Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 20 września 2022 r. (sygn. C-339/20/VD i C-397/20/SR) ogłosił, że unijne prawo sprzeciwia się prewencyjnemu uogólnionemu i niezróżnicowanemu gromadzeniu danych o ruchu i danych dotyczących lokalizacji użytkowników komunikacji elektronicznej, z wyjątkiem przypadków poważnego zagrożenia dla bezpieczeństwa narodowego. Sprawę do TSUE skierował niemiecki Federalny Sąd Administracyjny (BVerwG).
W wydanym wyroku Trybunał przypomniał przede wszystkim swoje wcześniejsze orzecznictwo: „(...) sprzeczne z prawem Unii są krajowe środki ustawodawcze przewidujące, do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego, prewencyjne uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych dotyczących lokalizacji”.
Prawo unijne nie sprzeciwia się natomiast przepisom krajowym umożliwiającym, w celu ochrony bezpieczeństwa narodowego, nakazanie dostawcom usług łączności elektronicznej uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych dotyczących lokalizacji w sytuacjach, gdy dane państwo członkowskie napotyka poważne zagrożenie dla bezpieczeństwa narodowego, które okazuje się rzeczywiste i aktualne lub możliwe do przewidzenia. Taki nakaz może podlegać kontroli sądu lub niezależnego organu administracyjnego i może zostać wydany jedynie na określony czas, ograniczony do tego, co ściśle niezbędne, jednak z możliwością przedłużenia w przypadku utrzymywania się tego zagrożenia.
Komunikat TSUE wskazuje dalej, że „państwa członkowskie mogą jednak, w celu walki z poważną przestępczością i w ścisłym poszanowaniu zasady proporcjonalności, przewidzieć w szczególności ukierunkowane czy też szybkie zatrzymywanie takich danych, jak również uogólnione i niezróżnicowane zatrzymywanie adresów IP”.
Powyższy wyrok TSUE wpisuje się w utrwaloną linię orzeczniczą ograniczającą prawa podmiotów przetwarzających dane osobowe i gromadzących informacje o użytkownikach do poszanowania ich prawa do prywatności i dóbr osobistych.
Jedną z głośniejszych spraw dotyczących tej tematyki była sprawa gromadzenia danych przez Google (Google Spain SL, Google Inc. przeciwko Agencia de Protección de Datos (AEPD), Mario Costeja González sygn. C-131/12), która dotyczyła możliwości skorzystania przez użytkowników tej przeglądarki z tzw. prawa do zapomnienia, czyli prawa do wnioskowania o usunięcie swoich danych osobowych z wyszukiwarki internetowej.
Trybunał Sprawiedliwości Unii Europejskiej orzekł, wyszukiwarka Google musi usuwać z wyników wyszukiwania linki dotyczące nieaktualnych spraw. Podstawą usunięcia musi być jednak wniosek zainteresowanego. Na skutek wyroku TSUE Google wprowadził instrument wniosku o usunięcie danych osobowych, który można znaleźć na jego stronie.
Zainteresowany usunięciem lub jego pełnomocnik musi wypełnić dane osobowe mające podlegać usunięciu, uzasadnić wniosek oraz wykazać, że dane, które chce usunąć, są jego danymi. Odbywa się to poprzez zeskanowanie dokumentu ze zdjęciem (np. paszport). Najczęstszą przyczyną usunięcia informacji na temat użytkownika jest ich dezaktualizacja, niepełność czy też naruszenie dóbr osobistych. Google rozpatruje wnioski indywidualnie.
Przedstawione powyżej usunięcie danych z wyszukiwarki Google nie oznacza, że dane znikną z internetu. Prawo do zapomnienia skutkuje usunięciem danych z wyników wyszukiwarki. Poza tym jest pewna kategoria danych, która nie będzie podlegała usunięciu. Są to dane istotne z punktu widzenia interesu publicznego, czyli np. dotyczące osób pełniących ważne funkcje.
Agnieszka Hajdukiewicz
radca prawny
tel.: 0048 504 078 866
www.kancelariahajdukiewicz.com
Gazetka 216 – listopad 2022
