Przeglądana kategoria

ochrona danych osobowych

ochrona danych osobowych

Kolejna kara finansowa za naruszenie RODO

24 czerwca 2019
naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych („Prezes UODO”) decyzją z dnia 25.04.2019 r. nałożył na Dolnośląski Związek Piłki Nożnej („DZPN”) administracyjną karę pieniężną w wysokości 55.750,50 zł za naruszenie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE[1] (ogólne rozporządzenie o ochronie danych) („RODO”). Jest to druga kara finansowa, jaką w Polsce nałożono na polskich przedsiębiorców od początku obowiązywania RODO. Pierwsza kara w wysokości blisko 1.000.000,00 zł została nałożona w marcu tego roku, o czym informowaliśmy w poprzednim wpisie.

Stan faktyczny

W lipcu 2018 r. DZPN poinformował Prezesa UODO o naruszeniu ochrony danych osobowych. Naruszenie to polegało na niezamierzonej publikacji na stronie internetowej związku danych osobowych 585 sędziów piłkarskich. Ujawnione dane obejmowały imię, nazwisko, numer PESEL oraz adres zamieszkania sędziego. W zawiadomieniu wskazano, że osoby, których dane przypadkowo opublikowano na stronie, zostały o tym fakcie powiadomione.

DZPN poinformował UODO, że podjął niezbędne kroki w celu usunięcia negatywnych skutków naruszenia.  W szczególności DZPN usunął wszelkie pliki z danymi ze strony internetowej związku oraz z wyniki wyszukiwania przeglądarek internetowych. Stosownie do wyjaśnień DZPN, dane osobowe zostały usunięte przez firmę sprawującą nadzór informatyczny nad stroną internetową związku piłkarskiego.

Na skutek skargi jednej z osób dotkniętej naruszeniem Prezes UODO podjął czynności sprawdzające. Organ zamierzał ustalić, czy dane osobowe sędziów zostały rzeczywiście usunięte ze strony internetowej DZPN. W ramach postępowania kontrolnego stwierdzono, iż dane osobowe sędziów, pomimo ich usunięcia ze strony internetowej związku piłkarskiego, są nadal dostępne za pośrednictwem wyszukiwarki internetowej po wpisaniu adresu URL „usuniętej” strony, gdzie dane zostały opublikowane lub „po podejrzeniu treści serwera DZPN”. Dopiero w toku postępowania kontrolnego udało się trwale usunąć przedmiotowe dane z wyników wyszukiwania przeglądarki internetowej.

Rozstrzygnięcie Prezesa UODO

Podstawą prawną nałożenia przez Prezesa UODO administracyjnej kary pieniężnej była przede wszystkim nieskuteczność działań DZPN zmierzających do usunięcia danych osobowych, tj. naruszenia z art. 32 ust. 1 RODO. Stosownie do treści przywołanego przepisu każdy administrator danych zobowiązany jest do wdrożenia środków technicznych i organizacyjnych, zapewniających odpowiedni poziom bezpieczeństwa danych osobowych. Administrator, oceniając czy stopień bezpieczeństwa jest odpowiedni, powinien uwzględnić potencjalne ryzyko związane z przetwarzaniem danych osobowych, w tym między innymi w stosownym przypadku zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b RODO). Przywołany przepis stanowi konkretyzację jednej z podstawowych zasad przetwarzania danych osobowych, tj. zasady integralności i poufności danych wyrażonej w art. 5 ust. 1 lit. f RODO.

Wysokość kary uzależniona była od szeregu czynników, tj. czasu trwania naruszenia, skali naruszenia, charakteru danych osobowych objętych incydentem. Mowa tu w szczególności o numerach PESEL, które stwarzało zagrożenie „kradzieży tożsamości” podmiotów danych. W ocenie Prezesa UODO okolicznościami przemawiającymi za złagodzeniem wymiaru kary był nieumyślny charakter incydentu, a także brak powstania szkody po stronie osób, których dane ujawniono.

Podsumowanie

W kontekście analizowanego rozstrzygnięcia Prezesa UODO należy podkreślić, iż jednym z fundamentalnych obowiązków administratora jest zapewnienie bezpieczeństwa przetwarzanych danych osobowych. Bezpieczeństwo danych można osiągnąć wyłącznie za pomocą efektywnych środków ochrony zarówno technicznych, organizacyjnych, jak i prawnych. Działania podejmowane w celu usunięcia niepożądanych skutków naruszenia ochrony danych osobowych nie mogą ograniczać się jedynie do sfery deklaracji. Obowiązkiem każdego administratora jest urzeczywistnienie wymogu bezpieczeństwa danych. Ma to szczególne znaczenie w ramach outsourcingu czynności przetwarzania danych osobowych, gdzie administrator powinien się upewnić czy podmiot, za pomocą którego dokonuje przetwarzania, faktycznie usunął dane osobowe.

Przypisy:

[1] Dz. U. UE L 119 z 04.05.2016, s. 1 ze zmianą ogłoszoną w Dz. U. UE L 127 z 23.05.2018, s. 2.

ochrona danych osobowych

Pierwsza kara za naruszenie RODO w Polsce

24 kwietnia 2019
RODO

Decyzją z dnia 15 marca 2019 r. (dalej – Decyzja) Prezes Urzędu Ochrony Danych Osobowych (dalej – Prezes UODO) nałożył na Spółkę naruszającą zasady wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE 119 z 04.05.2016 r. ze zm., dalej – RODO) pierwszą karę administracyjną w wysokości blisko miliona złotych.

Podstawa prawna naruszenia

RODO, w art. 14 ust. 1-3, nakłada na administratora danych osobowych obowiązek przekazywania osobie, której dane dotyczą, wyszczególnionych w przepisie informacji (takich jak m.in. informacje o podmiocie przetwarzającym dane, celu ich przetwarzania i okresie ich przechowywania), określając jednocześnie termin w jakim czynności informacyjne powinny zostać zrealizowane. To właśnie za naruszenie obowiązku informacyjnego Prezes UODO nałożył karę administracyjną w wysokości 943 470 złotych.

Stan faktyczny

Ukarana przez Prezesa UODO Spółka oferuje  w ramach swojej działalności m.in. sporządzanie raportów handlowych na rzecz podmiotów trzecich, wydawanie wykazów oraz list (np. adresowych, telefonicznych), zarządzanie stronami internetowymi. Spółka przetwarzała dane osobowe w celach zarobkowych, w sposób profesjonalny.  Dane te dotyczyły osób fizycznych prowadzących działalność gospodarczą (zarówno obecnie, jak i w przeszłości) i były pozyskiwane ze źródeł ogólnodostępnych – w tym z rejestrów publicznych (m.in. Centralna Ewidencja i Informacja o Działalności Gospodarczej, Monitor Sądowy i Gospodarczy, Baza REGON Głównego Urzędu Statystycznego).

Jednak nie wszystkie osoby, których dane Spółka przetwarzała, zostały o tym fakcie poinformowane. W sytuacji, w której dana osoba podawała w CEIDG swój adres e-mail, dostawała ona stosowną informację od Spółki odnośnie faktu przetwarzania swoich danych. W stosunku do pozostałych osób, Spółka zrezygnowała z przesyłania informacji o przetwarzaniu danych osobowych i poprzestała na zamieszczeniu stosownego komunikatu na swojej stronie internetowej.  Spółka zrezygnowała z osobistego kontaktu, celem spełnienia obowiązku informacyjnego, powołując się na art. 14 ust. 5 lit b) RODO.

Zgodnie z dyspozycją ww. przepisu, administrator nie musi realizować obowiązku informacyjnego, w sytuacji gdy wymagałoby to z jego strony niewspółmiernie dużego wysiłku. Zdaniem Spółki wysłanie tradycyjnej korespondencji listowej do wszystkich osób, których adresów e-mail Spółka nie posiadała (czyli ponad sześć i pół miliona osób), wiązałoby się ze znacznymi kosztami finansowymi, które mogłyby doprowadzić nawet do utraty płynności finansowej przez Spółkę.

Decyzja Prezesa UODO

Zdaniem Prezesa UODO, w tym przypadku, samo umieszczenie informacji związanych z obowiązkiem informacyjnym na stronie internetowej spółki, nie może być uznane za wystarczające spełnienie obowiązku informacyjnego.

Prezes UODO stwierdził także, że w tej sprawie nie wystąpiła przesłanka wyłączająca obowiązek informacyjny w postaci „niewspółmiernie dużego wysiłku”. Uznano, że spółka posiadała już w bazie dane adresowe, więc nie musiała podejmować wysiłku celem ich odnalezienia. Zgodnie z uzasadnieniem Decyzji, konieczność poniesienia kosztów związanych z wypełnieniem obowiązku informacyjnego nie stanowi „niewspółmiernie dużego wysiłku”.

Prezes UODO odczytał wyjaśniania ukaranej spółki o wysokich kosztach korespondencji listowej, jako chęć uniknięcia dodatkowych kosztów związanych z obowiązkiem informacyjnym. Jego zdaniem, takie podejście nie współgra z koniecznością zapewnienia gwarancji odpowiedniego poziomu zabezpieczenia praw i wolności podmiotów, których dane są przetwarzane. Motywacja spółki została potraktowana jako okoliczność dodatkowo obciążająca w tym postępowaniu. Jak wskazano w uzasadnieniu Decyzji „Od Spółki, jako profesjonalisty w tego rodzaju działalności, należy wymagać takiego ukształtowania strony biznesowej swojej działalności, które uwzględniałoby wszelkie koszty niezbędne dla zapewnienia jej zgodności z przepisami prawa”.

Prezes UODO uznał ponadto, że naruszenie miało charakter umyślny. Z kolei blisko milionowa kara została uzasadniona tym, że „wysokość kary powinna być na tyle duża, żeby Spółka, jako ukarany podmiot nie wkalkulowała jej w koszty swojej działalności”. Poza administracyjną kara pieniężną, spółka została zobowiązana do wykonania ciążącego na niej obowiązku informacyjnego w terminie trzech miesięcy od dnia doręczenia jej Decyzji.

Podsumowanie

Komentowana Decyzja jest ostateczna, jednak Spółce przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w terminie 30 dni od dnia jej doręczenia. Wniesienie skargi jest wysoce prawdopodobne. Spółka, w oświadczeniu zamieszczonym na swojej stronie internetowej, stwierdziła, że nie zgadza się z Decyzją. W ewentualnym postępowaniu odwoławczym powinno zostać wyjaśnione pojęcie „nadmiernie wysokiego wysiłku”, gdyż nałożona kara wynika właśnie z odmiennego zrozumienia tego pojęcia przez organ i administratora danych. Wydaje się, że dobrym rozwiązaniem byłoby zwrócenie się w kwestii interpretacji tego pojęcia do Trybunału Sprawiedliwości Unii Europejskiej.

ochrona danych osobowych

Pierwsze kary za naruszenie RODO

14 lutego 2019
RODO

Liczba skarg na naruszenie przepisów RODO kierowana do krajowych organów nadzorczych stale wzrasta. Część z nich stała się już podstawą do nałożenia kar finansowych w państwach europejskich. Warto więc zastanowić się nad tym, czy kwestią czasu nie pozostaje nałożenie pierwszych takich kar w Polsce.

Kary przewidziane przez RODO

Ogólne rozporządzenie o ochronie danych osobowych (dalej jako: „RODO”), przyznaje krajowym organom nadzorczym, monitorującym przestrzeganie RODO, szereg uprawnień[1]. Wśród nich znajdują się uprawnienia naprawcze, jak chociażby czasowe lub całkowite ograniczenie przetwarzania, czy czasowy lub całkowity zakaz przetwarzania danych osobowych.

Ponadto RODO przyznaje organom nadzorczym uprawnienie do stosowania, zamiast lub oprócz środków naprawczych, administracyjnej kary pieniężnej. Oznacza to możliwość łączenia środków stosowanych w przypadku naruszenia przepisów RODO. Może to rodzić szczególne dolegliwości po stronie podmiotów, które naruszenia się dopuściły.

Organy nadzorcze zobowiązane są zadbać o to, by nakładane na przedsiębiorców administracyjne kary pieniężne były w każdym przypadku skuteczne, proporcjonalne i odstraszające (skutek prewencyjny). Kara ma negatywnie oddziaływać na podmiot, który się dopuścił się naruszenia RODO, a ponadto zapobiegać takim naruszeniom w przyszłości.

Podejmując decyzję o nałożeniu administracyjnej kary pieniężnej oraz ustalając jej wysokość, organy nadzorcze obowiązane są do zwrócenia należytej uwagi na wiele okoliczności, takich jak charakter, waga i okres trwania naruszenia, umyślny charakter naruszenia czy kategoria danych osobowych, których naruszenie dotyczyło.

RODO przewiduje, w zależności od rodzaju naruszenia, kary pieniężne w wysokości do 10 000 000 euro w sprawach mniejszej wagi lub kary w wysokości do 20 000 000 euro przy poważniejszych naruszeniach. W przypadku przedsiębiorstwa, gdzie wysokość kary również zależy od wagi naruszenia, kary oscylują w wysokości 2% lub 4% całkowitego, rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, chyba, że kara ustalona kwotowo jest wyższa wtedy ona znajduje zastosowanie.

Pierwsze nałożone kary

Po ośmiu miesiącach od wejścia w życie RODO pojawiły się pierwsze decyzje, nakładające na nierzetelnych przedsiębiorców ww. kary. Jedna z nich dotyczyła portugalskiego szpitala Barreiro-Montijo. Tamtejszy organ nadzorczy Comissão Nacional de Proteção de Dados (w skrócie CNPD) nałożył na szpital karę w wysokości 400 000 euro. Zgodnie z ustaleniami portugalskiego organu nadzorczego, dostęp do kont pacjentów, zawierających ich dane kliniczne, miało 985 aktywnych kont. Jest to o tyle ciekawe, że w szpitalu pracowało jedynie 296 lekarzy. Byli pracownicy szpitala nie zostali bowiem pozbawieni dostępu do kont.

Najwyższa kara za naruszenie RODO

Obecnie najwyższa kara nałożona na podstawie RODO wyniosła 50 000 000 euro. Dnia 21.01.2019 r. Francuska Komisja ds. Informatyki i Wolności (dalej jako: „CNIL”)[2] nałożyła karę na znanego giganta technologicznego – Google LLC. Bodźcem do nałożenia kary były dwie skargi grupowe skierowane do CNIL przez organizacje non-profit None Of Your Business (NOYB) oraz La Quadrature du Net (LQDN). Google zarzucono m.in. nierzetelne wypełnienie obowiązku informacyjnego. Zgodnie z nim informacje dotyczące przetwarzania mają być ujęte w sposób jasny, zwięzły i zrozumiały, umożliwiający użytkownikom zrozumienie w pełni zakresu przeprowadzanych operacji przetwarzania danych, z uwzględnieniem celów przetwarzania, podstaw i sposobów przetwarzania.

Google nie realizowało tego obowiązku głównie przez nadmierne rozproszenie informacji na temat przetwarzania danych osobowych w wielu dokumentach, polegające na przekierowywaniu użytkowników z każdym kolejnym kliknięciem do innego dokumentu. Najważniejszym zarzutem było jednak to, że Google nie zbierało ważnych zgód użytkowników na przetwarzanie ich danych osobowych, w szczególności związanych z procesem personalizacji reklam.

W ocenie CNIL, zgody pozyskiwane przez Google nie spełniały wymogu „konkretności” i „jednoznaczności”. Ich treść nie wskazywała precyzyjnie dla jakich celów są zbierane. Użytkownik nie mógł więc w sposób w pełni świadomy potwierdzić woli przetwarzania jego danych osobowych w konkretnym zakresie i celach.

Stosowanie kar w Polsce…

Dotychczas prezes Urzędu Ochrony Danych Osobowych nie nałożył żadnej kary finansowej za naruszenie RODO. Brak kar nie jest jednak jednoznaczny z brakiem zawiadomień o naruszeniach. Jest wręcz przeciwnie – zawiadomienia takie są składane. Ich skala zaś rośnie nie tylko w Polsce, ale i w innych państwach członkowskich. Kary są więc prawdopodobnie nieuniknione i pozostają jedynie kwestią czasu. Wynika to głównie z pośpiechu w jakim przedsiębiorstwa wdrażały postanowienia RODO.

Warto podkreślić, że, państwa członkowskie mają możliwość wprowadzania dodatkowych sankcji za naruszenia RODO. Możliwe są zatem sytuacje, w których wobec podmiotu naruszającego zostanie orzeczona łącznie wysoka kara pieniężna i środek naprawczy np. w postaci czasowego zakazu przetwarzania danych, albo wysoka kara pieniężna i inna sankcja przewidziana w ustawodawstwie państwa członkowskiego. W przypadku takiej kumulacji sankcji powstaje niebezpieczeństwo paraliżu działalności przedsiębiorstwa, w tym utraty płynności finansowej, co może spowodować nawet konieczność ogłoszenia upadłości przedsiębiorstwa.

 

[1] W Polsce Prezesowi Urzędu Ochrony Danych Osobowych.

[2] CNIL to francuski, krajowy organ ochrony danych osobowych.

dobra osobiste ochrona danych osobowych

Czy Google odpowie za „gangstera” i swój algorytm?

10 stycznia 2019
google

W dniu 13.12.2018 r. Sąd Najwyższy wydał wyrok w głośnej sprawie przeciwko Google (I CSK 690/17). Sąd Najwyższy rozstrzygnął, że pojawienie się w wynikach wyszukiwarki określonych słów, m.in. „gangster”, po wpisaniu nazwiska w okienko wyszukiwania, nie przesądza o odpowiedzialności Google za bezprawne przetwarzanie danych osobowych. Może jednak dojść do naruszenia dóbr osobistych. Wobec tego Sąd Najwyższy przekazał sprawę Sądowi Apelacyjnemu do ponownego rozpoznania.

Stan faktyczny

Powód – Arkadiusz L. – wystąpił z pozwem o ochronę jego dóbr osobistych przeciwko wyszukiwarce Google. Żądał m.in. usunięcia linku kierującego internautów do artykułu sprzed kilkunastu lat, z archiwum tygodnika „Polityka„, pt. „Bardzo biedny gangster”. Pod linkiem zamieszczony był też tzw. „snippet” (krótki opis pojawiający się pod wynikiem wyszukiwania).

Rzeczone przekierowanie wyświetlało się w wynikach wyszukiwania, po wpisaniu imienia i nazwiska powoda. W samej zaś treści artykułu rzeczywiście pojawiały się dane osobowe powoda. Jednakże z pełnej treści artykułu (dostępnej po opłacie) wynika, że to nie powód był tytułowym „gangsterem”. Powód bowiem doprowadził do skazania przestępcy – tytułowego „gangstera”. Stąd zdaniem powoda taka sytuacja narusza jego dobra osobiste – cześć i wiarygodność zawodową.

Operator wyszukiwarki wskazywał, że wyświetlenie się określonych haseł w wynikach wyszukiwania wynika z automatycznego tworzenia linków i natury wyszukiwarki – nie jest możliwe przewidzenie, co pojawi się po wpisaniu w okno wyszukiwarki określonych słów. W odpowiedzi na przedsądowe wezwania powoda pozwany wskazywał, iż za treść snippetu odpowiada za administrator strony, do której kieruje wynik wyszukiwania.

W toku procesu powód skontaktował się z administratorem strony, zawierającej sporny artykuł i doprowadził do usunięcia snippetu.

Wyroki Sądu I i II instancji

Sąd I i II instancji zupełnie inaczej oceniły kwestię naruszenia dóbr osobistych powoda. Sąd Okręgowy (I instancji) oddalił powództwo w całości. Zwrócił uwagę, że za kształt snippetów, linków, opisów odpowiada administrator strony, nie Google. Jak wskazał: „wyniki wyszukiwania oraz snippety nie zawierają zatem jakichkolwiek twierdzeń pochodzących od operatora wyszukiwarki„. Sąd uznał, że umożliwienie Google ingerencji w tę treść spowodowałoby, że operator będzie „cenzorem internetu”. Sąd Okręgowy stwierdził, że jedyny związek pomiędzy artykułem a powodem jest taki, że sporny artykuł odnosił się w pewnej kwestii do powoda. Jednak nie znajdowało uzasadnienia stwierdzenie, że to powód miałby być tytułowym gangsterem, szczególnie w sytuacji, w której snippet został usunięty.

Na skutek apelacji powoda sprawa była rozpatrywana przez Sąd Apelacyjny. Sąd II instancji zmienił zaskarżony wyrok, zobowiązując Google do zaprzestania prezentowania w wyszukiwarce internetowej linku odsyłającego do spornego artykułu, po wpisaniu wyrazów „bardzo biedny gangster”. Sąd Apelacyjny podkreślił, że usunięcie snippetu nie spowodowało zaprzestania naruszenia dóbr osobistych powoda. Uznał, że w dalszym ciągu sporny artykuł wyświetla się w wynikach wyszukiwarki po wpisaniu określonych słów. Internautom nasuwa zaś skojarzenie, że to powód jest „bardzo biednym gangsterem”. Sąd Apelacyjny wskazał:

Ograniczony czas spędzany na wyszukiwaniu, „efekt pierwszego wrażenia”, mechanizm niepogłębionej racjonalnej oceny i typowe dla odbiorców wszystkich współczesnych mediów wyciąganie pochopnych wniosków na podstawie niezweryfikowanych przesłanek, skłania raczej do uznania, że przeciętny odbiorca (podobnie zresztą jak mechanizm wyszukiwarki) skojarzy wyszukiwaną frazę z tytułem będącym treścią linku.

Sąd odniósł się przy tym do tego, że sama publikacja artykułu z danymi powoda nie narusza jego dóbr osobistych. Natomiast powód ma prawo żądania usunięcia artykułu ze swoimi danymi osobowymi z listy wyników wyszukiwarki internetowej przez Google, które je przetwarza. Sąd II instancji uznał więc, że pozwany powinien był zgodnie z art. 32 ust. 2 UODO usunąć link do artykułu z listy wyników wyszukiwania wyświetlającego się po wpisaniu spornych słów kluczy.

Wyrok Sądu Najwyższego

Sąd Najwyższy uchylił wyrok Sądu Apelacyjnego i przekazał sprawę do ponownego rozpoznania. Nie podzielił stanowiska Sądu Apelacyjnego co do bezprawności działania Google jako podmiotu, który nie wykonał obowiązków z UODO. Zaznaczył jednak, że w sprawie mogło dojść do naruszenia czci powoda, co powinno zostać ponownie zbadane.

Komentarz autora

Aby móc żądać roszczeń z tytułu naruszenia dóbr osobistych musi przede wszystkim dojść do naruszenia określonego dobra osobistego. Ponadto naruszenie to musi być bezprawne (art. 24 KC). Pierwszym krokiem do dochodzenia roszczeń jest zaś ustalenie osoby naruszyciela. Sąd I instancji nie miał wątpliwości, że Google nie jest odpowiedzialne za naruszenie dóbr osobistych powoda. Natomiast Sąd Apelacyjny był przekonany, że jest inaczej. Upatrywał on jednak bezprawności działania pozwanego w tym, że Google nie wykonało swoich obowiązków z UODO. Sąd Najwyższy słusznie odrzucił tą koncepcję, stwierdzając, że w sprawie nie chodziło o korzystanie z danych osobowych powoda.

Wydaje się jednak, że w sprawie nie doszło do naruszenia dóbr osobistych powoda przez Google. Pozwany – jak wskazywał Sąd Okręgowy – nie miał bowiem wpływu na kształt wyników wyszukiwania. Jakie bowiem działanie pozwanego było w tej sytuacji bezprawne? W tym zakresie podzielam wyrok Sądu Okręgowego. Uważam, że absurdalne byłoby przypisywanie Google odpowiedzialności za działanie algorytmu, który automatycznie generuje wyniki wyszukiwania i nie jest możliwe przewidzenie, co pojawi się po wpisaniu w okno wyszukiwania określonych wyrazów. Aktualnie po wpisaniu w wyszukiwarkę zbioru słów „bardzo biedny gangster” w wynikach wyszukiwania nie wyświetlają się dane powoda – zatem tego opisu, nawet przeciętny użytkownik internetu, nie będzie kojarzył z powodem. Inną kwestią jest natomiast sama treść spornego artykułu – jednak, tu też nie można dopatrzeć się jakichkolwiek naruszeń dóbr osobistych powoda – jak wskazywały sądy rozpatrujące sprawę. Lektura całego artykułu nie pozostawia wątpliwości, że powód z pewnością nie był tytułowym gangsterem, a bohaterem.

dobra osobiste ochrona danych osobowych

Prawo do bycia zapomnianym nie dla znanych przedsiębiorców?

9 listopada 2017
prawo do bycia zapomnianym

Prawo do bycia zapomnianym jako dobro osobiste

Prawo do bycia zapomnianym było w ostatnim czasie przedmiotem postępowania przed Europejskim Trybunałem Praw Człowieka w Strasburgu. Trybunał rozpatrywał sprawę Fushmann przeciwko Niemcom, gdzie musiał wyważyć prawo do prywatności z wolnością słowa. Skarżącym w przedmiotowym postępowaniu był dość znany w Niemczech przedsiębiorca, który chciał skorzystać z tzw. prawa do bycia zapomnianym. Jak jednak  wynika z treści wyroku ETPCz, rozpoznawalny przedsiębiorca powinien być jednak traktowany jako osoba publiczna (public figure). W związku z tym musi liczyć się z krytyką w mediach, która w pewnych sytuacja może obierać ostrzejszą formę.

Ważenie dóbr osobistych

Skarżący domagał się przed sądami krajowymi ochrony dóbr osobistych, które – jego zdaniem – zostały naruszone przez zamieszczony w Internecie artykuł prasowy.  Zgodnie z jego treścią skarżący przedsiębiorca był m.in. powiązany z aferą korupcyjną, jak również z rosyjską mafią. Sądy krajowe zgodnie przyznawały rację pozwanym, twierdząc, że w interesie publicznym leży informowanie czytelników o tym, że znany przedsiębiorca jest częścią zorganizowanej grupy przestępczej. Stąd też prawo do bycia zapomnianym nie może być w tym przypadku czynnikiem decydującym o usunięciu przedmiotowej publikacji.

Skargę do ETPCz  Fushmann oparł na naruszeniu prawa do poszanowania życia prywatnego i rodzinnego (art. 8 Europejskiej Konwencji O Ochronie Praw Człowieka i Podstawowych Wolności, dalej: Konwencja). ETPCz przyznał rację sądom niemieckim i uznał, że utrzymywanie artykułów prasowych w archiwalnej wersji czasopisma było uzasadnione, gdyż zawarte tam treści były publikowane w interesie publicznym. Sąd podkreślił przy tym, że treści zawarte w artykule w tej sprawie były potwierdzone dokumentami. Ponadto odniósł się do tego, że artykuł dotyczył życia zawodowego Skarżącego, a nie prywatnego, stąd też nie doszło do naruszenia art. 8 Konwencji.

Komentarz

ETPCz poruszył aktualny problem ochrony dóbr osobistych (prawo do bycia zapomnianym) z punktu widzenia osób rozpoznawalnych przez szerokie grono osób. Omawiany wyrok pokazuje, że prawo do bycia zapomnianym nie działa automatycznie i może nie mieć zastosowania w określonych sytuacjach. W powyższej sprawie za pozostawieniem publikacji w Internecie przemawiał przede wszystkim interes publiczny. Z konkluzją tą oczywiście należy się zgodzić.

Z wyroku wynika również, że instytucja prawa do bycia zapomnianym może nie mieć zastosowania do określonych osób, tj. osób publicznych. Pojęcie osoby publicznej jest pojmowane w orzecznictwie bardzo szeroko, a ww. wyrok przypomina, że do kategorii tej zaliczają się także rozpoznawalni przedsiębiorcy, którzy zostali uznani przez ETPCz za public figure. Jednakże to, czy dana osoba zostanie zaliczona do tej kategorii, powinno zależeć od tego, jaką rolę pełni w życiu publicznym. Trzeba zauważyć, że pojawianie się danego przedsiębiorcy w mediach samo w sobie nie wystarcza do uznania go za osobę publiczną.

Orzeczenie wpisuje się w tendencję widoczną w ostatnich latach – zarówno w orzecznictwie europejskim, jak i polskim – poszerzania pojęcia osoby publicznej. Dotyka też ważkiego problemu ochrony dóbr osobistych poprzez skorzystanie z prawa do bycia zapomnianym, które do tej pory było raczej rozpoznawane w kontekście ochrony danych osobowych. Jak wynika z treści wyroku rozpoznawalni przedsiębiorcy muszą mieć świadomość, że informacje na ich temat zamieszczane w Internecie mogą pozostać tam na zawsze.