Το ‘δικαίωμα στη λήθη’ και οι μηχανές αναζήτησης στο διαδίκτυο
(Άρθρο της Justina και της κας Ίριδας Φραγκάκη δημοσιευμένο στο 2. τεύχος του περιοδικού “Sceptic Youth” της ΜΚΟ “Ιωάννης Καποδίστριας” και αναδημοσιευμένο στην ιστοσελίδα lawnet.gr τον Οκτώβριο του 2014)
Ι. Εισαγωγή
Με αφορμή τη δημοσίευση της απόφασης C-131/12 του ΔΕΕ και των διαβουλεύσεων για τη θέσπιση του νέου Κανονισμού για την προστασία των προσωπικών δεδομένων στην ΕΕ, εξετάζεται στο παρόν το «δικαίωμα στη λήθη» (right to be forgotten) όπως αυτό διακυβεύεται στο διαδίκτυο.
ΙΙ. Νομοθετικό πλαίσιο περί προστασίας προσωπικών δεδομένων στην Ε.Ε.
Σύμφωνα με το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, η προστασία των προσωπικών δεδομένων συνιστά θεμελιώδες δικαίωμα του ατόμου, συνδεόμενο εννοιολογικά με το δικαίωμα για το σεβασμό της ιδιωτικής και οικογενειακής του ζωής, που επίσης προστατεύεται από το Χάρτη (άρθρο 7). Ειδικότερα, το δικαίωμα στην προστασία των προσωπικών δεδομένων αποτελεί έκφανση του δικαιώματος στην προσωπικότητα και την αξιοπρέπεια και διαπλάθεται ως μια απάντηση στην σύγχρονη κοινωνία της πληροφορίας και τη διακινδύνευση της ιδιωτικότητας που επήλθαν από τις σύγχρονες, προηγμένες εφαρμογές για τη δημιουργία, διακίνηση και επεξεργασία της πληροφορίας σε παγκόσμιο επίπεδο.
Σε ευρωπαϊκό επίπεδο, η Οδηγία 95/46/ΕΚ αποτελεί το κείμενο αναφοράς στα θέματα προστασίας των δεδομένων προσωπικού χαρακτήρα. Γίνεται δεκτό ότι η Οδηγία θεσπίζει ένα κανονιστικό πλαίσιο που αποσκοπεί στην εγκαθίδρυση μιας ισορροπίας μεταξύ μιας υψηλού επιπέδου προστασίας της ιδιωτικής ζωής των προσώπων και της ελεύθερης κυκλοφορίας των προσωπικών τους δεδομένων ανά την Ευρωπαϊκή Ένωση. Προς το σκοπό αυτό, η Οδηγία ορίζει τα όρια για τη συλλογή και τη χρησιμοποίηση των δεδομένων προσωπικού χαρακτήρα και ζητά τη δημιουργία, σε κάθε κράτος μέλος, ενός ανεξάρτητου εθνικού οργανισμού επιφορτισμένου με την εποπτεία της συλλογής, επεξεργασίας και διάθεσης των δεδομένων αυτών. Το νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση συμπληρώθηκε με τα χρόνια μέσω νομολογιακών πορισμάτων και νεότερων Οδηγιών, ήτοι μέσω των 2002/58/ΕΚ, 2009/136/ΕΚ, καθώς και της Οδηγίας 2006/24/ΕΚ, η οποία όμως κηρύχθηκε πρόσφατα ανίσχυρη μέσω απόφασης του ΔΕΕ.
Στη χώρα μας, η προστασία των προσωπικών δεδομένων αναγνωρίζεται και κατοχυρώνεται συνταγματικά (άρθρο 9ΑΣ), ενώ οι προϋποθέσεις για τη σύννομη διαχείριση των δεδομένων προσωπικού χαρακτήρα τίθενται από το Ν. 2472/1997, ο οποίος ενσωμάτωσε την Οδηγία 95/46/ΕΚ στην εθνική νομοθεσία, ιδρύοντας ταυτόχρονα ως ανεξάρτητη εποπτεύουσα αρχή την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Σε αδρές γραμμές, ο Νόμος επιτρέπει τη συλλογή και επεξεργασία προσωπικών δεδομένων, εάν αυτή γίνεται για εκ των προτέρων καθορισμένους, σαφείς και νόμιμους σκοπούς, αφού προηγουμένως έχει ενημερωθεί σχετικά, με ακρίβεια και σαφήνεια, το υποκείμενο των δεδομένων και εφόσον έχει δώσει τη συγκατάθεσή του. Τα δεδομένα πρέπει να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτούνται εν όψει των σκοπών της επεξεργασίας, να παραμένουν ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε ενημέρωση. Τα δεδομένα πρέπει να διατηρούνται, σε μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους, για όσο χρόνο απαιτείται, κατά την κρίση της Αρχής, για την πραγματοποίηση των σκοπών της συλλογής και επεξεργασίας τους. Η επεξεργασία πρέπει να διεξάγεται απόρρητα, με διαφάνεια και με ασφάλεια και ο ενδιαφερόμενος να έχει δικαίωμα πρόσβασης και ενημέρωσης σχετικά με τα δεδομένα και την επεξεργασία τους, καθώς και δικαίωμα αντίρρησης και διόρθωσης ή διαγραφής τους. Σχετικά εισάγονται κυρώσεις διοικητικές, αστικές και ποινικές.
Αυτή τη περίοδο αναμένεται η έκδοση από τα αρμόδια Ευρωπαϊκά όργανα ενός Κανονισμού για την προστασία των προσωπικών δεδομένων, όπου θα συγχωνευθεί και θα κωδικοποιηθεί η ισχύουσα Ενωσιακή νομοθεσία για τα προσωπικά δεδομένα. Η πρόταση του Κανονισμού κυκλοφόρησε τον Ιανουάριο του 2012 και το Μάρτιο του 2014 εγκρίθηκε η τελική της μορφή από το Ευρωπαϊκό Κοινοβούλιο. Πλέον αναμένεται η έγκριση του Συμβουλίου της Ε.Ε. Το εν λόγω νομοθέτημα αναμένεται να επιφέρει σημαντικές αλλαγές στην αντιμετώπιση της χρήσης και διάθεσης των προσωπικών δεδομένων ειδικά στο διαδίκτυο. Ως καινοτομία αντιμετωπίζεται από τη θεωρία του δικαίου και τους παράγοντες της αγοράς η υποχρέωση π.χ. να παρέχεται “privacy by default” στα υποκείμενα προσωπικών δεδομένων κατά τη χρήση των διαφόρων υπηρεσιών (όπως των social media), ήτοι να απαγορεύεται εκ προοιμίου η συλλογή και επεξεργασία των δεδομένων τους, παρεκτός εάν οι ίδιοι οι ενδιαφερόμενοι άρουν με συγκατάθεσή τους την παρεχόμενη προστασία. Μεγάλος ντόρος έχει γίνει, επίσης, σε σχέση με το «δικαίωμα στη λήθη», που θα κατοχυρώνεται στο άρθρο 17 του Κανονισμού.
ΙΙ. Η απόφαση C-131/12 του ΔΕΕ
Με το ζήτημα του «δικαιώματος στη λήθη» ασχολήθηκε το ΔΕΕ στα πλαίσια της υπόθεσης C-131/12, επί της οποίας εκδόθηκε απόφαση την 13η Μαΐου 2014. Ισπανός πολίτης προσέφυγε στην εθνική Αρχή για τη προστασία δεδομένων προσωπικού χαρακτήρα της Ισπανίας καταγγέλλοντας ότι μια εθνικής εμβέλειας εφημερίδα και η μηχανή αναζήτησης της εταιρίας Google (“Google search”) προσέβαλλαν την ιδιωτικότητα και την προσωπικότητά του. Κι αυτό γιατί οι αναζητήσεις με το όνομά του οδηγούσαν σε δημοσιεύματα χρονολογίας 1998, όπου περιλαμβανόταν ανακοίνωση, με μνεία του ονοματεπωνύμου του, για πλειστηριασμούς ακινήτων του κατόπιν κατάσχεσης που του είχε επιβληθεί λόγω ασφαλιστικών οφειλών. Η διαδικασία της κατάσχεσης είχε άλλωστε προ πολλού ολοκληρωθεί. Όταν η υπόθεση κατέληξε στο ΔΕΕ μετά από άσκηση ενδίκων μέσων κατά της πρωτόδικης απόφασης, το Δικαστήριο κλήθηκε να ερευνήσει τρία ζητήματα: πρώτον, εάν η Ευρωπαϊκή νομοθεσία για τα προσωπικά δεδομένα εφαρμόζεται και σε παρόχους υπηρεσιών εγκατεστημένους εκτός ΕΕ, όπως η Google, που εδρεύει στις ΗΠΑ, δεύτερον, αν η εν λόγω μηχανή αναζήτησης μπορεί να αντιμετωπιστεί ως «φορέας επεξεργασίας δεδομένων» κατά την έννοια της Οδηγίας 95/46/ΕΚ και, τρίτον, εάν και κατά πόσο ισχύει το «δικαίωμα στη λήθη», εννοούμενο ως την εξουσία του υποκειμένου προσωπικών δεδομένων να ζητήσει τη διαγραφή τους ή τη διακοπή της πρόσβασης σε αυτά. Το Δικαστήριο έδωσε καταφατική απάντηση και στα τρία αυτά ερωτήματα.
Επί του πρώτου ερωτήματος το Δικαστήριο υποστήριξε ότι, λαμβανομένου υπόψη του γράμματος του άρθρου 4 παρ. 1 α της Οδηγίας 95/46/ΕΚ, επιχείρηση με έδρα και τεχνικές εγκαταστάσεις εκτός ΕΕ, όπως η Google Search, που όμως διαθέτει εντός ΕΕ θυγατρική εταιρία, η οποία ασκεί η ίδια οικονομική δραστηριότητα προώθησης και διαφήμισης εντός του Ευρωπαϊκού χώρου και είναι αδιάσπαστα συνδεδεμένη με τη μητρική, θεωρείται ως εγκατεστημένη εντός ΕΕ κατά την έννοια της Οδηγίας. Εν προκειμένω, η θυγατρική Google Spain προέβαινε η ίδια σε επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα διέθετε στη συνέχεια προς αναζήτηση σε κατοίκους κράτους μέλους της ΕΕ. Ως εκ τούτου, τόσο η θυγατρική εταιρία, όσο και η μητρική εταιρία, όπου βρίσκεται ο φυσικός server, υπόκεινται στην Ευρωπαϊκή νομοθεσία για τα προσωπικά δεδομένα.
Ως προς το δεύτερο ερώτημα το Δικαστήριο απεφάνθη ότι εφόσον ο φορέας εκμετάλλευσης μηχανής αναζήτησης ερευνά με αυτοματοποιημένο, διαρκή και συστηματικό τρόπο το διαδίκτυο προς αναζήτηση πληροφοριών, συλλέγει, ανακτά, καταχωρεί και οργανώνει εν συνεχεία τέτοια δεδομένα στο πλαίσιο των προγραμμάτων ευρετηρίασης που διαθέτει, τα αποθηκεύει στους εξυπηρετητές του και, ενδεχομένως, τα ανακοινώνει και τα θέτει στη διάθεση των χρηστών της μηχανής υπό μορφή καταλόγων αποτελεσμάτων αναζήτησης, εμπίπτει στην έννοια του «φορέα επεξεργασίας» της Οδηγίας 95/46/ΕΚ. Η παραδοχή ότι η εν λόγω δραστηριότητα αποτελεί «επεξεργασία δεδομένων προσωπικού χαρακτήρα» δεν κλονίζεται από το γεγονός ότι τα δεδομένα αυτά είναι ήδη δημοσιευμένα στο διαδίκτυο και δεν τροποποιούνται από τη μηχανή αναζήτησης.
Τέλος, όσον αφορά το τρίτο ερώτημα, το ΔΕΕ έκρινε ότι υπάρχει «δικαίωμα στη λήθη» σύμφωνα με τα άρθρα 12(β) και 14(α) της Οδηγίας. Διακήρυξε δηλ. ότι κάθε φυσικό πρόσωπο έχει το δικαίωμα να ζητήσει από μια διαδικτυακή μηχανή αναζήτησης να αφαιρέσει τις συνδέσεις σε πληροφορίες που το αφορούν, λαμβανομένων υπόψη παραγόντων, όπως η φύση των πληροφοριών ως προσωπικών δεδομένων, η παλαιότητα της πληροφορίας, το συμφέρον του κοινού για πρόσβαση σε αυτήν και ο ρόλος του ατόμου-φορέα των δεδομένων στη δημόσια ζωή. Η επεξεργασία των προσωπικών δεδομένων από μηχανές αναζήτησης δεν θεωρείται άλλωστε ότι εξυπηρετεί «δημοσιογραφικούς σκοπούς» και ως εκ τούτου δεν εμπίπτει στη σχετική εξαίρεση της Οδηγίας. Για τη διάγνωση αν συντρέχει προσβολή του εν λόγω δικαιώματος, το Δικαστήριο έκρινε ότι απαιτείται να γίνεται στάθμιση αφενός των εμπορικών συμφερόντων της εταιρείας της μηχανής αναζήτησης και του δικαιώματος έκφρασης και πληροφόρησης των χρηστών του διαδικτύου, και, αφετέρου, των δικαιωμάτων στην προστασία των προσωπικών δεδομένων, την ιδιωτική ζωή και την προσωπική ελευθερία του ατόμου. Η στάθμιση πρέπει να γίνεται βάσει των πραγματικών περιστατικών της συγκεκριμένης υπόθεσης, από την εταιρεία της μηχανής αναζήτησης και όχι από τα δικαστήρια ή από ανεξάρτητη αρχή, η οποία θα εξετάζει αν οι κρίσιμες πληροφορίες είναι ανεπαρκείς, ανακριβείς, απαρχαιωμένες ή μη απαραίτητες.
ΙΙΙ. Προβληματισμοί
Τη δημοσίευση της απόφασης ακολούθησαν δεκάδες χιλιάδες αιτήσεις για διαγραφή δεδομένων από όλη την Ευρώπη. Η μαζική αυτή αντίδραση προκάλεσε έντονη αμηχανία σε σχέση με τους μηχανισμούς εξέτασης των εν λόγω αιτημάτων, δεδομένου μεταξύ άλλων ότι η παραπάνω απόφαση ανέθεσε την εν λόγω αρμοδιότητα στον ίδιο το φορέα επεξεργασίας προσωπικών δεδομένων – ιδιώτη. Εύλογα εγείρονται ζητήματα σχετικά με τους κανόνες που θα καθιερωθούν για τη διαδικασία υποβολής των αιτήσεων και την έγκριση της διαγραφής των δεδομένων, με το πρωτόκολλο απομάκρυνσης των συνδέσμων, με το κόστος της διαδικασίας και τον επιμερισμό του, με τη δυνατότητα ελέγχου των αποφάσεων των αρμόδιων φορέων κλπ.
Εξάλλου, η παραδοχή από το ΔΕΕ ότι μια διαδικτυακή μηχανή αναζήτησης μπορεί να συνιστά υπεύθυνο επεξεργασίας προσωπικών δεδομένων προκαλεί αντίλογο. Διότι ερμηνεύει υπερβολικά ευρέως την εν λόγω έννοια, επιτρέποντας να υπαχθούν σε αυτή όλα τα μέσα κοινωνικής δικτύωσης, οι εταιρίες cloud computing, οι υπεύθυνοι για τη λειτουργία διαδικτυακών ΜΜΕ ανεξαιρέτως, ακόμα και απλοί bloggers, αποδίδοντας έτσι ευθύνη για την επεξεργασία προσωπικών δεδομένων σε πρόσωπα που θεωρούνται «ενδιάμεσοι» ως προς τις υπηρεσίες της πληροφορίας.
Περαιτέρω, προβληματισμοί προκύπτουν σε σχέση με τον αντίκτυπο των πορισμάτων της απόφασης και του αναμενόμενου Κανονισμού εκτός Ευρωπαϊκών συνόρων, δεδομένης της εγγενούς παγκοσμιότητας του διαδικτύου. Στις ΗΠΑ για παράδειγμα, η ελευθερία του λόγου παραδοσιακά ιεραρχείται ως υπέρτερη του δικαιώματος στην ιδιωτικότητα. Επομένως υιοθέτηση των ρυθμίσεων της απόφασης στην εν λόγω εδαφική περιφέρεια θέτει ξεκάθαρο θέμα αντισυνταγματικότητας, ενώ η μη υιοθέτηση τους οδηγεί στη δημιουργία «ίντερνετ δύο ταχυτήτων», με ιστότοπους που θα διαφοροποιούνται εντός και εκτός Ευρώπης ως προς το περιεχόμενό τους και τους κανόνες διαχείρισης. Κάτι τέτοιο καθιστά τα οφέλη της σχολιαζόμενης απόφασης ως προς την προστασία των προσωπικών δικαιωμάτων αμφίβολα, ενώ μπορεί να σημάνει και αυξημένα έξοδα για τους παρόχους ηλεκτρονικών υπηρεσιών και τελικά παρακώληση του ηλεκτρονικού εμπορίου.
Συναφώς, έντονη είναι η ανησυχία για τις συνέπειες της απόφασης και στο δικαίωμα της ελευθερίας της έκφρασης, καθώς και για τον αντίκτυπό της στο χαρακτήρα του διαδικτύου μέσω μιας λογοκρισίας και «αλλοίωσης της ιστορίας» που πολλοί διαβλέπουν ότι θα επιφέρει. Παρόλο που η απόφαση αναφέρεται στην απομάκρυνση μόνο υπερσυνδέσμων και αναδημοσιεύσεων και στην ανέλεγκτη διακίνηση δεδομένων, και όχι στην αρχική δημοσίευση της πληροφορίας, η οποία άλλωστε ήταν τότε αληθής, οι παραπάνω εκφραζόμενοι φόβοι δεν είναι ανεδαφικοί.
