13. 12. 2019
ID: 110346upozornění pro uživatele

Facebook a Google opět v hledáčku Soudního dvora Evropské Unie

Není nikterak překvapivé, že právě internetoví obři Facebook a Google se v posledních letech čím dál tím častěji potýkají se soudními spory, které mají tendenci být řešeny na úrovni nejvyšších instancí soudních struktur po celé Evropě a zákonitě pro svůj přeshraniční komunitární dosah i u Soudního dvora Evropské unie (SDEU). Zvláště v poslední době byl SDEU velmi činný. Nejprve vydal dne 24. 9. 2019 rozhodnutí ve sporu C‑507/17 Google LLC vs. Národní komise pro informatiku a svobody (CNIL), která plní ve Francii úlohu dozorového úřadu pro ochranu osobních údajů.

O pár dní později si pak přičetl SDEU další „zářez na pažbu“ vůči Facebooku ve věci C - 18/18 ze dne 3. 10. 2019 týkající se rakouské poslankyně Eva Glawischnig-Piesczek. Ačkoliv tato dvě rozhodnutí od sebe dělí pár dní, i přesto, že se týkají svojí podstatou podobné problematiky, překvapují (zčásti) rozdílným přístupem SDEU.
 


Google versus CNIL

Uvedený spor se týkal žádosti fyzické osoby (subjektu údajů) o odstranění odkazů na internetové stránky jakožto výsledků zobrazených po zadání jejího jména, a to ze všech domén vyhledávače Google. Google však vyhověl této žádosti je částečně, když odstranil dotčené odkazy z výsledků zobrazených při vyhledávání uskutečněných pouze z domén odpovídajících svými koncovkami mutacím jejího vyhledávače v členských státech. Nadto ještě Google znemožnil v rámci tzv. geo-blockingu přístup ke sporným výsledkům pro ty IP adresy, které se nacházejí ve státě bydliště dotčené fyzické osoby, a to bez ohledu na konkrétní mutaci vyhledávače použitou uživatelem. CNIL to však nepovažovala za dostatečné a uložila Googlu pokutu, čemuž se Google bránil.

Spor dospěl až k SDEU, který jej posuzoval optikou směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů [1], respektive po jejím zrušení obecným nařízením o ochraně osobních údajů (GDPR)[2]. Konkrétně tedy v souvislosti s právem subjektu údajů na výmaz svých osobních údajů u správce (právem „být zapomenut“), kdy navázal na své dřívější známé rozhodnutí C-131/12 Google Spain a Google, kterým uznal „právo na odstranění odkazů z výsledku vyhledávání“.[3]

V tomto případě dal SDEU za pravdu právě Googlu, když konstatoval, že právo na výmaz, jak je tedy aktuálně zakotveno v unijním právu, by mělo být vykládáno tak, že pokud provozovatel vyhledávače vyhoví žádosti o odstranění odkazů, není povinen odkazy odstranit ze všech mutací svého vyhledávače, nýbrž pouze z mutací vyhledávače pro všechny členské státy EU. Zároveň je v případě potřeby povinen přijmout taková opatření, aby účinným způsobem zabránil uživatelům internetu vyhledávajícím jméno subjektu údajů v jednom z členských států v přístupu ke sporným odkazům nebo jim má tento přístup alespoň ztížit.

Zároveň však SDEU zdůraznil, že povinnost odstranit odkazy ze všech mutací vyhledávače unijní právo nestanoví, ale ani nezakazuje. Dozorový úřad či soud členského státu má tak „pravomoc poměřit právo subjektu údajů na respektování soukromého života a na ochranu jeho osobních údajů na straně jedné s právem na informace na straně druhé z pohledu vnitrostátního standardu pro ochranu základních práv [...], a v návaznosti na to případně provozovateli tohoto vyhledávače uložit povinnost, aby odkazy odstranil ze všech mutací uvedeného vyhledávače.[4] Tímto konstatováním dal SDEU najevo, že není všem dnům konec a uložit povinnost odstranit odkazy ze všech mutací vyhledávače by mohlo být v určitých případech vhodné.

Eva Glawischnig-Piesczek vs. Facebook

Základem druhého, a to „facebookového“ sporu byla žádost paní Glawischnig-Piesczek, aby Facebook smazal komentář k článku veřejně sdíleném na soukromém profilu jiného uživatele, který ji mohl ublížit na cti, urazit ji a pomluvit. Vzhledem k tomu, že tak Facebook neučinil, ocitl se spor u soudu a doputoval až k SDEU.

Podstatou sporu je výklad článku 15 odst. 1 směrnice o elektronickém obchodu[5]. Tato směrnice přitom stanoví, že členské státy neukládají poskytovatelům hostingových služeb (tj. i Facebooku) obecnou povinnost dohlížet na jimi přenášené nebo ukládané informace nebo obecnou povinnost aktivně vyhledávat skutečnosti a okolnosti poukazující na protiprávní činnost. Členské státy ale mají zajistit, aby nebyl poskytovatel hostingové služby odpovědný za ukládané informace, pokud se poskytovatel neseznámil s protiprávní činností nebo informací a ani si není vědom skutečností nebo okolností, z nichž by byla taková protiprávní činnost nebo informace zjevná, nebo poskytovatel, jakmile se o tomto dozvěděl, jednal neprodleně s cílem odstranit tyto informace nebo k nim znemožnit přístup.

SDEU v daném případě přitom vyložil toto ustanovení tak, že soud může Facebooku jako poskytovateli ve smyslu uvedené směrnice uložit povinnost (bez ohledu na to, kdo o to požádá) odstranit informace, které mají stejný obsah jako informace, která byla prohlášena (v tomto případě soudně) za protiprávní či k nim zablokovat přístup. Týká se to ale také informací, které mají rovnocenný obsah. Slovy sociální sítě, Facebook musí smazat nejen komentář/příspěvek samotný, ale i logicky jeho kopii či pokud došlo k jeho přeformulování, pokud se obsah v podstatě nezměnil či se odlišuje jen velmi málo. V opačném případě by bylo velmi jednoduché takovou povinnost danou soudním příkazem obejít, což by těžko mohlo vést k účinné ochraně zájmů a práv poškozené osoby. SDEU ale navíc uvádí, že „rozdíly ve formulaci tohoto rovnocenného obsahu v porovnání s obsahem, jenž byl prohlášen za protiprávní, každopádně nesmí být takové povahy, aby byl dotyčný poskytovatel hostingu nucen uvedený obsah samostatně posoudit[6]. Toto lze interpretovat také tak, že pokud by poskytovatel musel obsah informace samostatně posoudit, už by taková povinnost mohla být nepřiměřená a v rozporu s článkem 15 odst. 1, neboť by již byla obecnějšího charakteru a vyžadovala by aktivní přístup poskytovatele.

Co je ale také důležité, SDEU vyložil článek 15 odst. 1 směrnice v tom smyslu, že soud členského státu může poskytovateli hostingu uložit povinnost odstranit informace, kterých se týká soudní příkaz, nebo k nim zablokovat přístup na celosvětové úrovni podle relevantního mezinárodního práva. I tento závěr se zdá autorce článku logický, neboť Facebook poskytuje své služby na globální úrovni, přičemž rychlost šíření informací do jiných států je v rovině této sociální sítě mnohdy ohromující a možnost zasáhnout do práv poškozené osoby je o to větší. Otázkou nicméně je, jak by se Facebook s takovým úkolem vypořádal, a to i s ohledem na případné jazykové mutace sporné informace.

Závěr

Závěrem lze konstatovat, že obě popisovaná rozhodnutí SDEU hodnotí povinnost poskytovatele hostingu odstranit nějakou informaci, která má schopnost zasáhnout do práv fyzické osoby, poněkud rozdílně, a to co do rozsahu její působnosti (na členské úrovni či na celosvětové). Může to být dáno jednak rozdílností chráněného zájmu (u sporu s Facebookem právo na ochranu osobnosti, ve věci Googlu pak primárně ochrana osobních údajů a ochrana soukromí), rozdílností existence domén (Facebook figuruje na doméně facebook.com, kdežto Google i na jiných - národních doménách – google.cz, google.de, přičemž uživatele dokáže geolokalizovat a automaticky ho vždy přesměruje na jeho národní doménu atp.) či rozdílnosti aplikace různých norem (směrnice o elektronickém obchodu vs. směrnice 94/95, resp. nyní nařízení GDPR).

Ve věci Facebooku přitom SDEU připustil možnost zablokování přístupu na celosvětové úrovni (byť s odkazem na relevantní mezinárodní právo), u Googlu nikoliv, nicméně si i zde nechal pootevřená zadní vrátka. Domnívám se přitom, že v tomto ohledu určitě SDEU neřekl poslední slovo. Globální tok informací, rychlost a jednoduchost jejich šíření (ať již skrze sociální síť či globální vyhledávače), a tím i potenciál masivního dopadu do práv osoby na celosvětové úrovni přinesou ještě spoustu otázek k řešení.


Mgr. Lenka Hanková,
advokátka

Rödl & Partner, advokáti, v.o.s. 

Platnéřská 2 
110 00  Praha 1

Tel.: +420 236 163 111
E-mail: prag‎@‎roedl.com

 

[1] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

[3] Srov. rozsudek Evropského soudního dvora ze dne 13. května 2014, Google Spain a Google (C‑131/12).

[4] Viz bod 70 rozhodnutí SDEU C‑507/17 Google LLC vs. Národní komise pro informatiku a svobody (CNIL)

[5] směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu („směrnice o elektronickém obchodu“).

[6] Viz bod 45 rozhodnutí SDEU C - 18/18 ze dne 03.10.2019 Eva Glawischnig-Piesczek vs. Facebook Ireland Limited.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz