Unul dintre cele mai importante drepturi cu o relevanță deosebită în special în mediul online este dreptul la ștergerea datelor sau „dreptul de a fi uitat”. Înainte de apariția internetului, informațiile private despre viața unei persoane dispăreau în mod natural odată cu trecerea timpului[1]. Problema internetului de azi este că, deși oamenii uită în mod natural, mașinile și calculatoare își amintesc[2]. Înainte de apariția internetului, informațiile private despre viața unei persoane dispăreau în mod natural odată cu trecerea timpului[3]. În lucrarea „The right to be forgotten”, Paul Lambert[4] explică cum informațiile distribuite online pot afecta viața persoanelor în mod semnificativ, deoarece se poate ajunge la concedieri, refuz de angajare, refuzul de a accesa o universitate sau, în cazuri extreme, sinucideri ca urmare a unor activități de abuz online mai ales în privința copiilor și adolescenților[5].
Art. 17 alin. (1) din RGPD prevede faptul că „persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate […]”. Acest drept nu este unul absolut, iar el se poate exercita doar în anumite situații astfel cum vom arăta pe parcursul acestui articol. Mai mult, există anumite derogări de la exercitarea dreptului de ștergere despre care vom discuta în secțiunile următoare.
Cuprins:
1. Dreptul la ștergerea datelor în cauza Google Spain
2. Dreptul la ștergerea datelor în cauza Google France – despre întinderea teritorială a dreptului la ștergerea datelor
3. Dreptul la ștergerea datelor – un drept iluzoriu?
4. Obligația de ștergere a datelor și situațiile de aplicare
5. Conflictul dintre dreptul la ștergerea datelor și libertatea de informare și de exprimare
6. Dreptul la ștergerea datelor în practica instanțelor
6.1. România
6.2. Germania
6.3. Finlanda
6.4. Regatul Unit
1. Dreptul la ștergerea datelor în cauza Google Spain
În anul 2010, domnul Costeja González, cetățean spaniol cu domiciliul în Spania, a formulat o reclamație la AEPD împotriva unui cotidian cu difuzare largă, în special în Catalonia (Spania), precum și împotriva Google Spain și a Google Inc. Această reclamație se întemeia pe faptul că, atunci când un utilizator de internet introducea numele domnului Costeja González în motorul de căutare al grupului Google (denumit în continuare „Google Search”), se afișau linkuri către două pagini ale cotidianului La Vanguardia, pe care figura un anunț, în care se menționa numele domnului Costeja González, cu privire la o procedură de executare silită în vederea plății unor datorii la asigurările sociale.
Domnul Costeja González a solicitat eliminarea datelor sale cu caracter personal. AEPD a admis în parte reclamația, însă Google Spain și Google Inc s-au adresat instanței de judecată[7].
Instanța de trimitere a suspendat judecarea cauzei și a adresat CJUE mai multe întrebări preliminare. A treia întrebare preliminară viza dreptul la ștergerea datelor în raport cu un motor de căutare ca Google și a fost formulată astfel:
„În ceea ce privește întinderea dreptului de ștergere și/sau de opoziție în raport cu dreptul de a fi uitat, este adresată următoarea întrebare:
Trebuie să se interpreteze că drepturile de ștergere și de blocare a datelor, reglementate la articolul 12 litera (b), și dreptul de opoziție, reglementat la articolul 14 [primul paragraf] litera (a) din [Directiva 95/46], includ posibilitatea persoanei vizate de a se îndrepta împotriva operatorilor motoarelor de căutare pentru a împiedica indexarea informațiilor referitoare la persoana sa publicate pe paginile web ale terților, prevalându‑se de dorința sa ca informațiile respective să nu fie cunoscute de utilizatorii de internet atunci când consideră că acestea îi pot aduce prejudicii sau când dorește să fie uitate, deși este vorba despre informații publicate în mod legal de către terți?”
***
CJUE a consacrat jurisprudențial dreptul la ștergerea datelor statuând că „articolul 12 litera (b) și articolul 14 primul paragraf litera (a) din Directiva 95/46 trebuie interpretate în sensul că, pentru respectarea drepturilor prevăzute de aceste dispoziții și în măsura în care condițiile prevăzute de acestea sunt îndeplinite efectiv, operatorul unui motor de căutare este obligat să elimine de pe lista de rezultate, afișată în urma unei căutări efectuate plecând de la numele unei persoane, linkurile către paginile web publicate de terți și care conțin informații referitoare la această persoană și în ipoteza în care acest nume sau aceste informații nu sunt șterse în prealabil sau simultan de pe paginile web respective, iar aceasta, dacă este cazul, chiar dacă publicarea lor în sine pe paginile menționate este licită” (pct. 88).
Curtea a considerat că publicarea online a unor date personale care relevă informații intime despre o persoană poate afecta în mod semnificativ drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal „în cazul în care căutarea cu ajutorul acestui motor este efectuată plecând de la numele unei persoane fizice, întrucât prelucrarea menționată permite oricărui utilizator de internet să își formeze, prin intermediul listei de rezultate, o idee de ansamblu structurată cu privire la informațiile referitoare la această persoană care pot fi găsite pe internet, care ating în mod potențial o multitudine de aspecte ale vieții sale private și care, fără motorul de căutare menționat, nu ar fi putut sau ar fi putut doar foarte greu să fie combinate, și să stabilească astfel un profil mai mult sau mai puțin detaliat al acesteia. În plus, efectul ingerinței în drepturile amintite ale persoanei vizate este agravat ca urmare a rolului important pe care îl au în societatea modernă internetul și motoarele de căutare, care conferă informațiilor cuprinse într‑o asemenea listă de rezultate un caracter ubicuu” (pct. 80).
În continuare, Curtea a subliniat „efectul ingerinței în drepturile amintite ale persoanei vizate este agravat ca urmare a rolului important pe care îl au în societatea modernă internetul și motoarele de căutare, care conferă informațiilor cuprinse într‑o asemenea listă de rezultate un caracter ubicuu” (pct. 80).
Cu privire la asigurarea unui echilibru între dreptul la viață privată și dreptul utilizatorilor de interes de a avea acces la informația în cauză, Curtea a subliniat că, în general dreptul la viață privată și dreptul la protecția datelor prevalează „asupra interesului menționat al utilizatorilor de internet, acest echilibru poate să depindă însă, în cazuri particulare, de natura informației în discuție și de caracterul sensibil al acesteia în ceea ce privește viața privată a persoanei vizate, precum și de interesul publicului de a dispune de informația respectivă, care poate varia în special în funcție de rolul jucat de persoana menționată în viața publică” (pct. 81).
Prin răspunsul la cea de a treia întrebare, CJUE a oferit informații suplimentare despre asigurarea echilibrului dintre dreptul la viață privată și dreptul utilizatorilor de interes de a avea acces la informația în cauză și a subliniat faptul „aceste drepturi [dreptul la viață privată și dreptul la protecția datelor] prevalează în principiu nu numai asupra interesului economic al operatorului motorului de căutare, ci și asupra interesului acestui public de a avea acces la informația respectivă cu ocazia unei căutări referitoare la numele acestei persoane. Nu aceasta ar fi însă situația dacă ar reieși că, din motive speciale, precum rolul jucat de persoana respectivă în viața publică, ingerința în drepturile sale fundamentale este justificată de interesul preponderent al publicului menționat de a avea acces, prin intermediul acestei includeri, la informația în cauză” (pct. 99).
Ca urmare a deciziei CJUE, Google trebuie să decidă, de la caz la caz, în funcție de drepturile și interesele în cazul concret, dacă se justifică ștergerea datelor[8]. În secțiunea (*) vom arăta cum a fost implementat în practică de către Google dreptul la ștergerea datelor și cum poate fi el exercitat online.
În continuare vom discuta despre întinderea teritorială a dreptului la ștergerea datelor în conformitate cu o decizie mai recentă a CJUE în cauza Google France[9].
Implementează GDPR și evită amenzile!
2. Dreptul la ștergerea datelor în cauza Google France – despre întinderea teritorială a dreptului la ștergerea datelor
În această cauză s-a pus în discuție întinderea teritorială a dreptului la ștergerea datelor. Este operatorul unui motor de căutare obligat să șteargă datele din toate versiunile sale sau doar din cele ce aparțin statelor membre? Cu alte cuvinte, trebuie Google să șteargă datele și din versiunile altor state ce nu aparțin UE, ca de exemplu .com? CJUE a răspuns negativ. Astfel cum arată Curtea la pct. 73, „atunci când operatorul unui motor de căutare admite o cerere de dezindexare în temeiul acestor dispoziții, el nu este obligat să efectueze această dezindexare în ansamblul versiunilor motorului său, ci în versiunile acestuia care corespund ansamblului statelor membre”.
Pentru a ajunge la această concluzie, Curtea a luat în calcul două argumente principale. Un prin argument a fost acela că dreptul la dezindexare nu există în toate statele de pe glob, Curtea precizând faptul că „numeroase state terțe nu cunosc dreptul la dezindexare sau adoptă o abordare diferită față de acest drept” (pct. 59). Un al doilea argument a fost acela că este necesar un echilibru între dreptul la protecția datelor și alte drepturi fundamentale, iar acest echilibru poate varia semnificativ la nivel mondial. Curtea a explicat astfel:
„Pe de altă parte, dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și trebuie echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității [a se vedea în acest sens Hotărârea din 9 noiembrie 2010, Volker und Markus Schecke și Eifert, C‑92/09 și C‑93/09, EU:C:2010:662, punctul 48, precum și Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 136]. La aceasta se adaugă faptul că echilibrul dintre dreptul la respectarea vieții private și la protecția datelor cu caracter personal, pe de o parte, și libertatea de informare a utilizatorilor de internet, pe de altă parte, este susceptibil să varieze în mod semnificativ la nivel mondial (pct. 60).”
Ce se întâmplă în situația în care o persoană fizică își exercită cu succes dreptul la ștergere în lumina legislației europene? Îngrădirea accesului la informație trebuie să se extindă global sau doar în raport cu teritoriul digital al Uniunii? În cauza Google Spain, CJUE nu a oferit un răspuns la această întrebare. Cu toate acestea, ulterior acestei hotărâri, în 2015, Grupul de Lucru Art. 29 (GL29) a transmis către Google o scrisoare prin intermediul căreia i s-a pus în vedere că dreptul la ștergere trebuie să opereze global pentru o protecție efectivă și completă a drepturilor persoanelor[10].
Problema aplicării extrateritoriale a dreptului la ștergerea datelor a venit în atenția CJUE, câțiva ani mai târziu, în cauza Google France[11]. Atitudinea CJUE față de această problemă a fost diferită față de abordarea GL29. Cu titlu preliminar, CJUE a precizat că pentru a garanta un nivel ridicat de protecție a datelor personale (pct. 54), o aplicare globală a dreptului la ștergerea este „de natură să satisfacă pe deplin acest obiectiv”. Cu toate acestea, Curtea a subliniat faptul că dreptul Uniunii nici nu impune, în stadiul actual, dezindexarea din ansamblul versiunilor motorului de căutare, dar nici nu interzice această operațiune (pct. 72).
Pe de altă parte, dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și trebuie echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității [a se vedea în acest sens Hotărârea din 9 noiembrie 2010, Volker und Markus Schecke și Eifert, C‑92/09 și C‑93/09, EU:C:2010:662, punctul 48, precum și Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 136]. La aceasta se adaugă faptul că echilibrul dintre dreptul la respectarea vieții private și la protecția datelor cu caracter personal, pe de o parte, și libertatea de informare a utilizatorilor de internet, pe de altă parte, este susceptibil să varieze în mod semnificativ la nivel mondial (pct. 60).
Dar ce se întâmplă dacă motorul de căutare dezindexează datele doar din versiunile statelor membre (de exemplu .eu, .it, .ro), dar datele existente pe alte versiuni ale motoarelor (de exemplu .com) sunt în continuare vizibile în Uniunea Europeană? De exemplu, Google a dezindexat un articol defăimător despre persoana X din versiunile statelor membre (de exemplu .eu, .it, .ro), dar acel articol poate fi accesat de oricine de pe glob prin utilizarea altei versiuni a motorului de căutare, de exemplu Google.com. Cu alte cuvinte, articolul nu va apărea în lista de rezultate în măsura în care căutarea pe Google se realizează pe extensia .ro sau .eu, dar va apărea dacă se utilizează Google.com. Cu privire la această problemă, Curtea de Justiție arată, la pct. 70 din hotărâre, faptul că motorul de căutare trebuie să împiedice sau să descurajeze utilizatorii de internet din statele membre să acceseze acea informație. Redăm, în cele ce urmează, cuvintele Curții:
„Revine, în plus, operatorului motorului de căutare sarcina de a lua, dacă este necesar, măsuri suficient de eficiente pentru a asigura o protecție efectivă a drepturilor fundamentale ale persoanei vizate. Aceste măsuri trebuie, ele însele, să îndeplinească toate cerințele legale și să aibă ca efect împiedicarea sau, cel puțin, descurajarea în mod serios a utilizatorilor de internet din statele membre de la a avea acces la linkurile în cauză plecând de la o căutare efectuată pe baza numelui acestei persoane (a se vedea prin analogie Hotărârea din 27 martie 2014 (pct. 70)”
Să ne oprim aici și să ne imaginăm un paradis al libertății de informare într-un alt loc de pe glob, unde protecția datelor are o influență atât de slabă, încât accesul la informație este rareori limitat. Discuția este utopică. Să presupun că versiunea Google din statul respectiv este .ut. Ce ar însemna acest lucru conform hotării CJUE? În primul rând, în situația în care se dă curs unei cereri de ștergere, Google nu este obligat să dezindexeze paginile web și din terminația .ut. În al doilea rând, Google trebuie să ia măsuri pentru a descuraja utilizatorii din Uniune să acceseze respectivele pagini web din versiunea motorului Google .ut. Acest lucru se poate realiza prin intermediul geo-blocării, însă, astfel cum s-a arătat în doctrină, deși Google folosește geo-blocarea și redirecționează automat utilizatorul de internet corespunzător locației sale[12], eficacitatea geo-blocării este limitată deoarece se poate utiliza o soluție de tip VPN (Virtual Private Network) pentru a accesa informațiile[13]. În final, având în vedere că utilizatorii de internet se pot conecta, fără limite, prin orice alte canale, iar informația poate comunica liber și fără restricții, eficiența dreptului la ștergere pe internet este iluzorie.
Implementează GDPR și evită amenzile!
3. Dreptul la ștergerea datelor – un drept iluzoriu?
În lucrarea „The right to be forgotten”, Paul Lambert[14] explică cum informațiile distribuite online viața persoanelor în mod semnificativ, deoarece se poate ajunge la concedieri, refuz de angajare, refuzul de a accesa o universitate sau, în cazuri extreme, sinucideri ca urmare a unor activități de abuz online mai ales în privința copiilor și adolescenților[15]. În practică, dreptul la ștergerea datelor rămâne un drept iluzoriu din mai multe puncte de vedere. În primul rând, persoana trebuie să își exercite dreptul la ștergere în raport cu o serie de operatori. Dacă reușește să își șteargă datele în raport cu motorul de căutare Google, există o mulțime de alte motoare de căutare în raport cu care trebuie să facă aceeași procedură. În al doilea rând, chiar dacă datele sunt dezindexate din motorul de căutare, link-ul este în continuare accesibil și poate fi accesat de cei care îl cunosc sau prin intermediul Dark Web. În al treilea rând, chiar dacă se reușește exercitarea dreptului la ștergere și în raport cu site-urile, iar link-urile se elimină, este posibil ca informația să fi fost stocată local și să reapară pe internet oricând.
Deși discuția cu privire la găsirea de soluții pentru a da eficacitate dreptului la ștergere rămâne deschisă, o abordare complementară este și educarea utilizatorilor de internet cu privire la riscurile distribuirii de date personale.
4. Obligația de ștergere a datelor și situațiile de aplicare
Art. 17 alin. (1) RGPD prevede faptul că, în anumite condiții, „persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate […]”. Exercitarea acestui drept trebuie să fie gratuită, cu excepția situației în care cererea este nefondată sau excesivă[16]. Atunci când primește o cerere de ștergere, operatorul trebuie să comunice cu persoana vizată „într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu” (art. 12 alin. 1 RGPD). În situațiile în care sunt mai mulți operatori asociați implicați în prelucrare, aceștia pot stabili, printr-un contract, cine este responsabil cu facilitarea exercitării dreptului, însă, indiferent de existența unui contract, persoana vizată rămâne liberă să își exercite drepturile în raport cu oricare dintre operatori[17]. În situația în care cererea persoanei este adresată persoanei împuternicite, aceasta din urmă trebuie să redirecționeze cererea către operator.
Din art. 17 rezultă și o obligație corelativă dreptului la ștergerea datelor, respectiv obligația de a șterge datele cu caracter fără întârzieri nejustificate. În ceea ce privește această obligație de ștergere sunt necesare anumite considerații suplimentare.
În primul rând, această obligație de ștergere care se naște ca urmare a exercitării dreptului de acces nu trebuie confundată cu obligația generală a operatorului de a șterge datele pentru respectarea principiului reducerii la minimum a datelor (art. 5 alin. (1) lit. c) RGPD). Potrivit acestui principiu, operatorul, în situația în care realizează că unele date nu sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile, trebuie să anonimizeze sau să șteargă datele. Această obligație generală de ștergere se execută indiferent dacă există sau nu o cerere a unei persoane vizate. În schimb, în privința dreptului de ștergere, ștergerea datelor se realizează doar dacă există o cerere în acest sens din parte persoanei vizate.
În al doilea rând, aflat în fața unei cereri de ștergere, operatorul trebuie să decidă, de la caz la caz, dacă se justifică ștergerea datelor. În acest sens art. 17 alin. (1) RGPD prevede faptul că ștergerea datelor trebuie dacă este îndeplinită cel puțin o condiție, respectiv:
(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), și nu există niciun alt temei juridic pentru prelucrarea;
(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);
(d) datele cu caracter personal au fost prelucrate ilegal;
(e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul; (f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale menționate la articolul 8 alineatul (1).
În al treilea rând, art. 17 alin. (3) RGPD indică o listă limitativă de excepții care îi permit operatorului să nu șteargă datele cu caracter personal:
(a) pentru exercitarea dreptului la liberă exprimare și la informare;
(b) pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul;
(c) din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 9 alineatul (2) literele (h) și (i) și cu articolul 9 alineatul (3);
(d) în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în măsura în care dreptul menționat la alineatul (1) este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective; sau
(e) pentru constatarea, exercitarea sau apărarea unui drept în instanță.
În afară de excepțiile menționate mai sus, operatorul poate refuza îndeplinirea obligației de ștergere atunci când poate demonstra că nu este în măsură să identifice persoana vizată (art. 12 alin. 2 RGPD).
În al patrulea rând, dacă sunt îndeplinite condițiile legale, ștergerea datelor trebuie realizată fără întârzieri nejustificate (art. 17 alin. (1) RGPD) și, în orice caz, „în cel mult o lună de la primirea cererii” (art. 12 alin. (3) RGPD)[18]. Perioada de o lună nu ar trebui interpretată ca o undă verde pentru a putea amâna acțiunea de a șterge deoarece, astfel cum s-a arătat în doctrină, unele situații pot fi urgente și implica riscuri ridicate, iar dacă ștergerea poate fi realizată în prezent, amânarea ar fi nerezonabilă[19].
În final, dacă dreptul la ștergerea datelor nu este justificat, iar operatorul decide să nu șteargă datele, acestuia îi revine o obligație suplimentară de informare a persoanei vizate[20] cu privire la motivele pentru care nu șterge datele și cu privire la „posibilitatea de a depune o plângere în fața unei autorități de supraveghere și de a introduce o cale de atac judiciară” (art. 12 alin. 4 RGPD).
Pe lângă obligația de șterge datele în situațiile în care ștergerea este întemeiată, operatorul are și o obligație suplimentară în situația în care a făcut publice datele personale. În această situație, trebuie să ia măsuri rezonabile „pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ștergerea de către acești operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal” (art. 17 alin. (2) RGPD). Din redactarea acestui text reiese că obligația operatorului de comunicare informare este o obligație de mijloace, iar nu de rezultat. Cu alte cuvinte, operatorul trebuie să depună toate eforturile rezonabile pentru a informa, dar dacă actul de a comunica este imposibil sau presupune eforturi disproporționate, operatorul este exonerat de obligația sa atât timp cât poate demonstra caracterul imposibil sau disproporționat. Important de precizat este și faptul că operatorul are această obligație chiar dacă persoana vizată nu solicită expres[21].
5. Conflictul dintre dreptul la ștergerea datelor și libertatea de informare și de exprimare
Art. 11 din Carta drepturilor fundamentale a Uniunii Europene (CDFUE) prevede că la alin. (1) faptul că „orice persoană are dreptul la libertatea de exprimare. Acest drept cuprinde libertatea de opinie și libertatea de a primi sau de a transmite informații sau idei fără amestecul autorităților publice și fără a ține seama de frontiere”. Acest drept se regăsește și în CEDO la art. 10[22]. Libertatea de exprimare și informare, dreptul la viață privată și dreptul la protecția datelor nu sunt drepturi absolute și ele trebuie văzute în context. Care drept primează? Acest lucru depinde de mai mulți factori printre care conținutul informației (relevanță, exactitate), rolul pe care îl îndeplinește persoana în societate sau gradul de risc pentru drepturile și libertățile persoanei vizate. GL29 a publicat o listă de criterii neexhaustive care ar trebui luate în calcul pentru a descoperi care drept primează[23] și a subliniat faptul că dacă interesul publicului de a avea acces la informație prevalează asupra drepturile persoanei vizate, dezindexarea va fi nerezonabilă[24].
Ca regulă, astfel cum arată CJUE în cauza Google Spain[25], dreptul la viață privată și dreptul la protecția datelor prevalează asupra interesului public de a avea acces la informație, cu excepția situației în care există un interes al publicului de a accesa informația, de exemplu atunci când persoana vizată joacă un rol în viața publică[26]. În această situație, dreptul la ștergerea datelor poate pune piedici nerezonabile libertății de informare. Astfel cum s-a arătat într-o lucrare, efectele nedorite includ ștergerea datelor de către politicieni sau de către medici care doresc să țină ascunse activitățile de malpraxis[27].
În orientările privind implementarea hotărârii Google Spain, GL29 a oferit o listă de criterii flexibile și neehaustive pentru a determina care drept primează și dacă se vor șterge datele personale, dintre care exemplificăm[28]:
-
- Se referă datele la o persoană fizică în viață?
- Persoana vizată joacă un rol în viața publică?
- Sunt datele exacte?[29]
- Sunt datele relevante și neexcesive?[30]
- Sunt informațiile sensibile?[31]
- Sunt datele actualizare?
- Cauzează publicarea datelor un prejudiciu persoanei vizate?[32]
- În ce context au fost publicate datele? Au fost datele publicate în mod manifest de către persoana vizată?
Cu privire la aceste criterii, sunt necesare mai multe informații suplimentare. În primul rând, deși ele au fost publicate pentru motoare de căutare, acestea pot si extrapolate și către alte domenii sau platforme online. În al doilea rând, în principiu, criteriile nu pot servi singure către luarea unei decizii de a șterge sau nu datele și ar trebui analizate împreună. În final, criteriile nu sunt nici exhaustive și nici rigide, ci servesc doar ca orientări. În secțiunea următoare vom discuta cum s-a realizat echilibrarea drepturilor opuse în practica instanțelor.
7. Dreptul la ștergerea datelor în practica instanțelor
6.1. România
Potrivit portalului rolii.ro, cel mai des se invocă dreptul la ștergerea datelor în contextul prelucrării datelor de către Biroul de Credit. Din analiza jurisprudenței naționale a rezultat că dreptul a fost exercitat cu succes în perioada anterioară aplicării RGPD, însă, ulterior RGPD, practica majoritară a instanțelor este de a respinge acțiunile ce vizează dreptul la ștergerea datelor din baza de date a Biroului de Credit deoarece prelucrarea acestora este justificată în temeiul interesului legitim[33] deoarece, astfel cum arată o sentință a Judecătoriei Sectorului 3 „băncile au interes în prelucrarea datelor cu caracter personal ale persoanelor care au beneficiat de împrumuturi și au înregistrat întârzieri la plată în vederea atingerii scopului legitim al participanților de a fi evaluată solvabilitatea acestor persoane, de a fi redus riscul la creditare și a fi determinat gradul de îndatorare a debitorilor persoane fizice” [34]
Este surprinzător cum numărul acțiunilor de ștergere a datelor în raport cu Biroul de Credit continuă să crească deși practica instanțelor pare să se fi format în jurul respingerii acestor cereri. Este surprinzător și de ce nu se încearcă utilizarea unui mecanism mai potrivit precum dreptul de a nu face obiectivul unei decizii exclusiv automate[35].
Cu toate acestea, și în România, există jurisprudență favorabilă dreptului la ștergerea datelor. De exemplu, prin sentința nr. 747/2019, definitivă, Judecătoria Sectorului 5 a obligat Compania Națională „Aerporturi București” SA să șteargă datele personale constând în adresa de domiciliu, codul numeric personal, data și locul eliberării cărții de identitate publicate în cadrul platformei online http://www.bucharestairports.ro și să plătească persoanei vizate daune morale de 10.000 euro pentru adus ca urmare a publicării datelor personale în spațul public.
Implementează GDPR și evită amenzile!
6.2. Germania
Germania. Federal Constitutional Court/ 1 BvR 16/13 („Right to be Forgotten I“)[36]
Reclamantul, o persoană condamnată pentru crimă în 1982 și eliberată în 2002, a depus o plângere împotriva unei hotărâri a Curții Federale de Justiție (Bundesgerichtshof). În noiembrie 2012, Curtea Federală de Justiție a respins cererea reclamantului de a limita disponibilitatea informațiilor cu caracter personal în mediatizarea cazului de crimă, care a fost accesibilă gratuit la arhiva online a revistei de știri DER SPIEGEL. Curtea Federală de Justiție a hotărât că primează dreptul la informare al publicului în fața vieții private a reclamantului.
6.3. Finlanda
Prin Decizia nr. 3774[37], Curtea Supremă Administrativă din Finlanda a decis ștergerea datelor cu privire la o persoană aflată sub supraveghere psihiatrică și că a fost condamnată pentru crimă.
X a solicitat către Google Finlanda și Google Inc. să elimine link-urile către două rezultate care se generau utilizând numele X în motorul de căutare Google. Cele două rezultate conțineau două pagini web care conțineau informații referitoare la starea de sănătate a lui X, faptul că acesta s-a aflat sub supraveghere psihiatrică și că a fost condamnat pentru crimă. Google Finlanda și Google Inc. au refuzat cererea de ștergere invocând libertatea de exprimare și interesul publicului de a avea acces la informații de interes public. În decizia sa, Curtea Supremă Administrativă din Finlanda a pus în balanță, pe de o parte, dreptul la viață privată și la protecția datelor cu caracter personal și, pe de altă parte, interesul public. Decizia s-a întemeiat pe legislația națională finlandeză care a transpus directiva 95/46/CE.
În interpretarea legislației privind protecția datelor, Curtea Supremă Administrativă din Finlanda a făcut referire la hotărârea CJUE în Cauza C-131/13 prin intermediul căreia CJUE a statuat că, în general, dreptul la protecția datelor cu caracter personal depășește, în general, interesul publicului de a avea acces la respectivele date personale în situația unei căutări pe internet prin intermediul unui motor de căutare. Curtea Supremă a considerat că trebuie realizat un echilibru între cele două drepturi și interese, iar rezultatul testului de echilibrare depinde și de natura informației, de gradul de sensibilitate și de gradul de interes al publicului în a avea acces la respectiva informație.
X a fost condamnat la închisoare (10 ani și 6 luni) pentru crimă. Legislația privind protecția datelor clasifică datele privind infracțiunile și condamnările drept „informații sensibile”. Cu toate acestea, Curtea Administrativ Supremă a statuat că, deși datele menționate erau sensibile, X putea fi considerat ca jucând un rol în viața publică din cauza naturii infracțiunii sale.
Pe de altă parte, datele cu caracter personal sensibile legate de sănătatea fizică sau psihică a unei persoane se află în centrul interior al dreptului la respectarea vieții private. În plus, cele două pagini web în cauză ar putea fi găsite și accesate prin intermediul motorului de căutare, de asemenea, fără a face o căutare bazată pe numele lui X. În opinia Curții Administrative Supreme, eliminarea linkurilor către cele două adrese web din rezultatele obținute în urma unei căutări efectuate pe baza numelui lui X nu ar putea fi considerată a limita posibilitățile publicului de a participa la dezbateri societale sau de a-și exercita libertatea de exprimare.
Prin urmare, interesul publicului nu a prevalat asupra dreptului lui X la viață privată și la protecția datelor cu caracter personal. Cele două linkuri din rezultatele căutării, pe care Google Inc. a fost solicitată să le elimine, nu erau necesare, în sensul Legii privind datele cu caracter personal, în ceea ce privește scopul prelucrării datelor de către Google Inc. Curtea Administrativă Supremă a concluzionat că, ținând seama de dispozițiile naționale relevante, articolele 7, 8 și 11 din cartă, articolele 8 și 10 din CEDO, articolul 7 litera (f) din Directivă și probele prezentate în fața instanței, Google Inc. putea fi obligată să elimine cele două linkuri din rezultatele căutării.
6.4. Regatul Unit. England and Wales High Court. NT1 și NT2 împotriva Google LLC[38]
Doi oameni de afaceri condamnați pentru infracțiuni, ale căror date au fost anonimizate de către instanță, NT1 și NT2, au introdus o acțiune împotriva Google deoarece refuza să șteargă datele de pe internet. Instanța a decis că datele reclamantului NT2 trebuie șterse. În schimb, în ceea ce îl privește pe NT1, instanța a refuzat cererea de ștergere deoarece a considerat că informațiile sunt de interes pentru publicul larg. În ambele cazuri instanța a aplicat criteriile propuse de GL29[39].
Acțiunea ce privea ștergerea datelor introdusă de către NT1 nu a fost admisă de instanță. În primul rând, instanța a considerat că, având în vedere că infracțiunea a fost săvârșită în calitatea sa de om de afaceri pe care o deține și în prezent și că domeniul de activitate este similar, informația joacă un rol importat pentru interesul publicului. Instanța a precizat și că informațiile sunt necesare pentru evaluarea onestității sale de către publicul larg. Instanța a considerat că datele aveau legătură cu viața sa de afaceri, iar nu cu viața privată. Mai mult, arată instanța, „informațiile au apărut inițial în contextul raportării infracționale și judiciare în mass-media națională”. Alți factori luați în calcul de instanță au fost că NT1 nu și-a acceptat vina pentru săvârșirea infracțiunii și că a indus publicul în eroare[40].
În schimb, acțiunea introdusă de către NT2 a fost admisă, iar instanța a obligat Google să șteargă datele. Instanța a considerat că acțiunea ar trebui admisă deoarece informațiile privind săvârșirea infracțiunii nu mai sunt de actualitate, sunt irelevante și nu există un interes legitim suficient al utilizatorilor de a avea acces la respectivele informații. Instanța a precizat și faptul că infracțiunea a fost recunoscută și că NT2 și-a arătat regretul. Mai mult, instanța a fost de părere că nu există nicio probă din care să rezulte un risc al repetării infracțiunii deoarece domeniul său de afaceri este diferit față de cel în care activa atunci când a săvârșit infracțiunea. Prin urmare, trecutul său nu mai este relevant pentru activitatea sa curentă sau viitoare și nu există niciun interes ca publicul să fie atenționat cu privire la acea activitate.
Analizând comparativ cele două cazuri, observăm că instanța a decis ștergerea datelor în cazul NT2 deoarece acesta desfășoară o activitate într-un domeniu diferit, iar informațiile nu sunt relevante pentru public. În schimb, instanța a refuzat ștergerea datelor în cazul NT1 deoarece a considerat că domeniul de activitate este similar cu cel în cadrul căreia a săvârșit infracțiunea și că respectivele informații sunt relevante pentru public pentru a putea evalua gradul său de onestitate. Totodată, spre deosebire de NT1, în cazul NT2, instanța a observat că acesta a recunoscut fapta și și-a exprimat regretul pentru săvârșirea infracțiunii.
Referințe
[1] Simon Wechsler, The Right to Remember: The European Convention on Human Rights and the Right to Be Forgotten, Columbia Journal of Law & Social Problems, 2015, Vol. 49, Issue 1, p. 136.
[2] Paul Lambert, The right to be forgotten. Interpretation and practice, Ed. Bloomsbury Professional, 2019, Kindle Amanzon Version, p. 99.
[3] Simon Wechsler, op. cit., p. 136.
[4] Paul Lambert, op. cit.
[5] Idem, p. 70.
[6] CJUE, Cauza C-131/12, Google Spain și Google, hotărârea din 13 mai 2014, ECLI:EU:C:2014:317.
[7] Rezumat conform legalup.ro, link accesat 12.02.2020.
[8] Simon Wechsler, op. cit., p. 142.
[9] CJUE, Cauza C-507/17, Google (Portée territoriale du déréférencement), hotărârea din 24 septembrie 2019, ECLI:EU:C:2019:772.
[10] Article 29 Data Protection Working Party, Scrisoare către Google, 6 ianuarie 2015.
[11] CJUE, Cauza C-507/17, hot. cit. supra.
[12] P.T.J. (Pieter) Wolters, The territorial effect of the right to be forgotten after Google v CNIL, International Journal of Law and Information Technology, 2021, p. 11.
[13] Idem, p. 13.
[14] Paul Lambert, op. cit.
[15] Idem, p. 70.
[16] Potrivit art. 12 alin. (5) RGPD operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cereri. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate: (a) fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea informațiilor sau a comunicării sau pentru luarea măsurilor solicitate; (b) fie să refuze să dea curs cererii.
[17] Pentru mai multe informații despre relația dintre operatorii asociați și drepturile persoanei vizate a se consulta art. 26 RGPD.
[18] Art. 12 alin. (3) RGPD: „[…] Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format.”
[19] Paul Lambert, op. cit., p. 277.
[20] Potrivit art. 12 alin. 4 din RGPD informarea trebuie realizată fără întârziere și în termen de cel mult o lună de la primirea cererii.
[21] Analogie cu dreptul la restricționare. A se vedea Gloria Gonzalez Fuster în lucrarea Christopher Kuner, Lee A. Bygrave, Christopher Docksey (coord.), The EU General Data Protection Regulation (GDPR). A commentary, Oxford University Press, 2020, p. 495.
[22] Art. 53 alin. (3) din Cartă precizează că în situațiile unei corespondențe între drepturile din Cartă și drepturile din CEDO, înțelesul și întinderea drepturilor din Cartă sunt aceleași cu cele din Convenție.
[23] GL29, Guidelines on the implementation of the Court of Justice of the European Union judgment on “Google Spain and INC V. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González” C-131/12, adoptat la 26 noiembrie 2014, p. 12-20.
[24] Idem, p. 2.
[25] CJUE, Cauza C-131/12, Google Spain și Google, hotărârea din 13 mai 2014, ECLI:EU:C:2014:317.
[26] Hielke Hijmans, Right to Have Links Removed: Evidence of Effective Data Protection: Case C-131/12 Google v. Agencia Española de Protectión de Datos (AEPD) and Mario Costeja Gonzalez, Judgment of 13 May 2014, Maastricht Journal of European and Comparative Law, Volume: 21 issue: 3, septembrie 2014, p. 561-562.
[27] Simon Wechsler, op. cit., p. 144.
[28] GL29, doc. cit supra n. 23, p. 12-20.
[29] Dacă datele nu sunt exacte, ar trebui să se opereze ștergerea datelor.
[30] Dacă datele sunt irelevante și excessive, acestea ar trebui șterse.
[31] Cu cât informațiile sunt mai sensibile, cu atât sunt șanse mai mari să prevaleze dreptul la viață privată.
[32] Potrivit GL29, persoana vizată nu trebuie să demonstreze existența prejudiciului pentru a solicita dezindexarea. Cu alte cuvinte, existența unui prejudiciu nu este o condiție prealabilă cu privire la exercitarea dreptului la ștergere. Însă, dacă disponibilitatea datelor cauzează prejudicii persoanei vizate, acest lucru este un factor puternic în favoarea ștergerii. WP29, Guidelines on the implementation of the Court of Justice of the European Union judgment on “Google Spain and INC V. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González” C-131/12, adoptat la 26 noiembrie 2014, p. 18.
[33] A se vedea, de exemplu, sentința civilă nr. 867/2019 a Judecătoriei Sectorului 3 „În ceea ce privește, dreptul de ștergere a datelor personale, instanța reține din analiza dispozițiilor din Regulamentul UE, că acesta poate fi exercitat atunci când datele au fost prelucrate ilegal (adică în alt scop decât în cel pentru care au fost colectate inițial), or, astfel cum am arătat în speță prelucrarea datelor cu caracter personal de către pârâtă s-a realizat conform dispozițiilor legale, apoi când datele nu mai sunt necesare scopului pentru care au fost prelucrate inițial, dacă datele trebuie șterse pentru îndeplinirea unei obligații legale a participantului (cum ar fi, de exemplu, un act normativ), respectiv dacă persoana vizată se opune prelucrării, fără să existe motive legitime din partea Biroului care să impună totuși acest lucru”
[34] A se vedea, de exemplu, sentința civilă nr. 867/2019 a Judecătoriei Sectorului 3 „În ceea ce privește, dreptul de ștergere a datelor personale, instanța reține din analiza dispozițiilor din Regulamentul UE, că acesta poate fi exercitat atunci când datele au fost prelucrate ilegal (adică în alt scop decât în cel pentru care au fost colectate inițial), or, astfel cum am arătat în speță prelucrarea datelor cu caracter personal de către pârâtă s-a realizat conform dispozițiilor legale, apoi când datele nu mai sunt necesare scopului pentru care au fost prelucrate inițial, dacă datele trebuie șterse pentru îndeplinirea unei obligații legale a participantului (cum ar fi, de exemplu, un act normativ), respectiv dacă persoana vizată se opune prelucrării, fără să existe motive legitime din partea Biroului care să impună totuși acest lucru”
[35] Pentru mai multe informații despre dreptul de a nu face obiectul unei decizii automate, a se consulta Ruxandra Sava, Când decizia o ia mașina… Despre profilare, drepturi și echilibru într-un univers digital, Revista Romana pentru Protecția și Securitatea Datelor cu Caracter Personal nr. 3/2020.
[36] Conform FRA.
[37] Conform FRA.
[38] NT 1 & NT 2 v Google LLC [2018] EWHC 799 (QB) (13 April 2018).
[39] GL29, Guidelines on the implementation of the Court of Justice of the European Union judgment on “Google Spain and INC V. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González” C-131/12, adoptat la 26 noiembrie 2014, p. 12-20.
[40] NT 1 & NT 2 v Google LLC [2018] EWHC 799 (QB) (13 April 2018), par. 170.