielu dodatkowych funkcji wyszukiwania takich jak maps.google.com i news.google.com.

( 10 )   Wyrok z dnia 6 listopada 2003 r. w sprawie 101/01, Rec. s. I-12971.

( 11 )   Wyrok z dnia 20 maja 2003 r. w sprawach połączonych C-465/00, C-138/01 i C-139/01, Rec. s. I-4989.

( 12 )   Wyrok z dnia 16 grudnia 2008 r. w sprawie C-73/07, Zb.Orz. s. I-9831.

( 13 )   Wyrok z dnia 9 listopada 2010 r. w sprawach połączonych C-92/09 i C-93/09, Zb.Orz. s. I-11063.

( 14 )   Wyroki: z dnia 23 marca 2010 r. w sprawach połączonych od C-236/08 do C-238/08 Google France i Google, Zb.Orz. s. I-2417; z dnia 8 lipca 2010 r. w sprawie C-558/08 Portakabin, Zb.Orz. s. I-6963; z dnia 12 lipca 2011 r. w sprawie C-324/09 L’Oréal i in., Zb.Orz. s. I-6011; z dnia 22 września 2011 r. w sprawie C-323/09 Interflora Inc. i Interflora British Unit, Zb.Orz. s. I-8625; z dnia 19 kwietnia 2012 r. w sprawie C‑523/10 Wintersteiger.

( 15 )   Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) COM(2012) 11 wersja ostateczna z dnia 25 stycznia 2012 r.

( 16 )   BOE nr 298 z dnia 14 grudnia 1999 r., s. 43088.

( 17 )   Zgodnie z motywem 11 dyrektywy „[z]asady ochrony praw i wolności jednostek, szczególnie prawa do prywatności, które zawarte są w niniejszej dyrektywie, utrwalają i umacniają zasady wyrażone w Konwencji Rady Europy z dnia 28 stycznia 1981 r. w sprawie ochrony jednostek w zakresie automatycznego przetwarzania danych osobowych”.

( 18 )   Zobacz opinia 1/2010 Grupy Roboczej Artykułu 29 w przedmiocie pojęć „administrator danych” i „przetwarzający” (WP 169) s. 3, 4.

( 19 )   Zobacz na przykład wyrok z dnia 25 października 2011 r. w sprawach połączonych C-509/09 i C-161/10 eDate Advertising i Martinez, Zb.Orz. s. I-10269, pkt 45.

( 20 )   Gazeta zazwyczaj zawiera dane osobowe takie jak imiona i nazwiska osób fizycznych. Te dane osobowe są przetwarzane podczas zapoznawania się z nimi za pomocą nośników automatycznych. Przetwarzanie takie mieści się w zakresie stosowania dyrektywy, chyba że dokonuje go osoba fizyczna w trakcie działalności o charakterze czysto osobistym lub związanym z gospodarstwem domowym. Zobacz art. 2 lit. a) i b) oraz art. 3 ust. 2 dyrektywy. Co więcej, czytanie dokumentu papierowego lub wyświetlanie obrazów zawierających dane osobowe również oznacza ich przetwarzanie. Zobacz U. Dammann, i S. Simitis, EG‑Datenschutzrichtlinie, Baden–Baden, Nomos Verlagsgesellschaft 1997, s. 110.

( 21 )   Zobacz ww. wyrok w sprawie Lindqvist, pkt 67–70, jeśli chodzi o wykładnię art. 25 dyrektywy.

( 22 )   Opinie dostępne są pod następującym adresem: http://ec.europa.eu/justice/data-protection/index_en.htm.

( 23 )   Wyszukiwarki internetowe stale się rozwijają, a celem tu postawionym jest jedynie zwięzłe przedstawienie funkcji, które są obecnie istotne.

( 24 )   Dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (Dz.U. L 178, s. 1).

( 25 )   Zobacz motyw 18 i art. 2 lit. a) dyrektywy 2000/31 w związku z art. 1 ust. 2 dyrektywy 98/34/WE Parlamentu Europejskiego i Rady z dnia 22 czerwca 1998 r. ustanawiającej procedurę udzielania informacji w zakresie norm i przepisów technicznych (Dz.U. L 204, s. 37), zmienionej dyrektywą 98/48/WE Parlamentu Europejskiego i Rady z dnia 20 lipca 1998 r. (Dz.U. L 217, s. 18).

( 26 )   Wyżej wymienionym, pkt 25–27.

( 27 )   Typowy bieżący kod wyłączenia (lub protokół wyłączenia robotów) nazywa się „robots.txt”; zob. http://en.wikipedia.org/wiki/Robots.txt lub http://www.robotstxt.org/.

( 28 )   Jednakże kody wyłączenia technicznie nie uniemożliwiają indeksowania lub wyświetlania, ale usługodawca prowadzący wyszukiwarkę może zadecydować o zignorowaniu ich. Główni dostawcy usług wyszukiwania za pomocą wyszukiwarek internetowych, w tym Google, twierdzą, że stosują się do takich kodów zamieszczonych na źródłowej stronie internetowej. Zobacz ww. opinia 1/2008 Grupy Roboczej Artykułu 29, s. 14.

( 29 )   Zobacz wyrok Europejskiego Trybunału Praw Człowieka w sprawie K.U. przeciwko Finlandii, nr 2872/02, §§ 43, 48, EKPC 2008, w którym Trybunał ten powołał się na istnienie pozytywnych obowiązków objawiających się w skutecznym poszanowaniu życia prywatnego i życia rodzinnego. Obowiązki te mogą obejmować przyjęcie środków mających na celu zabezpieczenie poszanowania życia prywatnego, nawet w sferze wzajemnych relacji między jednostkami. W sprawie K.U. przeciwko Finlandii na państwie ciążył pozytywny obowiązek zapewnienia dostępności skutecznego środka odwoławczego przeciwko wydawcy.

( 30 )   Jednakże Internet nie stanowi jednego ogromnego banku danych utworzonego przez „Big Brother”, ale zdecentralizowany system informacji pochodzących z wielu niezależnych źródeł, w którym udostępnianie i rozpowszechnianie informacji opiera się na usługach pośrednictwa, które jako takie nie mają nic wspólnego z treścią.

( 31 )   Zobacz w tym względzie moja opinia w sprawie L’Oréal i in., pkt 54 i nast.

( 32 )   Odpowiada to sytuacji trzeciej wspomnianej w pkt 3 powyżej.

( 33 )   Na przykład system reklamy kontekstowej (Google AdWords): zob. ww. wyrok w sprawie Google France i Google, pkt 22, 23; wyroki: z dnia 25 marca 2010 r. w sprawie C-278/08 BergSpechte, Zb.Orz. s. I-2517, pkt 5–7; ww. wyroki: w sprawie Portakabin, pkt 8–10; w sprawie Interflora i Interflora British Unit, pkt 9–13.

( 34 )   Wyroki: z dnia 5 października 2010 r. w sprawie C-400/10 PPU McB, Zb.Orz. s. I-8965, pkt 51, 59; z dnia 15 listopada 2011 r. w sprawie C-256/11 w sprawie Dereci i in., Zb.Orz. s. I-11315, pkt 71, 72; z dnia 8 listopada 2012 r. w sprawie C‑40/11 Iida, pkt 78; wyrok z dnia 26 lutego 2013 r. w sprawie C‑617/10 Åklagaren Fransson, pkt 23.

( 35 )   Na przykład w wyroku w sprawie McB. Trybunał sprzeciwił się wykładni – która została oparta na art. 7 karty – „prawa do opieki” przewidzianego w art. 2 ust. 9 rozporządzenia Rady (WE) nr 2201/2003 z dnia 27 listopada 2003 r. dotyczącego jurysdykcji oraz uznawania i wykonywania orzeczeń w sprawach małżeńskich oraz w sprawach dotyczących odpowiedzialności rodzicielskiej, uchylającego rozporządzenie (WE) nr 1347/2000 (Dz.U. L 338, s. 1), rozszerzającej jego znaczenie. Natomiast, co oczywiste, jeśli niemożliwe jest dokonanie wykładni przepisu prawnego UE zgodnie z prawami podstawowymi chronionymi prawem UE, przepis ten musi zostać uznany za nieważny. Zobacz wyrok z dnia 1 marca 2011 r. w sprawie C-236/09 Association belge des Consommateurs Test-Achats i in., Zb.Orz. s. I-773, pkt 30–34.

( 36 )   Opinia 8/2010 Grupy Roboczej Artykułu 29 w sprawie prawa właściwego (WP 179), s. 8.

( 37 )   Wyżej wymieniona opinia 8/2010 Grupy Roboczej Artykułu 29, s. 24, 31.

( 38 )   Zobacz art. 3 ust. 2 lit. a) ww. wniosku Komisji.

( 39 )   Zobacz ww. wyrok w sprawie L’Oréal i in. oraz dyrektywa 2000/31 o handlu elektronicznym.

( 40 )   Rozporządzenie Rady (WE) z dnia 22 grudnia 2000 r. w sprawie jurysdykcji oraz uznawania i wykonywania orzeczeń w sprawach cywilnych i handlowych (Dz.U 2001, L 12, s. 1); wyrok z dnia 7 grudnia 2010 r. w sprawach połączonych C-585/08 i C-144/09 Pammer i Hotel Alpenhof, Zb.Orz. s. I-12527; ww. wyrok w sprawie Wintersteiger. Zobacz także moja opinia w sprawie C‑170/12 Pinckney, w toku.

( 41 )   Dyrektywa Parlamentu Europejskiego i Rady z dnia 22 maja 2001 r. w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych w społeczeństwie informacyjnym (Dz.U. L 167, s. 10); wyrok z dnia 21 czerwca 2012 r. w sprawie C‑5/11 Donner.

( 42 )   Wniosek nie określa, co należy rozumieć przez pojęcie „punkt ciężkości”, jednakże wyrażenie to zastosował rzecznik generalny P. Cruz Villalón w ww. opinii w sprawie eDate Advertising i Martínez, pkt 32, 55.

( 43 )   Wyżej wymieniona opinia 8/2010 Grupy Roboczej Artykułu 29, s. 8, 9. Grupa robocza podniosła również, że słowo „equipment” zastosowane w wersji angielskiej dyrektywy jest zbyt wąskie, ponieważ inne wersje językowe mówią o „środkach”, które obejmuje również urządzenia niematerialne, takie jak pliki cookies (zob. s. 20, 21).

( 44 )   Zobacz szczególnie ww. opinia 8/2010 Grupy Roboczej Artykułu 29, s. 19, gdzie podniesiono, że art. 4 ust. 1 lit. c) dyrektywy powinien znajdować zastosowanie niezależnie od swojego brzmienia, gdy administrator posiada przedsiębiorstwa w UE, ale ich działalność nie jest związana z określonym przetwarzaniem danych osobowych.

( 45 )   Zobacz ww. wyrok w sprawie Google France i Google, pkt 23.

( 46 )   Zobacz ww. wyrok w sprawie Google France i Google, pkt 25; opinia 1/2008 Grupy Roboczej Artykułu 29, s. 5, 6. Łatwo jest sprawdzić, że zastosowanie tych samych słów kluczowych w różnych krajowych domenach Google może spowodować wyświetlenie różnych wyników wyszukiwania i reklam.

( 47 )   Wyżej wymieniona opinia 1/2008 Grupy Roboczej Artykułu 29, s. 10.

( 48 )   Zobacz art. 2 lit. a) tej dyrektywy, zgodnie z którym dane osobowe oznaczają „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Szeroki wybór przykładów podała Grupa Robocza Artykułu 29 w opinii 4/2007 w sprawie pojęcia danych osobowych (WP 136). Trybunał potwierdził wykładnię rozszerzającą w ww. wyroku w sprawie Lindqvist, pkt 24–27. Zobacz także ww. wyroki: w sprawie Österreichischer Rundfunk i in., pkt 64; w sprawie Satakunnan Markkinapörssi i Satamedia, pkt 35–37; wyroki: z dnia 16 grudnia 2008 r. w sprawie C-524/06 Huber, Zb.Orz. s. I-9705, pkt 43; z dnia 7 maja 2009 r. w sprawie C-553/07 Rijkeboer, Zb.Orz. 2009 s. I-3889, pkt 62; z dnia 19 kwietnia 2012 r. w sprawie C‑461/10 Bonnier Audio i in., pkt 93; ww. wyrok w sprawie Volker und Markus Schecke i Eifert, pkt 23, 55, 56.

( 49 )   Grupa Robocza Artykułu 29 przypomina, że „dla uznania informacji za dane osobowe nie jest konieczne, aby znajdowały się w ustrukturyzowanej bazie danych lub pliku. Również informacje zawarte w swobodnym tekście znajdującym się w dokumencie elektronicznym mogą się kwalifikować jako dane osobowe […]”. Zobacz ww. opinia 4/2007, s. 8.

( 50 )   Istnieją funkcje wyszukiwarek internetowych specjalnie ukierunkowane na dane osobowe, które jako takie mogą być możliwe do zidentyfikowania ze względu na formę (na przykład numery ubezpieczenia społecznego) lub kompozycję (ciągi znaków odpowiadające imionom i nazwiskom). Zobacz ww. opinia 1/2008 Grupy Roboczej Artykułu 29, s. 14. Takie wyszukiwarki mogą podnosić szczególne zagadnienia ochrony danych osobowych, które nie mieszczą się w zakresie niniejszej opinii.

( 51 )   Jednakże „orphan pages” [strony sieroce] niezawierające żadnych linków do innych stron internetowych pozostają niedostępne dla wyszukiwarki.

( 52 )   Strony internetowe znalezione przez tzw. pająka [przeszukiwarkę] są przechowywane w bazie danych indeksu Google, uporządkowanej alfabetycznie według hasła wyszukiwania, z każdym wpisem indeksu przechowującym listę dokumentów, w których pojawia się hasło, i wskazującym miejsce w tekście, gdzie występuje. Niektóre słowa takie jak przedrostki, zaimki i powszechne przysłówki lub niektóre pojedyncze cyfry i pojedyncze litery nie są indeksowane. Zobacz http://www.googleguide.com/google_works.html.

( 53 )   Kopie te (nazywane również migawkami „snapshots”) stron internetowych przechowywane w pamięci podręcznej Google składają się tylko z kodu HTML, a nie z obrazów, które muszą zostać pobrane z oryginalnego miejsca. Zobacz M. Peguera, Copyright Issues Regarding Google Images and Google Cache, Google and the Law, pkt 169–202, w szczególności s. 174.

( 54 )   Dostawcy usług wyszukiwania za pomocą wyszukiwarki internetowej zazwyczaj zezwalają webmasterom na wnoszenie o aktualizację kopii podręcznej strony internetowej. Instrukcje wykonania powyższego można pobrać ze strony Google Webmaster Tools.

( 55 )   Wydaje się, że wersje językowe dyrektywy inne niż angielska, takie jak: francuska, niemiecka, hiszpańska, szwedzka i niderlandzka, mówią o „[podmiocie] odpowiedzialnym” za przetwarzanie danych, a nie o kontrolerze. Niektóre wersje językowe, w tym fińska i polska, stosują bardziej neutralne terminy (fińska: „rekisterinpitäjä”, natomiast polska: „administrator danych”).

( 56 )   Zobacz ww. wyrok w sprawie Lindqvist, pkt 68.

( 57 )   Opinia 1/2008 Grupy Roboczej Artykułu 29, s. 14, przypis 17. Zgodnie z opinią rola użytkowników będzie znajdować się poza zakresem dyrektywy w sprawie ochrony danych osobowych jako „działalność czysto osobista”. Moim zdaniem założenia tego nie da się obronić. Zazwyczaj użytkownicy Internetu korzystają z wyszukiwarek internetowych również do działań, które nie mają czysto osobistego charakteru, na przykład w celach związanych z pracą, studiami, biznesem czy też działalnością trzeciego sektora.

( 58 )   Grupa Robocza Artykułu 29 podaje w opinii 4/2007 liczne przykłady pojęcia danych osobowych i ich przetwarzania, w tym administratora danych, i wydaje mi się, że we wszystkich przedstawionych przykładach warunek ten jest spełniony.

( 59 )   Opinia 1/2010 Grupy Roboczej Artykułu 29, s. 9.

( 60 )   Ibidem, s. 14.

( 61 )   Dammann i Simitis (s. 120) podnoszą, że przetwarzanie za pomocą środków automatycznych powinno nie tylko dotyczyć nośnika, gdzie dane są zapisywane (Datenträger), ale również odnosić się do danych w wymiarze semantycznym lub materialnym. Moim zdaniem zasadnicze znaczenie ma okoliczność, że dane osobowe zgodnie z dyrektywą stanowią „informacje”, tzn. treści semantycznie istotne.

( 62 )   Zobacz opinia 1/2008 Grupy Roboczej Artykułu 29, s. 14.

( 63 )   Zobacz ww. wyrok w sprawie Lindqvist, pkt 27.

( 64 )   Zobacz ww. wyrok w sprawie Satakunnan Markkinapörssi i Satamedia, pkt 37.

( 65 )   Opinia 1/2010 Grupy Roboczej Artykułu 29, s. 4, 9.

( 66 )   Opinia 1/2008 Grupy Roboczej Artykułu 29, s. 14.

( 67 )   Opinia 1/2008 Grupy Roboczej Artykułu 29, s. 14, która jednakże dodaje, że zakres, w jakim zobowiązany jest on do usunięcia lub zablokowania danych osobowych, może być uzależniony od ogólnego prawa deliktów oraz przepisów dotyczących odpowiedzialności poszczególnych państw członkowskich. W niektórych państwach członkowskich przepisy prawa krajowego przewidują procedury „powiadamiania i usuwania”, których dostawca usług wyszukiwania za pomocą wyszukiwarki internetowej musi przestrzegać celem uniknięcia odpowiedzialności.

( 68 )   Zdaniem jednego z autorów takie filtrowanie odbywa się w niemal wszystkich krajach, na przykład odnośnie do naruszeń praw własności intelektualnej. Co więcej, w Stanach Zjednoczonych przefiltrowano informacje o kluczowym znaczeniu związane ze scjentologią. We Francji i Niemczech Google filtruje wyniki wyszukiwania dotyczące „nazistowskich pamiątek, treści negujących Holocaust, wyższości rasy białej oraz witryn, które zawierają treści propagandowe przeciwko porządkowi demokratycznemu”. W celu uzyskania kolejnych przykładów zob. D. Friedmann, Paradoxes, Google and China: How Censorship can Harm and Intellectual Property can Harness Innovation, Google and the Law (wymieniona wyżej), s. 303–327, w szczególności s. 307.

( 69 )   Zobacz pkt 41 powyżej.

( 70 )   Zobacz pierwsze sprawozdanie dotyczące stosowania dyrektywy 2000/31 o handlu elektronicznym, COM (2003) 702 wersja ostateczna, s. 13, przypis 69; opinia 1/2008 Grupy Roboczej Artykułu 29, s. 13, przypis 16.

( 71 )   Zobacz pkt 41 powyżej.

( 72 )   Zdolność nazwiska do zidentyfikowania osoby fizycznej uzależniona jest od kontekstu. Popularne nazwisko może nie zindywidualizować osoby w Internecie, ale z pewnością przykładowo w szkolnej klasie. W skomputeryzowanym przetwarzaniu danych osobowych osoba zazwyczaj przypisana jest do unikalnego identyfikatora celem uniknięcia nieporozumień pomiędzy dwoma osobami. Typowe przykłady takich identyfikatorów stanowią numery ubezpieczenia społecznego. W tym aspekcie zob. opinia 4/2007 Grupy Roboczej Artykułu 29, s. 13; opinia 1/2008, s. 9, przypis 11.

( 73 )   Jest to interesująca uwaga, niemniej jednak w kontekście danych przechowywanych przez agencje rządowe Europejski Trybunał Praw Człowieka orzekł, że „prawo krajowe powinno zwłaszcza zapewnić, że dane te są stosowne i nienadmierne w stosunku do celów, dla których są przechowywane oraz zachowane w formie umożliwiającej identyfikację osób, których dane dotyczą przez czas nie dłuższy niż jest to wymagane dla celów, dla których dane te są przechowywane”. (zob. wyrok Europejskiego Trybunału Praw Człowieka w sprawie S. i Marper przeciwko Zjednoczonemu Królestwu, nr 30562/04 i 30566/04, § 103, EKPC 2008. Zobacz także wyrok w sprawie Segerstedt Wiberg i in. przeciwko Szwecji, nr 62332/00, § 90, EKPC 2006-VII). Jednakże Europejski Trybunał Praw Człowieka uznał również, w kontekście art. 10 EKPC, w odniesieniu do prawa do wolności wypowiedzi „znaczący wkład dokonany przez archiwa internetowe w zachowanie i udostępnianie wiadomości i informacji” [wyrok w sprawie Times Newspapers Ltd. przeciwko Zjednoczonemu Królestwu (nr 1 i nr 2), nr 3002/03 i 23676/03, § 45, EKPC 2009].

( 74 )   Zobacz pkt 41 powyżej.

( 75 )   Zobacz art. 14 dyrektywy o handlu elektronicznym.

( 76 )   Opinia 1/2008 Grupy Roboczej Artykułu 29, s. 14.

( 77 )   Było to podejście wypracowane przez Trybunał w ww. wyroku w sprawie McB, pkt 44, 49.

( 78 )   Wyrok z dnia 24 listopada 2011 r. w sprawach połączonych C-468/10 i C-469/10 ASNEF, Zb.Orz. s. I-12181, pkt 44, 45. Europejski Trybunał Praw Człowieka zauważył, że publikacja danych osobowych gdzie indziej kładzie kres nadrzędnemu interesowi, odnoszącemu się do ochrony poufności, zob. wyrok z dnia 16 grudnia 2010 r. w sprawie Aleksey Ovchinnikov przeciwko Rosji, nr 24061/04, § 49.

( 79 )   Wyroki Europejskiego Trybunału Praw Człowieka: z dnia 16 grudnia 1992 r. w sprawie Niemietz przeciwko Niemcom, seria A, nr 251‑B, § 29; w sprawie Amann przeciwko Szwajcarii [GC], nr 27798/95, § 65, EKPC 2000‑II; Rotaru przeciwko Rumunii [GC], nr 28341/95, § 43, EKPC 2000‑V.

( 80 )   Punkt 52 wyroku.

( 81 )   Natomiast Europejski Trybunał Praw Człowieka uchylił się od podania definicji życia prywatnego w kategoriach pozytywnych. Zdaniem ETPC pojęcie życia prywatnego jest szerokie i nie można do niego zastosować definicji wyczerpującej (zob. wyrok z dnia 25 marca 1993 r. w sprawie Costello‑Roberts przeciwko Zjednoczonemu Królestwu, seria A, nr 247 C, § 36).

( 82 )   W przedmiocie pozytywnych obowiązków ciążących na państwie w zakresie działania na rzecz ochrony prywatności, w przypadku naruszenia jej przez podmioty sektora prywatnego, oraz konieczności wyważenia takiego obowiązku z wolnością wypowiedzi im przysługującą zob. na przykład wyroki Europejskiego Trybunału Praw Człowieka: w sprawie Von Hannover przeciwko Niemcom, nr 59320/00, EKPC 2004‑VI; z dnia 18 kwietnia 2013 r. w sprawie Ageyevy przeciwko Rosji, nr 7075/10.

( 83 )   Zobacz wyroki Europejskiego Trybunału Praw Człowieka: z dnia 7 grudnia 1976 r. w sprawie Handyside przeciwko Zjednoczonemu Królestwu, seria A, nr 24, § 49; z dnia 24 maja 1988 r. w sprawie Müller i in. przeciwko Szwajcarii, seria A, nr 133, § 33; z dnia 26 września 1995 r. w sprawie Vogt przeciwko Niemcom, seria A, nr 323, § 52; wyrok w sprawie Guja przeciwko Mołdawii [GC], nr 14277/04, § 69, EKPC 2008. Zobacz także wyrok Trybunału z dnia 6 marca 2001 r. w sprawie C-274/99 P Connolly przeciwko Komisji, Rec. s. I-1611, pkt 39; a także opinia rzecznika generalnego J. Kokott w sprawie Satakunnan Markkinapörssi i Satamedia, pkt 38.

( 84 )   Zobacz wyrok z dnia 16 lutego 2012 r. w sprawie C‑360/10 SABAM, pkt 48.

( 85 )   Organizacja Narodów Zjednoczonych, Rada Praw Człowieka, Sprawozdanie specjalnego sprawozdawcy w sprawie propagowania i ochrony prawa do wolności poglądów i wolności wypowiedzi, Frank La Rue (dokument A/HRC/17/27), z dnia 16 maja 2011 r.

( 86 )   Zobacz ww. wyrok w sprawie Satakunnan Markkinapörssi i Satamedia, pkt 60.

( 87 )   W tym miejscu należy przypomnieć, że wyjątek w art. 9 dyrektywy dotyczący dziennikarstwa znajduje zastosowanie „nie tylko do przedsiębiorstw medialnych, lecz również do każdej osoby prowadzącej działalność dziennikarską”. Zobacz ww. wyrok w sprawie Satakunnan Markkinapörssi i Satamedia, pkt 58.

( 88 )   Wyrok Europejskiego Trybunału Praw Człowieka w sprawie Times Newspapers Ltd przeciwko Zjednoczonemu Królestwu (nr 1 i nr 2), § 45.

( 89 )   Zobacz wyrok z dnia 24 listopada 2011 r. w sprawie C-70/10 Scarlet Extended, Zb.Orz. s. I-11959, pkt 46; ww. wyrok w sprawie SABAM, pkt 44.

( 90 )   Zobacz także wyrok z dnia 18 marca 2010 r. w sprawach połączonych od C-317/08 do C-320/08 Alassini i in., Zb.Orz. s. I-2213, pkt 63, w którym Trybunał orzekł, że „z utrwalonego orzecznictwa wynika, że prawa podstawowe nie mają charakteru bezwzględnego. Mogą one podlegać ograniczeniom, pod warunkiem że ograniczenia te rzeczywiście odpowiadają celom interesu ogólnego, jakim służy omawiane działanie, i że nie powodują z punktu widzenia realizowanych celów nieproporcjonalnej oraz niedopuszczalnej ingerencji w samą istotę praw w ten sposób gwarantowanych (zob. podobnie wyrok z dnia 15 czerwca 2006 r. w sprawie C-28/05 Dokter i in., Zb.Orz. s. I-5431, pkt 75 i przytoczone tam orzecznictwo; a także wyrok Europejskiego Trybunału Praw Człowieka z dnia 21 listopada 2001 r. w sprawie Fogarty przeciwko Zjednoczonemu Królestwu, nr 37112/97, Recueil des arrêts et décisions, 2001‑XI, § 33)”.

( 91 )   Paragraf 50.

( 92 )   Wyżej wymieniony.

( 93 )   W przedmiocie prawa do uzyskiwania informacji zobacz wyroki Europejskiego Trybunału Praw Człowieka: z dnia 26 listopada 1991 r. w sprawie Observer i Guardian przeciwko Zjednoczonemu Królestwu, seria A, nr 216, § 60; z dnia 27 listopada 2007 r. w sprawie Timpul Info‑Magazin i Anghel przeciwko Mołdawii, nr 42864/05, § 34.

( 94 )   Thomas Bowdler (1754–1825) opublikował ocenzurowaną wersję prac Williama Szekspira, która miała być bardziej odpowiednia dla kobiet i dzieci niż oryginał.

( 95 )   Wyrok w sprawie SABAM, pkt 45–47.

( 96 )   Zobacz moja opinia w sprawie L’Oréal i in., pkt 155.

( 97 )   Wyrok w sprawie SABAM, pkt 48, 50.

( 98 )   Opinia 1/2008 Grupy Roboczej Artykułu 29, s. 14, 15.

Top