Felejt-e majd az internet, ha az EU úgy akarja?

forget

A Google-ítélet ebben a formában önmagában nem szolgálhat alapjául egy ésszerű és végrehajtható adatvédelmi gyakorlatnak. A felvázolt modell ugyanis teljesen illuzórikus: ahhoz, hogy akár csak önmagában a Google képes legyen a világ minden tájáról érkező kérelmek egyedi tartalmi mérlegelésére a jelenlegi, igen szigorú és mechanikus eltávolítási politikája helyett, olyan igazgatási és jogi költséggel járna, ami még a világ egyik legnagyobb cégének sem reális megoldás.

A hazai sajtóbeszámolók jobbára a magánszféra és az „elfelejtéshez való jog” győzelmeként számoltak be az Európai Bíróság tegnapi ítéletéről, amely megállapította a Google és spanyol leányvállalata jogi kötelezettségét arra, hogy az érintett természetes személy kérésére korlátozza a szolgáltatott keresési találatokat. Ugyanezt teszi Viviane Reding, a témakörért felelős uniós biztos is a Facebookon, egyben (nyilván az EP-kampánytól sem függetlenül) saját két évvel ezelőtti javaslatcsomagját látja megtámogatva a Bíróság által.

Egy hatékony internetes adatvédelmi rendszer megteremtése persze szerintünk is fontos lenne, de a Google-ügy megítélése messze nem fekete-fehér. A most kimondott követelmények következetes végigvitele ugyanis lehetetlennek, önmagában a keresők üzemeltetőinek elkapása ráadásul értelmetlennek tűnik.

Mit követett el a Google?

A Google számára kellemetlen véget ért ügy úgy indult, hogy 2010-ben a spanyol Mario Costeja González saját nevére keresve szembesült azzal a problémával, hogy a Google találati listáján a La Vanguardia nevű katalán napilap online kiadásának két 1998-es cikkére mutató linkek jelennek meg. Ezek a cikkek viszont a González ellen köztartozása miatt folytatott végrehajtással kapcsolatos, számára kellemetlen, ráadásul az ügyek rendezése miatt már idejétmúlt információt tartalmaztak.

Az úr ezért panaszt nyújtott hát be a spanyol adatvédelmi ügynökséghez a lap kiadója, valamint a Google Spain és a Google Inc. ellen, előbbitől a vonatkozó közlemények törlését, utóbbiaktól az érintett oldalaknak a találati eredményekből való kizárását kérve. A napilap eljárását a spanyol hatóság jogszerűnek találta (az érintett közlemények közzététele egyébként jogszabály alapján kötelező volt),        ugyanakkor viszont a Google-t és a Google Spaint egyaránt kötelezte az oldalak elrejtésére a találatok közül. A Google spanyol bírósághoz fordult, az pedig az Európai Bíróságtól kérte az uniós adatvédelmi irányelv értelmezését.

Az európai Google-leányoknál tegnap nem sokan alhattak jól

Az uniós adatvédelmi követelmények semmi speciális elemet nem tartalmaznak sem a keresőmotorokra, sem úgy általában az internetre, úgyhogy a luxemburgi bíráknak jó pár elvi kérdést kellett általános jogelvek alapján megválaszolniuk. Az első mindjárt az volt, hogy vonatkozik-e egyáltalán az uniós jog a kaliforniai óriáscégre vagy leányvállalatára mint adatkezelőkre, miközben a Google keresőszerverei Európán kívül működnek, a keresés módjából fakadóan pedig e szerverek eleve nem magát a listán szereplő tartalmat, hanem csak az arra mutató linket tárolják.

Az ítélet első messzire vezető megállapítása az, hogy a keresőmotor üzemeltetője adatokat gyűjt és rendszerez, ami adatkezelésnek minősül – akkor is, ha ez kizárólag már eleve az interneten közzétett adatok tekintetében valósul meg. Ennél is bátrabb az a megállapítás, hogy a harmadik államban letelepedett, azonban az unión belül szervezettel rendelkező vállalkozás által működtetett keresőmotort kiszolgáló személyesadat-kezelés e szervezet tevékenységeinek keretében végzett adatkezelésnek minősül, ha a szervezetet arra hozták létre, hogy biztosítsa a keresőmotor által kínált reklámhelyek értékesítését és reklámozását. A Bíróság tehát igen nagyvonalúan átlépett azon a tényen, hogy a Google Spainnek a keresésben semmilyen szerepe nem volt: elég, hogyha a kapcsolódó hirdetéseket ő adja el.

Azaz az ítélet szerint  az internetes keresőmotor működtetője felelős a harmadik fél által közzétett weboldalakon megjelenő személyes adatokat érintő, általa végzett adatkezelésért. Legalábbis akkor, hogyha az üzemeltető európai vagy van neki legalább egy európai leányvállalata…

Mit kell akkor kérésre törölni?

A legfontosabb résznél sajnos elfogyott az aktivista határozottság, úgyhogy nehéz ezt pontosan megmondani. Egyrészt a keresőmotor működtetőjének „felelősségi körén, hatáskörén és lehetőségein belül” biztosítania kell, hogy tevékenysége megfeleljen az adatvédelmi irányelvben foglalt követelményeknek. Ezt addig sikerül konkretizálni, hogy „bizonyos feltételek teljesülése esetén” a működtető köteles arra, hogy egy személy nevére való keresés nyomán megjelenő találati listáról törölje a más által közétett és e személlyel kapcsolatos információkat tartalmazó weboldalakra mutató linkeket. A Bíróság egyértelművé teszi, hogy ez a kötelezettség – arra is tekintettel, hogy a névre szóló Google-keresés lényegében személyiségprofilt ad – független attól, hogy a találati honlapon fenn van, illetve akár jogszerűen van fenn az adat: az egyébként az interneten megtalálható információnak ugyanis a bírák szerint mindenütt jelenvaló jelleget a keresők adnak.

A Bíróság adott némi iránymutatást arra is, hogy milyen feltételeket kell vizsgálni akkor, amikor a törlési igényt bírálják el. Mindenekelőtt önmagában a Google gazdasági érdeke a megtagadást nem igazolhatja, ami szerintünk azt is jelenti, hogy a felmerülő technikai és gyakorlati nehézségek (pl. mindenek előtt az érintett azonosításának problémái) nem jelenthetnek mentséget. A törlést kérő természetes személy oldaláról viszont abszolút korlát csak annyi van, hogy a saját magunk által közzétett adat keresésének letiltatását azért nem kérhetjük (nem mintha a Google meg tudná állapítani, hogy mit tettünk fel mi).

Ezen kereteken belül viszont a Bíróság azt követeli meg, hogy a konkrét ügyekben meg kell teremteni az egyensúlyt az érintett magánszférájának és a többi internethasználónak az adathoz való hozzáféréshez fűződő érdekei között. Ez utóbbiak közül az ítélet kiemeli azt az esetet, amikor az érintett közéleti szerepére (közszereplésére) vonatkozó információról van szó. (Ez ad egy kis reményt arra, hogy a jogintézmény egyelőre talán nem lesz alkalmas arra, hogy magyar politikusok alkalmazzák az újabb pártutasítással ellentétes korábbi nyilatkozataik eltüntetésére.)

A helyzet tehát az, hogy az érintett főszabály szerint bármit kiszedethet a nevére vonatkozó találati listából. Egyedileg, a törlési kérelem időpontjáig bekövetkezett változásokra (pl. az információ relevanciájának megszűnése, az adatkezelés céljának megszűnése) is figyelemmel kell azonban a keresőmotor üzemeltetőjének mérlegelnie az elrejteni kívánt információ érzékenységét akkor, hogyha az információ megismeréséhez másoknak is érdeke fűződik.

Mi lesz most?

Az ítélet abban nagyon hatékony volt, hogy lépéskényszerbe hozza mind az európai intézmények jogalkotását, mind a Google-t és a többi keresőüzemeltetőt. Az utóbbiak döntése nem lesz egyszerű: kivonhatják magukat a viharból európai leányaik megszüntetésével vagy kiürítésével, a lehetetlent megpróbálva nekiállhatnak egy (legalább látszólag) egyedi mérlegelésen alapuló rendszer kiépítésének vagy dönthetnek úgy, hogy mindent kiszednek, amit valaki törölni kér. Igaz, ez utóbbival azt is kockáztatják, hogy vetélytársaik megelőzik őket.

Az azonban biztos, hogy a Google-ítélet ebben a formában önmagában nem szolgálhat alapjául egy ésszerű és végrehajtható adatvédelmi gyakorlatnak. A felvázolt modell ugyanis teljesen illuzórikus: ahhoz, hogy akár csak önmagában a Google képes legyen a világ minden tájáról érkező kérelmek egyedi tartalmi mérlegelésére a jelenlegi, igen szigorú és mechanikus eltávolítási politikája helyett, olyan igazgatási és jogi költséggel járna, ami még a világ egyik legnagyobb cégének sem reális megoldás. Önmagában a közszereplőktől érkező kérelmek kiszűréséhez is komolyabb globális adatbázis kellene, mint amivel a bankok dolgoznak a pénzmosás elleni szabályozásban.

A legnagyobb baj azonban az, hogy – bár erre az ügy megadta a lehetőséget, de – az ítélet nem adott iránymutatást arra, hogy mi a viszonya a keresési eredményekből, illetve az információt tartalmazó webhelyről való törlés kezdeményezésének. Mert ha az „elfelejtéshez való jog” érvényesítését mindenki a keresőktől várja majd ezután, és magával a közzétett információval nem is foglalkozik, akkor könnyen előállhat egy olyan helyzet, amelyben az internet a jogászok számára követhetetlen sebességgel kialakítja és tömegesen alkalmazza az általa cenzúrának értékelt eredményszűrést megkerülő szolgáltatásokat és eszközöket.

Jobb lenne, ha nem lenne igazunk, de úgy tűnik, hogy az ítélet az internet szabályozásának egy újabb olyan fejezetét hozza el, amiben a jogi szabályozás kövekkel dobálva igyekszik megállítani egy robogó mozdonyt. Pedig önmagában a Reding által is hangoztatott Big Data – Big Law megközelítés, vagyis az, hogy az internetes óriáscégek totális adatkezelésére kemény adatvédelmi követelményekkel kell válaszolni, teljesen helyes felismerésen alapul. Csakhogy a húsz-harminc évvel ezelőtt kidolgozott adatvédelmi alapelvek mechanikus alkalmazásából biztosan nem lesz Big Law. Egy valóban hatékony szabályozáshoz az internetre szabott, annak szabályozással meg nem változtatható sajátosságait felismerő megoldások kellenek. Ha a jog nem ilyet választ, akkor bármilyen nagyot akar is lépni, nem jut el sehova.

Sepsi Tibor

Illusztráció: innen