Δευτέρα, 25 Αυγούστου 2014

The Right to Be Forgotten in the Google Spain Case (Case C-131/12): A Clear Victory for Data Protection or an Obstacle for the Internet?

Paper uploaded in SSRN, available at: http://ssrn.com/abstract=2472323

Ioannis Iglezakis 

Aristotle University of Thessaloniki - Faculty of Law

July 26, 2014


The right to be forgotten is a new right that is introduced in the Draft Proposal for a General Data Protection Regulation of 2012, which has been widely discussed. Critics, on the one hand, disagree with its necessity and hold the view that it represents the biggest threat to free speech on the Internet in the coming years. Viviane Reding, former EU Justice Commissioner and currently Vice-President of the EU Commission, on the other hand, describes this right as a modest expansion of existing data privacy rights. The Court of Justice of the EU with its decision of 13 May 2014 in case C-131/12 confirmed this view, interpreting the provisions of Directive 95/46/EEC in such a way as to include a right ‘to be forgotten’ on the Net. The case refers particularly to search engines and their obligation to remove links to web pages from their lists of results, following requests of data subjects on the grounds that information should no longer be linked to their name by means of such a list and taking into account that even initially lawful processing of accurate data may, in the course of time, become incompatible with the directive where those data are no longer necessary in the light of the purposes for which they were collected or processed. This ruling addresses only one aspect of the ‘right to be forgotten’, which concerns the role of Internet Intermediaries, but has wider implications that need to be examined.

Number of Pages in PDF File: 17
Keywords: Data protection, freedom of expression, right to be forgotten, right to oblivion, search engines
JEL Classification: K39
working papers series 

Κυριακή, 17 Αυγούστου 2014

Προδικαστικό ερώτημα προς το ΔΕΕ σχετικά με τη δικαιοδοσία των εθνικών αρχών προστασίας προσωπικών δεδομένων

Στο ΔΕΕ παραπέμπεται μια υπόθεση (C-230/14) που αφορά την προστασία προσωπικών δεδομένων και τη δικαιοδοσία, συγκεκριμένα, μιας εθνικής αρχής προστασίας προσωπικών δεδομένων, έναντι κατόχου ιστοσελίδας με εγκατάσταση σε άλλο κράτος μέλος της ΕΕ.

H συγκεκριμένη υπόθεση έχει ως εξής: Η Ουγγρική αρχή προστασίας προσωπικών δεδομένων επέβαλε το μέγιστο προβλεπόμενο διοικητικό πρόστιμο (€ 35.700) σε ένα διαδικτυακό μεσιτικό κατάστημα για παράνομη επεξεργασία προσωπικών δεδομένων που έχει ως έδρα τη Σλοβακία. Η εν λόγω εταιρία εξαπατούσε τους καταναλωτές, προσφέροντας αρχικώς δωρεάν υπηρεσίες, αλλά μετά από δοκιμαστική περίοδο τους χρέωνε με υψηλά ποσά. Ο υπεύθυνος επεξεργασίας αρνούνταν στους πελάτες να υπαναχωρήσουν και να αφαιρέσουν τις αγγελίες που έβαζαν, η ισχύς των οποίων έληγε εφόσον ο πελάτης δεν πλήρωνε. Και επίσης, μεταβίβαζαν τα δεδομένα των πελατών σε εξωτερικούς παροχείς χωρίς τη συναίνεσή τους και χωρίς ενημέρωση (βλ. αναλυτικά εδώ). Η Ουγγρική Αρχή προστασίας προσωπικών δεδομένων που διερεύνησε τις καταγγελίες των πελατών του καταστήματος αυτού καταδίκασε την εταιρία σε πρόστιμο και η τελευταία άσκησε προσφυγή ενώπιον δικαστηρίου. Στην κατ' έφεση δίκη, το δικαστήριο απηύθυνε προδικαστικό ερώτημα προς το ΔΕΕ σχετικά με τη δικαιοδοσία της Ουγγρικής Αρχής και το εφαρμοστέο δίκαιο.

Ειδικότερα, τα προδικαστικά ερωτήματα είναι τα εξής:

Έχει το άρθρο 28, παράγραφος 1, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (στο εξής: οδηγία για την προστασία των δεδομένων), την έννοια ότι η εθνική νομοθεσία κράτους μέλους μπορεί να εφαρμοσθεί, εντός του εδάφους του κράτους μέλους αυτού στην περίπτωση υπευθύνου επεξεργασίας δεδομένων με πλήρη εγκατάσταση σε άλλο κράτος μέλος, ο οποίος εκμεταλλεύεται διαδικτυακό ιστότοπο μεσιτείας ακινήτων και προωθεί, μεταξύ άλλων, ακίνητα ευρισκόμενα στο έδαφος του πρώτου κράτους μέλους, των οποίων οι ιδιοκτήτες διαβίβασαν τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν σε μέσο (εξυπηρετητή) αποθηκεύσεως και επεξεργασίας δεδομένων που ανήκει στον διαχειριστή του δικτυακού τόπου και βρίσκεται σε άλλο κράτος μέλος;

Έχει το άρθρο 4, παράγραφος 1, στοιχείο α΄, της οδηγίας για την προστασία των δεδομένων, υπό το πρίσμα των αιτιολογικών σκέψεων 18 έως 20 και των άρθρων 1, παράγραφος 2, και 28, παράγραφος 1, την έννοια ότι η Magyar Adatvédelmi és Információszabadság Hatóság (στο εξής: αρχή προστασίας δεδομένων) δεν μπορεί να εφαρμόσει το ουγγρικό δίκαιο περί προστασίας δεδομένων, ως εθνικό δίκαιο, στην περίπτωση διαχειριστή δικτυακού τόπου μεσιτείας ακινήτων εγκαταστημένου αποκλειστικώς σε άλλο κράτος μέλος, ούτε καν όταν αυτός προωθεί, μεταξύ άλλων, ουγγρικά ακίνητα των οποίων οι ιδιοκτήτες διαβίβασαν, πιθανώς από την Ουγγαρία, τα δεδομένα που αφορούν τα ακίνητά τους σε μέσο (εξυπηρετητή) αποθηκεύσεως και επεξεργασίας δεδομένων που ανήκει στον διαχειριστή του δικτυακού τόπου και βρίσκεται σε άλλο κράτος μέλος;

Έχει σημασία για την ερμηνεία το γεγονός ότι η υπηρεσία που παρέχει ο υπεύθυνος επεξεργασίας δεδομένων, ο οποίος εκμεταλλεύεται τον διαδικτυακό ιστότοπο, αφορά το έδαφος άλλου κράτους μέλους;

Έχει σημασία για την ερμηνεία το γεγονός ότι τα δεδομένα που αφορούν τα ακίνητα που βρίσκονται στο έδαφος του άλλου κράτους μέλους και τα δεδομένα προσωπικού χαρακτήρα των ιδιοκτητών των ακινήτων μεταφορτώθηκαν εντός του εδάφους του εν λόγω άλλου κράτους μέλους;

Έχει σημασία για την ερμηνεία το γεγονός ότι τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα εν λόγω ακίνητα είναι δεδομένα προσωπικού χαρακτήρα πολιτών άλλου κράτους μέλους;

Έχει σημασία για την ερμηνεία το γεγονός ότι οι ιδιοκτήτες της εγκαταστημένης στη Σλοβακία επιχειρήσεως διαμένουν στην Ουγγαρία;

Εάν από τις απαντήσεις στα προηγούμενα ερωτήματα προκύπτει ότι η ουγγρική αρχή προστασίας των δεδομένων μπορεί να κινήσει διαδικασία, αλλά δεν μπορεί να εφαρμόσει το εθνικό δίκαιο και πρέπει να εφαρμόσει το δίκαιο του κράτους μέλους εγκαταστάσεως, έχει το άρθρο 28, παράγραφος 6, της οδηγίας για την προστασία των δεδομένων την έννοια ότι η ουγγρική αρχή προστασίας δεδομένων μπορεί να ασκήσει μόνον τις εξουσίες που προβλέπονται στο άρθρο 28, παράγραφος 3, της οδηγίας για την προστασία των δεδομένων σύμφωνα με τα οριζόμενα στη νομοθεσία του κράτους μέλους εγκαταστάσεως και ότι, για τον λόγο αυτό, δεν έχει εξουσία επιβολής προστίμου;

Βλ. σχετικά:Vorlagefragen an den EuGH: Wie weit reicht der Arm nationaler Datenschutzbehörden? Posted on