A határtalan internet korában személyes adatainkat csak az Európai Unión belül illeti meg hatékony védelem. Ez nem tűnik túl biztatónak, hiszen a személyes adatok kezelése és továbbítása nem ismer határokat. Hatékonyság ide vagy oda, az Európai Unió Bírósága (EUB) egy friss ítéletében rögzítette, hogy a személyes adatok védelméhez fűződő jog nem nyújt biztonságot az unión kívül. A 2019. szeptember 24-én nyilvánosságra hozott ítélet az úgynevezett felejtéshez vagy elfeledéshez való jog (right to be forgotten) területi korlátozásáról szól (1).
A felejtéshez való jog nem új keletű intézmény. Már azelőtt, hogy a GDPR (2) intézményesítette volna, az Adatvédelmi Munkacsoport (3) levezette a korábbi adatvédelmi irányelvből (4). A felejtéshez való jog értelmében az adatkezelő nem csupán az adatok törléséért felel, hanem azért is, hogy az érintett erre vonatkozó kéréséről tájékoztassa az említett adatokat másolatok, másodpéldányok vagy linkek útján feldolgozó harmadik feleket, akik szintén kötelesek a törlés iránti kérelemnek eleget tenni (5).
A mostani döntés értelmében a felejtéshez való jog gyakorlása során az egyén az európai vonatkozású domainek tekintetében kérheti a találati listából való törlést, az unión kívüli domainek tekintetében azonban a jelenleg hatályos uniós jog nem teszi kötelezővé a kifogásolt linkek törlését. Fontos ugyanakkor megjegyezni, hogy a törléshez való jog nem abszolút, az kivételes esetekben megtagadható, mint például amikor az adatok további kezelése jogi igények érvényesítéshez vagy tájékozódáshoz való jog gyakorlása céljából szükségesek.
Mit is jelent ez a gyakorlatban? Amenyiben nem vagyunk azzal kibékülve, hogy valamely keresőmotor a nevünkre történő keresés eredményeként kilistáz bizonyos számunkra nemkívánatos találatokat, kérhetjük ezen eredmények törlését a találati listából. Ezt az EUB a 2014-es Costeja-ügyben rögzítette (6). A döntés kimondta, hogy a keresőmotorok is adatkezelőnek minősülnek, ez pedig lehetővé tette a találati listából való törlés kérelmezését. Erre akkor is sor kerülhet, ha a „forrás” weboldalon való közzététel nem sértette az egyén magánszférájának védelmét, az azonban már igen, ahogy a keresőmotor azt kilistázta. Ez a döntés még nem foglalkozott a törlési kötelezettség területi hatályával. A mostani ítélet ehhez képest azt mondja, hogy a feledéshez való jog csak az unió területén gyakorolható. Tehát az uniós domainek vonatkozásában kérhető a törlés a találati listából, azonban a világ egyéb tájain ez a jog nem illeti meg az egyént. Így amennyiben pl. nem a google.hu, hanem a google.com oldalon folytatom le ugyanazt a keresést, a kifogásolt tartalom továbbra is elérhető marad. A döntést máris kemény kritikák érték. Az eljárásban résztvevő európai adatvédelmi hatóságok egybehangzó véleménye szerint például a felejtéshez való jog európai domainekre való korlátozása elégtelen a magánszféra megfelelő védelméhez.
A döntés puhaságát az EUB azzal próbálta ellensúlyozni, hogy kimondta: a keresőmotoroknak meg kell tenniük azokat a hatékony intézkedéseket, amelyek az európai felhasználókat visszatartják a nem európai domainen keresztül lefolytatott keresésektől. A Google erre úgy reagált, hogy ún. területi alapú tartalomkorlátozást alkalmazott, amely a felhasználót automatikusan a keresőmotor azon nemzeti verziójára irányítja, ahol feltehetőleg tartózkodik. Ezzel a megoldással csupán annyi a probléma, hogy egyrészt a gyakorlatban kevéssé érvényesül, mert sok felhasználó alapbeállítása vagy előzményei alapján a google.com keresőoldalt tölti be. Másrészt egy egyszerű internetes kereséshez a keresőmotor üzemeltetője az egyén lokációjára vonatkozó adatokat is gyűjt, noha azok az adatkezelés céljához nem feltétlenül szükségesek. A Google ezen gyakorlata tehát az adatminimum elvével ütközik.
Az EUB arra is rámutatott, hogy a döntés ellenére az adatvédelmi hatóságok egy-egy ügy lényeges körülményeit mérlegelve továbbra is elrendelhetik, hogy a találati listából való törlés iránti kérelemnek a keresőmotor valamennyi verzión, tehát a nem európai domaineken is köteles legyen eleget tenni (7). Az azonban nem világos, hogy mely esetekben adatik meg az adatvédelmi hatóságoknak ez a mozgástér, ahogyan az sem, hogy egy ilyen döntés mennyiben lesz kikényszeríthető az EU határain kívül.
Az ügy további érdekessége, hogy noha az alapügy egy 2015-ös francia döntéshez kapcsolódik, és arra még a 95/46/EK irányelv rendelkezései vonatkoznak, az EUB fontosnak tartotta kitérni a GDPR rendelkezéseire. A GDPR vonatkozásában az EUB egyrészt hangsúlyozta, hogy a személyes adatok védelméhez való jog nem abszolút, hanem más alapjogok, például a nyilvánosság információkhoz való hozzáféréshez fűződő érdeke által korlátozható. Másrészt arra is felhívta a figyelmet, hogy a nem európai országok nem minden esetben ismerik el a felejtéshez való jogot, vagy nem abban a formában, ahogy azt az EU előírja.
Összefoglalva elmondhatjuk, hogy az ítélet a felejtéshez való jog területi korlátozásával kiüresítette a jog lényegi tartalmát és ezen keresztül annak tényleges gyakorlását.
Lábjegyzet:
1 – C-507/17 Google v. CNIL (2019. szeptember 24.)
2 – A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete (általános adatvédelmi rendelet) (2016. április 27.) 17. cikk (2) bekezdés:
Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és az (1) bekezdés értelmében azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
3 – A 95/46 irányelv 29. cikke szerint létrehozott munkacsoport, amely az egyes tagállamok által kijelölt felügyelő hatóság vagy hatóságok képviselőjéből, a közösségi intézmények és szervek nevében létrehozott hatóság vagy hatóságok képviselőjéből, továbbá a Bizottság egy képviselőjéből állt. Az Európai Adatvédelmi Testület jogelődje.
4 – A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.)
5 – 2012/1. sz. WP29 vélemény az adatvédelmi reformjavaslatokról, 14.
6 – C-131/12 Google v. Agencia Española de Protección de Datos (AEPD) és Mario Costeja González (2014. május 13.)
7 – Ezt a francia hatóság, a CNIL is kiemeli az EUB döntésére adott válaszában.