Wyrok Trybunału Sprawiedliwości UE z dnia 24 września 2019 r.
Wyrok Trybunału Sprawiedliwości w sprawie bycia zapomnianym
C 507/17
20/10/2019
TSUE przyznał, że w sytuacji gdy operator wyszukiwarki uwzględnia wniosek o usunięcie linków na podstawie wskazanych przepisów, jest on zobowiązany do usunięcia owych linków nie ze wszystkich wersji swojej wyszukiwarki, ale z tych wersji wyszukiwarki, które odpowiadają wszystkim państwom członkowskim. W przypadku gdy osoba, której dane dotyczą skorzysta z prawa do bycia zapomnianym, z listy wyników wyświetlanej w wyszukiwarce w następstwie wyszukiwania według imienia i nazwiska tej osoby, trzeba usunąć linki prowadzące do stron, zawierających informacje na temat tej osoby.
WYROK TRYBUNAŁU (wielka izba)
z dnia 24 września 2019 r.
Odesłanie prejudycjalne - Dane osobowe - Ochrona osób fizycznych w zakresie przetwarzania tych danych - Dyrektywa 95/46/WE - Rozporządzenie (UE) 2016/679 - Wyszukiwarki internetowe - Przetwarzanie danych znajdujących się na stronach internetowych - Zakres terytorialny prawa do usunięcia linków
W sprawie C-507/17
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Conseil d'État (radę stanu, Francja) postanowieniem z dnia 19 lipca 2017 r., które wpłynęło do Trybunału w dniu 21 sierpnia 2017 r., w postępowaniu:
Google LLC, następca prawny Google Inc.,
przeciwko
Commission nationale de l'informatique et des libertés (CNIL),
przy udziale:
Wikimedia Foundation Inc.,
Fondation pour la liberté de la presse,
Microsoft Corp.,
Reporters Committee for Freedom of the Press iin.
Article 19 iin.,
Internet Freedom Foundation iin.,
Défenseur des droits,
TRYBUNAŁ (wielka izba),
w składzie: K. Lenaerts, prezes, A. Arabadjiev, E. Regan, T. von Danwitz, C. Toader i F. Biltgen, prezesi izb, M. Ilešič (sprawozdawca), L. Bay Larsen, M. Safjan, D. Šváby, C.G. Fernlund, C. Vajda i S. Rodin, sędziowie,
rzecznik generalny: M. Szpunar,
sekretarz: V. Giacobbo-Peyronnel, administratorka,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 11 września 2018 r.,
rozważywszy uwagi przedstawione:
- w imieniu Google LLC przez P. Spinosiego, Y. Pelosiego i W. Maxwella, avocats,
- w imieniu Commission nationale de l'informatique et des libertés (CNIL) przez I. Falque-Pierrotin, J. Lessiego oraz G. Le Granda, działających w charakterze pełnomocników,
- w imieniu Wikimedia Foundation Inc. przez C. Rameix-Seguin, avocate,
- w imieniu Fondation pour la liberté de la presse, przez T. Haasa, avocat,
- w imieniu Microsoft Corp., przez E. Piwnicę, avocat,
- w imieniu Reporters Committee for Freedom of the Press i in. przez F. Louisa, avocat, oraz przez H.G. Kamanna, Ch. Schwedlera i M. Brauna, Rechtsanwälte,
- w imieniu Article 19 i in. przez G. Tapiego, avocat, G. Facennę, QC, oraz E. Metcalfe'a, barrister,
- w imieniu Internet Freedom Foundation i in. przez T. Haasa, avocat,
- w imieniu Défenseur des droits przez J. Toubona, działającego w charakterze pełnomocnika,
- w imieniu rządu francuskiego przez D. Colasa, R. Coesme'a, E. de Moustier oraz S. Ghiandoni, działających w charakterze pełnomocników,
- w imieniu Irlandii przez M. Browne, G. Hodge, J. Quaney oraz A. Joyce'a, działających w charakterze pełnomocników, wspieranych przez M. Gray, BL,
- w imieniu rządu greckiego przez E.M. Mamounę, G. Papadaki, E. Zisi oraz S. Papaioannou, działające w charakterze pełnomocników,
- w imieniu rządu włoskiego przez G. Palmieri, działającą w charakterze pełnomocnika, wspieraną przez R. Guizzi, avvocato dello Stato,
- w imieniu rządu austriackiego przez G. Eberharda oraz G. Kunnerta, działających w charakterze pełnomocników,
- w imieniu rządu polskiego przez B. Majczynę, M. Pawlicką oraz J. Sawicką, działających w charakterze pełnomocników,
- w imieniu Komisji Europejskiej przez A. Bucheta, H. Kranenborga oraz D. Nardiego, działających w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 10 stycznia 2019 r.,
wydaje następujący
Uzasadnienie
Wyrok
1
Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31 - wyd. spec. w jęz. polskim, rozdz. 13, t. 15, s. 355).
2
Wniosek ten został złożony w ramach sporu między Google LLC, będącą następcą prawnym Google Inc., a Commission nationale de l'informatique et des libertés (krajową komisją ds. informatyki i swobód, CNIL, Francja), dotyczącego kary w wysokości 100 000 EUR nałożonej przez tę ostatnią na Google z powodu odmówienia przez to przedsiębiorstwo, w związku z uwzględnieniem wniosku o usunięcie linków, zastosowania owego usunięcia do wszystkich rozszerzeń nazwy domeny swej wyszukiwarki.
Ramy prawne
Prawo Unii
Dyrektywa 95/46
3
Dyrektywa 95/46 ma na celu - jak stanowi jej art. 1 ust. 1 - ochronę podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności w odniesieniu do przetwarzania danych osobowych, jak również usuwanie przeszkód w swobodnym przepływie tych danych.
4
Motywy 2, 7, 10, 18, 20 i 37 dyrektywy 95/46 mają następujące brzmienie:
'(2) Systemy przetwarzania danych są tworzone po to, aby służyły człowiekowi; muszą one, niezależnie od obywatelstwa czy miejsca stałego zamieszkania osób fizycznych, szanować ich podstawowe prawa i wolności, szczególnie prawo do prywatności, oraz przyczyniać się do [...] dobrobytu jednostek.
[...]
(7) Różnica w stopniu ochrony praw i wolności jednostek, szczególnie prawa do prywatności, w odniesieniu do przetwarzania danych osobowych, zapewnionego w poszczególnych państwach członkowskich może uniemożliwiać przesyłanie tych danych z terytorium jednego państwa członkowskiego do drugiego państwa członkowskiego; różnica ta może zatem stanowić przeszkodę w realizacji szeregu przedsięwzięć ekonomicznych na poziomie wspólnotowym [...].
[...]
(10) Celem krajowych przepisów prawa dotyczących przetwarzania danych osobowych jest ochrona podstawowych praw i wolności, szczególnie prawa do prywatności, które zostało uznane zarówno w art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności [podpisanej w Rzymie w dniu 4 listopada 1950 r.] oraz w zasadach ogólnych prawa wspólnotowego; z tego powodu zbliżanie przepisów prawa nie powinno wpłynąć na zmniejszenie ochrony, jaką gwarantują, lecz przeciwnie, musi dążyć do zapewnienia jak najwyższego stopnia ochrony we Wspólnocie.
[...]
(18) Aby nie dopuścić do pozbawienia jednostek ochrony, do której mają prawo na mocy niniejszej dyrektywy, wszelkie przetwarzanie danych osobowych we Wspólnocie musi być przeprowadzane zgodnie z ustawodawstwem jednego z państw członkowskich [...].
[...]
(20) Przetwarzanie danych przez osobę prowadzącą działalność w państwie trzecim nie może stać na przeszkodzie ochronie osób fizycznych przewidzianej w niniejszej dyrektywie; w tych przypadkach przetwarzanie danych powinno podlegać przepisom prawa państwa członkowskiego, w którym znajdują się wykorzystywane do tego celu środki, oraz powinny istnieć gwarancje zapewniające przestrzeganie w praktyce praw i obowiązków przewidzianych w niniejszej dyrektywie.
[...]
(37) Przetwarzanie danych osobowych dla potrzeb dziennikarstwa lub wypowiedzi o charakterze literackim lub artystycznym, zwłaszcza w dziedzinie techniki audiowizualnej, powinno kwalifikować się do zwolnienia z wymagań niektórych przepisów niniejszej dyrektywy, o ile jest to konieczne, aby pogodzić prawa podstawowe osób fizycznych z wolnością informacji, a zwłaszcza prawem do uzyskiwania i udzielania informacji, co gwarantuje w szczególności art. 10 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności; państwa członkowskie powinny w związku z tym ustalić zwolnienia i odstępstwa konieczne dla zapewnienia równowagi pomiędzy prawami podstawowymi odnoszącymi się do ogólnych środków w sprawie legalności przetwarzania danych [...].'
5
Artykuł 2 tej dyrektywy stanowi:
'Do celów niniejszej dyrektywy:
a) »dane osobowe« oznacza[ją] wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (»osoby, której dane dotyczą«); [...]
b) »przetwarzanie danych osobowych« (»przetwarzanie«) oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;
[...]
d) »administrator danych« oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych [osobowych]; [...]
[...].'
6
Artykuł 4 wskazanej dyrektywy, zatytułowany 'Odpowiednie prawo krajowe', przewiduje:
'1. Każde państwo członkowskie stosuje, w odniesieniu do przetwarzania danych osobowych, przepisy prawa krajowego przyjmowane na mocy niniejszej dyrektywy wówczas, gdy:
a) przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium państwa członkowskiego; jeżeli ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku państw członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw wywiązuje się z obowiązków przewidzianych w odpowiednich przepisach prawa krajowego;
b) administrator danych nie prowadzi działalności gospodarczej na terytorium państwa członkowskiego, lecz w miejscu, gdzie jego prawo krajowe obowiązuje na mocy międzynarodowego prawa publicznego;
c) administrator danych nie prowadzi działalności gospodarczej na terytorium Wspólnoty, a do celów przetwarzania danych osobowych wykorzystuje środki, zarówno zautomatyzowane, jak i inne, znajdujące się na terytorium wymienionego państwa członkowskiego, o ile środki te nie są wykorzystywane wyłącznie do celów tranzytu przez terytorium Wspólnoty.
2. W okolicznościach określonych w ust. 1 lit. c), administrator danych musi wyznaczyć swojego przedstawiciela na terytorium tego państwa członkowskiego, bez uszczerbku dla postępowań sądowych, jakie mogłyby być podjęte przeciwko samemu administratorowi danych.'
7
Artykuł 9 dyrektywy 95/46, zatytułowany 'Przetwarzanie danych osobowych i wolność wypowiedzi', stanowi:
'Państwa członkowskie wprowadzają możliwość wyłączenia lub odstąpienia od przepisów niniejszego rozdziału, rozdziału IV i VI w przypadku przetwarzania danych osobowych wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego jedynie wówczas, gdy jest to konieczne dla pogodzenia prawa do zachowania prywatności z przepisami dotyczącymi wolności wypowiedzi.'
8
Artykuł 12 tej dyrektywy, zatytułowany 'Prawo dostępu do danych', stanowi:
'Państwa członkowskie zapewniają każdej osobie, której dane dotyczą, prawo do uzyskania od administratora danych:
[...]
b) odpowiednio do przypadku, sprostowania, usunięcia lub zablokowania danych, których przetwarzanie jest niezgodne z przepisami niniejszej dyrektywy, szczególnie ze względu na niekompletność lub niedokładność danych;
[...].'
9
Artykuł 14 rzeczonej dyrektywy, zatytułowany 'Prawo sprzeciwu przysługujące osobie, której dane dotyczą', stanowi:
'Państwa członkowskie przyznają osobie, której dane dotyczą, prawo:
a) przynajmniej w przypadkach wymienionych w art. 7 lit. e) i f), w dowolnym czasie z ważnych i uzasadnionych przyczyn wynikających z [jej] konkretnej sytuacji - sprzeciwu co do przetwarzania dotyczących jej danych, z zastrzeżeniem odmiennych postanowień ustawodawstwa krajowego. W przypadku uzasadnionego sprzeciwu przetwarzanie danych przez administratora danych nie może już obejmować tych danych;
[...].'
10
Artykuł 24 dyrektywy 95/46, zatytułowany 'Sankcje', przewiduje:
'Państwa członkowskie przyjmą odpowiednie środki w celu zapewnienia pełnej realizacji przepisów niniejszej dyrektywy oraz w szczególności określą sankcje, jakie należy nałożyć w przypadku naruszenia przepisów przyjętych zgodnie z niniejszą dyrektywą.'
11
Artykuł 28 tej dyrektywy, zatytułowany 'Organ nadzorczy', ma następujące brzmienie:
'1. Każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialnych za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy.
[...]
3. Każdy organ jest w szczególności wyposażony w:
- uprawienia dochodzeniowe, jak np. prawo dostępu do danych stanowiących przedmiot operacji przetwarzania danych oraz prawo gromadzenia wszelkich informacji potrzebnych do wykonywania jego funkcji nadzorczych,
- skuteczne uprawnienia interwencyjne, jak np. prawo do [...] zarządzania blokady, usunięcia lub zniszczenia danych, nakładania czasowego lub ostatecznego zakazu przetwarzania danych [...]
[...]
Od decyzji organu nadzorczego, co do które[j] zgłaszane są zastrzeżenia, przysługuje odwołanie do właściwego sądu.
4. Każdy organ nadzorczy rozpatruje skargi zgłaszane przez dowolną osobę lub przez stowarzyszenie ją reprezentujące odnośnie do ochrony jej praw i wolności w zakresie przetwarzania danych osobowych. Dana osoba jest powiadamiana o wyniku sprawy.
[...]
6. Każdy organ nadzorczy jest właściwy, niezależnie od krajowych przepisów dotyczących danego przypadku przetwarzania danych, do wykonywania [na] terytorium państwa członkowskiego uprawnień powierzonych mu zgodnie z ust. 3. Do każdego organu można się zwrócić z żądaniem wykonania jego uprawnień przez odpowiedni organ innego państwa członkowskiego.
Organy nadzorcze współpracują ze sobą w zakresie koniecznym do wykonywania swoich obowiązków, zwłaszcza poprzez wymianę wszelkich przydatnych informacji.
[...].'
Rozporządzenie (UE) 2016/679
12
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2), które jest oparte na art. 16 TFUE, ma zastosowanie - jak stanowi jego art. 99 ust. 2 - od dnia 25 maja 2018 r. Artykuł 94 ust. 1 tego rozporządzenia stanowi, że dyrektywa 95/46 zostaje uchylona ze skutkiem od tej samej daty.
13
Motywy 1, 4, 9-11, 13, 22-25 i 65 wspomnianego rozporządzenia stanowią:
'(1) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art[ykuł] 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej »Kartą praw podstawowych«) oraz art. 16 ust. 1 [TFUE] stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.
[...]
(4) Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w Karcie praw podstawowych - zapisanych w Traktatach - w szczególności prawa do poszanowania życia prywatnego i rodzinnego, [...] ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, [...]
[...]
(9) [...] wdrażając ochronę danych w Unii, nie uniknięto fragmentaryzacji [...]. Różnice w stopniu ochrony [...] w państwach członkowskich [...] mogą utrudniać swobodny przepływ danych osobowych w Unii. Mogą zatem stanowić przeszkodę w prowadzeniu działalności gospodarczej na szczeblu Unii [...].
(10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. [...]
(11) Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich.
[...]
(13) Aby zapewnić spójny stopień ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym [...] pewność prawa i przejrzystość, a osobom fizycznym we wszystkich państwach członkowskich ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i podmiotów przetwarzających, które pozwoli spójnie monitorować przetwarzanie danych osobowych, a także które zapewni równoważne kary we wszystkich państwach członkowskich oraz skuteczną współpracę organów nadzorczych z różnych państw członkowskich. Aby rynek wewnętrzny mógł właściwie funkcjonować, swobodny przepływ danych osobowych w Unii nie jest ograniczany ani zakazany z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. [...]
[...]
(22) Przetwarzanie danych osobowych w kontekście działalności prowadzonej przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii powinno odbywać się zgodnie z niniejszym rozporządzeniem, niezależnie od tego, czy samo przetwarzanie ma miejsce w Unii. [...]
(23) Aby osoby fizyczne nie zostały pozbawione ochrony przysługującej im na mocy niniejszego rozporządzenia, przetwarzanie danych osobowych osób, których dane dotyczą, znajdujących się w Unii, przez administratora lub podmiot przetwarzający, którzy nie posiadają jednostki organizacyjnej w Unii, powinno podlegać niniejszemu rozporządzeniu, jeżeli czynności przetwarzania wiążą się z oferowaniem takim osobom towarów lub usług, niezależnie od tego, czy pociąga to za sobą płatność. Aby stwierdzić, czy administrator lub podmiot przetwarzający oferują towary lub usługi znajdującym się w Unii osobom, których dane dotyczą, należy ustalić, czy jest oczywiste, że administrator lub podmiot przetwarzający planują oferować usługi osobom, których dane dotyczą, w co najmniej jednym państwie członkowskim Unii. [...]
(24) Przetwarzanie danych osobowych znajdujących się w Unii osób, których dane dotyczą, przez administratora lub podmiot przetwarzający, którzy nie mają jednostki organizacyjnej w Unii, powinno podlegać niniejszemu rozporządzeniu także w przypadkach, gdy wiąże się z monitorowaniem zachowania takich osób, których dane dotyczą, o ile zachowanie to ma miejsce w Unii. Aby stwierdzić, czy czynność przetwarzania można uznać za »monitorowanie zachowania« osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.
(25) Niniejsze rozporządzenie powinno mieć zastosowanie do administratora niemającego jednostki organizacyjnej w Unii także w przypadkach, gdy na mocy prawa międzynarodowego publicznego stosuje się prawo państwa członkowskiego, na przykład na terenie misji dyplomatycznej lub placówki konsularnej państwa członkowskiego.
[...]
(65) Każda osoba [której dane dotyczą] [...] powinna mieć prawo do [...] »bycia zapomnianym«, jeżeli zatrzymywanie takich danych narusza niniejsze rozporządzenie, prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator. [...] Niemniej dalsze zatrzymywanie danych osobowych powinno być uznane za zgodne z prawem, jeżeli jest niezbędne do korzystania z wolności wypowiedzi i informacji [...].'
14
Artykuł 3 rozporządzenia 2016/679, zatytułowany 'Terytorialny zakres stosowania', ma następujące brzmienie:
'1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.
2. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:
a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii - niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.
3. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego.'
15
W art. 4 ust. 23 tego rozporządzenia pojęcie 'przetwarzania transgranicznego' zdefiniowano jako:
'a) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.'
16
Artykuł 17 wskazanego rozporządzenia, zatytułowany 'Prawo do usunięcia danych (»prawo do bycia zapomnianym«)', ma następujące brzmienie:
'1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
[...]
3. Ust[ępy] 1 i 2 nie mają zastosowania w zakresie, w jakim przetwarzanie jest niezbędne:
a) do korzystania z prawa do wolności wypowiedzi i informacji;
[...].'
17
Artykuł 21 rzeczonego rozporządzenia, zatytułowany 'Prawo do sprzeciwu', stanowi w ust. 1:
'Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.'
18
Artykuł 55 rozporządzenia 2016/679, zatytułowany 'Właściwość', który należy do rozdziału VI tego rozporządzenia, zatytułowanego 'Niezależne organy nadzorcze', stanowi w ust. 1:
'Każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego.'
19
Artykuł 56 wspomnianego rozporządzenia, zatytułowany 'Właściwość wiodącego organu nadzorczego', stanowi:
'1. Bez uszczerbku dla art. 55 organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy - zgodnie z procedurą przewidzianą w art. 60 - względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający.
2. W drodze wyjątku od ust. 1 każdy organ nadzorczy jest właściwy do rozpatrzenia skargi, którą do niego wniesiono, lub zajęcia się ewentualnym naruszeniem niniejszego rozporządzenia, jeżeli sprawa dotyczy wyłącznie jednostki organizacyjnej w jego państwie członkowskim lub znacznie wpływa na osoby, których dane dotyczą, wyłącznie w jego państwie członkowskim.
3. W przypadkach, o których mowa w ust. 2 niniejszego artykułu, organ nadzorczy niezwłocznie informuje o danej sprawie wiodący organ nadzorczy. W terminie trzech tygodni od otrzymania informacji wiodący organ nadzorczy postanawia, czy zajmie się daną sprawą zgodnie z procedurą przewidzianą w art. 60, uwzględniając, czy w państwie członkowskim, którego organ nadzorczy przekazał mu informacje, znajduje się jednostka organizacyjna administratora lub podmiotu przetwarzającego.
4. Jeżeli wiodący organ nadzorczy postanowi zająć się daną sprawą, zastosowanie ma procedura przewidziana w art. 60. Organ nadzorczy, który przekazał informacje wiodącemu organowi nadzorczemu, może przedłożyć temu organowi projekt decyzji. Wiodący organ nadzorczy w jak największym stopniu uwzględnia ten projekt, przygotowując projekt decyzji, o którym mowa w art. 60 ust. 3.
5. Jeżeli wiodący organ nadzorczy postanowi nie zajmować się daną sprawą, sprawą zajmuje się - zgodnie z art. 61 i 62 - organ nadzorczy, który przekazał informacje wiodącemu organowi nadzorczemu.
6. Administrator lub podmiot przetwarzający komunikują się w sprawie dokonywanego przez nich transgranicznego przetwarzania jedynie z wiodącym organem nadzorczym.'
20
Artykuł 58 tego rozporządzenia, zatytułowany 'Uprawnienia', stanowi w ust. 2:
'Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:
[...]
g) nakazanie na mocy art. [...] 17 [...] usunięcia danych osobowych [...];
[...]
i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej [...] zależnie od okoliczności konkretnej sprawy.'
21
W rozdziale VII rozporządzenia 2016/679, zatytułowanym 'Współpraca i spójność', sekcja 1, zatytułowana 'Współpraca', obejmuje art. 60-62 tego rozporządzenia. Artykuł 60, zatytułowany 'Współpraca miedzy wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy', stanowi:
'1. Wiodący organ nadzorczy współpracuje z innymi organami nadzorczymi, których sprawa dotyczy, zgodnie z niniejszym artykułem w celu osiągnięcia porozumienia. Wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, wymieniają się wszelkimi stosownymi informacjami.
2. Wiodący organ nadzorczy może w dowolnym momencie zwrócić się do innych organów nadzorczych, których sprawa dotyczy, o wzajemną pomoc zgodnie z art. 61 i może prowadzić wspólne operacje zgodnie z art. 62, w szczególności w celu przeprowadzenia postępowania lub monitorowania wdrażania środka dotyczącego administratora lub podmiotu przetwarzającego posiadającego jednostkę organizacyjną w innym państwie członkowskim.
3. Wiodący organ nadzorczy niezwłocznie przekazuje innym organom nadzorczym, których sprawa dotyczy, stosowne informacje dotyczące danej sprawy. Niezwłocznie przedkłada innym organom [nadzorczym], których sprawa dotyczy, [...] projekt decyzji w celu uzyskania ich opinii i należytego uwzględnienia ich uwag.
4. Jeżeli w terminie czterech tygodni od otrzymania wniosku o opinię zgodnie z ust. 3 niniejszego artykułu inny organ nadzorczy, którego sprawa dotyczy, zgłosi mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji, wiodący organ nadzorczy - jeżeli nie przychyla się do mającego znaczenie dla sprawy i uzasadnionego sprzeciwu lub sądzi, że sprzeciw nie ma znaczenia dla sprawy lub nie jest uzasadniony - przekazuje sprawę w ramach mechanizmu spójności, o którym mowa w art. 63.
5. Jeżeli wiodący organ nadzorczy zamierza przychylić się do zgłoszonego mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, przedkłada innym organom nadzorczym, których sprawa dotyczy, zmieniony projekt decyzji w celu uzyskania ich opinii. Zmieniony projekt decyzji jest poddawany procedurze, o której mowa w ust. 4, w terminie dwóch tygodni.
6. Jeżeli w terminie, o którym mowa w ust. 4 i 5, żaden inny organ nadzorczy, którego sprawa dotyczy, nie zgłosi sprzeciwu wobec projektu decyzji przedłożonego przez wiodący organ nadzorczy, uznaje się, że wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, porozumiały się w sprawie projektu decyzji i są nią związane.
7. Wiodący organ nadzorczy przyjmuje decyzję i doręcza ją odpowiednio głównej lub pojedynczej jednostce organizacyjnej administratora lub podmiotu przetwarzającego oraz informuje o decyzji inne organy nadzorcze, których sprawa dotyczy, i Europejską Radę Ochrony Danych, dołączając streszczenie stanu faktycznego i powodów decyzji. Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o decyzji.
8. W drodze wyjątku od ust. 7, jeżeli skarga zostaje oddalona lub odrzucona, organ nadzorczy, do którego wniesiono skargę, przyjmuje decyzję i doręcza ją skarżącemu oraz informuje o niej administratora.
9. Jeżeli wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, porozumiały się co do oddalenia lub odrzucenia części skargi oraz co do podjęcia działań względem innych części tej skargi, dla każdej z tych części przyjmuje się odrębną decyzję. [...]
10. Po doręczeniu administratorowi lub podmiotowi przetwarzającemu decyzji wiodącego organu nadzorczego zgodnie z ust. 7 i 9, podejmują oni niezbędne działania, by zastosować się do tej decyzji, jeżeli chodzi o czynności przetwarzania w ramach wszystkich swoich jednostek organizacyjnych w Unii. Administrator lub podmiot przetwarzający zawiadamiają wiodący organ nadzorczy o działaniach podjętych w celu zastosowania się do decyzji, ten zaś informuje o nich inne organy nadzorcze, których sprawa dotyczy.
11. Jeżeli w wyjątkowych okolicznościach organ nadzorczy, którego sprawa dotyczy, ma powody sądzić, że istnieje pilna potrzeba podjęcia działań w celu ochrony interesów osób, których dane dotyczą, zastosowanie ma tryb pilny, o którym mowa w art. 66.
[...].'
22
Artykuł 61 wspomnianego rozporządzenia, zatytułowany 'Wzajemna pomoc', stanowi w ust. 1:
'Organy nadzorcze przekazują sobie stosowne informacje i świadczą sobie wzajemną pomoc w celu spójnego wdrażania i stosowania niniejszego rozporządzenia oraz wprowadzają środki na rzecz skutecznej wzajemnej współpracy. Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji oraz środki nadzorcze, takie jak wnioski o udzielenie uprzednich zezwoleń i przeprowadzenie uprzednich konsultacji oraz o przeprowadzenie kontroli i postępowań wyjaśniających.'
23
Artykuł 62 tego rozporządzenia, zatytułowany 'Wspólne operacje organów nadzorczych', stanowi:
'1. Organy nadzorcze prowadzą w stosownych przypadkach wspólne operacje, w tym wspólne postępowania i wspólne działania egzekucyjne, w których uczestniczą członkowie lub personel organów nadzorczych innych państw członkowskich.
2. Jeżeli administrator lub podmiot przetwarzający posiadają jednostki organizacyjne w kilku państwach członkowskich lub jeżeli operacje przetwarzania mogą istotnie wpłynąć na znaczną liczbę osób, których dane dotyczą, w więcej niż jednym państwie członkowskim, organ nadzorczy każdego z tych państw członkowskich ma prawo uczestniczyć we wspólnych operacjach. [...].'
24
Sekcja 2, zatytułowana 'Spójność', zawarta w rozdziale VII rozporządzenia 2016/679 obejmuje art. 63-67 tego rozporządzenia. Artykuł 63, zatytułowany 'Mechanizm spójności', ma następujące brzmienie:
'Aby przyczynić się do spójnego stosowania niniejszego rozporządzenia w całej Unii, organy nadzorcze współpracują ze sobą, a w stosownym przypadku także z Komisją, stosując mechanizm spójności określony w niniejszej sekcji.'
25
Artykuł 65 wspomnianego rozporządzenia, zatytułowany 'Rozstrzyganie sporów przez Europejską Radę Ochrony Danych', stanowi w ust. 1:
'Aby w poszczególnych sytuacjach zapewnić właściwe i spójne stosowanie niniejszego rozporządzenia, Europejska Rada Ochrony Danych przyjmuje w następujących przypadkach wiążące decyzje:
a) jeżeli w przypadku, o którym mowa w art. 60 ust. 4, organ nadzorczy, którego sprawa dotyczy, zgłosił mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego, a wiodący organ nadzorczy nie przychylił się do tego sprzeciwu lub odrzucił taki sprzeciw jako niemający znaczenia dla sprawy lub nieuzasadniony. Wiążąca decyzja dotyczy wszystkich spraw, które są przedmiotem mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, w szczególności dotyczy tego, czy doszło do naruszenia niniejszego rozporządzenia;
b) jeżeli panują sprzeczne opinie co do tego, który z organów nadzorczych, których sprawa dotyczy, jest właściwy względem głównej jednostki organizacyjnej;
[...].'
26
Artykuł 66 tego rozporządzenia, zatytułowany 'Tryb pilny', w ust. 1 stanowi:
'W wyjątkowych okolicznościach, jeżeli organ nadzorczy, którego sprawa dotyczy, uzna, że istnieje pilna potrzeba podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą, może w drodze odstępstwa od mechanizmu spójności, o którym mowa w art. 63, 64 i 65, lub od procedury, o której mowa w art. 60, niezwłocznie przyjąć środki tymczasowe mające na terytorium jego państwa członkowskiego wywołać skutki prawne przez określony okres, nieprzekraczający trzech miesięcy. Organ nadzorczy niezwłocznie informuje o tych środkach i o powodach ich przyjęcia pozostałe organy nadzorcze, których sprawa dotyczy, Europejską Radę Ochrony Danych i Komisję.'
27
Artykuł 85 rozporządzenia 2016/679, zatytułowany 'Przetwarzanie a wolność wypowiedzi i informacji', stanowi:
'1. Państwa członkowskie przyjmują przepisy pozwalające pogodzić prawo do ochrony danych osobowych na mocy niniejszego rozporządzenia z wolnością wypowiedzi i informacji, w tym do przetwarzania dla potrzeb dziennikarskich oraz do celów wypowiedzi akademickiej, artystycznej lub literackiej.
2. Dla przetwarzania do celów dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej państwa członkowskie określają odstępstwa lub wyjątki od rozdziału II (Zasady), rozdziału III (Prawa osoby, której dane dotyczą), rozdziału IV (Administrator i podmiot przetwarzający), rozdziału V (Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych), rozdziału VI (Niezależne organy nadzorcze), rozdziału VII (Współpraca i spójność) oraz rozdziału IX (Szczególne sytuacje związane z przetwarzaniem danych), jeżeli są one niezbędne, by pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji.
[...].'
Prawo francuskie
28
Dyrektywa 95/46 została wdrożona do prawa francuskiego przez loi n° 78-17, du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés (ustawę nr 78-17 z dnia 6 stycznia 1978 r. dotyczącą informatyki, danych i wolności), w wersji mającej zastosowanie do okoliczności faktycznych analizowanych w postępowaniu głównym (zwaną dalej 'ustawą z dnia 6 stycznia 1978 r.').
29
Artykuł 45 tej ustawy stanowi, że w przypadku, gdy administrator odpowiedzialny za przetwarzanie danych nie przestrzega obowiązków wynikających z rzeczonej ustawy, przewodniczący CNIL może wezwać go do usunięcia uchybienia w wyznaczonym przez niego terminie. Jeżeli administrator odpowiedzialny za przetwarzanie danych nie zastosuje się do skierowanego do niego wezwania, ograniczony skład CNIL może, po przeprowadzeniu postępowania kontradyktoryjnego, orzec w szczególności karę pieniężną.
Postępowanie główne i pytania prejudycjalne
30
Decyzją z dnia 21 maja 2015 r. przewodnicząca CNIL wezwała Google do tego, aby w sytuacji, gdy spółka ta uwzględnia wniosek osoby fizycznej o usunięcie z listy wyników, wyświetlanej w następstwie wyszukiwania według jej imienia i nazwiska, linków prowadzących do stron internetowych, zastosowała owo usunięcie do wszystkich rozszerzeń nazwy domeny swej wyszukiwarki.
31
Spółka Google nie zastosowała się do tego wezwania, ograniczając się do usunięcia tych linków jedynie z rezultatów wyświetlanych jako odpowiedź na wyszukiwania prowadzone z nazw domen odpowiadających wersjom jej wyszukiwarki w państwach członkowskich.
32
CNIL uznał też za niewystarczającą złożoną przez spółkę Google po upływie terminu do usunięcia uchybienia dodatkową propozycję 'geoblokowania', polegającą na uniemożliwieniu dostępu z adresu IP (Internet Protocol) uważanego za zlokalizowany w państwie miejsca zamieszkania osoby, której ma przysługiwać to 'prawo do usunięcia linków', do spornych wyników uzyskanych w następstwie wyszukiwania według jej imienia i nazwiska, niezależnie od wersji wyszukiwarki, z której internauta skorzystał.
33
Stwierdziwszy, że spółka Google nie zastosowała się do tego wezwania w wyznaczonym na to terminie, CNIL - uchwałą z dnia 10 marca 2016 r. - nałożył na tę spółkę podaną do publicznej wiadomości karę w wysokości 100 000 EUR.
34
We wniesionej do Conseil d'État (rady stanu, Francja) skardze spółka Google żąda uchylenia tej uchwały.
35
Conseil d'État (rada stanu) stwierdza, że przetwarzanie danych osobowych za pomocą wyszukiwarki obsługiwanej przez spółkę Google wchodzi w zakres stosowania ustawy z dnia 6 stycznia 1978 r. z uwagi na działalność w dziedzinie promocji i sprzedaży powierzchni reklamowej prowadzoną we Francji przez jej spółkę zależną Google France.
36
Conseil d'État (rada stanu) zauważa również, że wyszukiwarka obsługiwana przez spółkę Google występuje w wersjach posiadających różne nazwy domen według rozszerzeń geograficznych, w celu dostosowania wyświetlanych wyników do specyfiki, szczególnie językowej, różnych państw, w których spółka ta prowadzi działalność. Jeżeli wyszukiwanie zostanie zainicjowane w domenie 'google.com', spółka Google dokonuje, co do zasady, automatycznego przekierowania tego wyszukiwania do domeny o nazwie odpowiadającej państwu, z którego wyszukiwanie to, w oparciu o identyfikację adresu IP internauty, najpewniej pochodzi. Niemniej jednak internauta może - niezależnie od swej lokalizacji - prowadzić wyszukiwania w innych nazwach domen wyszukiwarki. Ponadto, o ile wyniki te mogą być różne w zależności od danej nazwy domeny, z której dokonywane jest owo wyszukiwanie w wyszukiwarce, o tyle jest bezsporne, że łącza wyświetlane w odpowiedzi na wyszukiwanie pochodzą ze wspólnej bazy danych i oparte są na wspólnej indeksacji.
37
Conseil d'État (rada stanu) stoi na stanowisku, że mając na uwadze, po pierwsze, fakt, że wszystkie nazwy domen wyszukiwarki spółki Google są dostępne z terytorium francuskiego, a po drugie, istnienie możliwości przechodzenia między różnymi nazwami domen, co ilustruje w szczególności automatyczne przekierowanie oraz obecność plików 'cookies' w rozszerzeniach wyszukiwarki innych niż to, w którym zostały one pierwotnie umieszczone, należy uznać, że owa wyszukiwarka, która była zresztą przedmiotem tylko jednego zgłoszenia do CNIL, dokonuje jednego przetwarzania danych osobowych w rozumieniu ustawy z dnia 6 stycznia 1978 r. W związku z tym przetwarzanie danych osobowych przez wyszukiwarkę prowadzoną przez spółkę Google odbywa się w ramach jednego z zakładów tej spółki, Google France, mającego siedzibę na terytorium Francji, a zatem podlega przepisom ustawy z dnia 6 stycznia 1978 r.
38
W postępowaniu przed Conseil d'État (radą stanu) spółka Google podnosi, że sporna sankcja ma swe źródło w błędnej wykładni przepisów ustawy z dnia 6 stycznia 1978 r. transponujących art. 12 lit. b) i art. 14 akapit pierwszy lit. a) dyrektywy 95/46, na podstawie których w wyroku z dnia 13 maja 2014 r., Google Spain i Google (C-131/12, EU:C:2014:317), Trybunał uznał 'prawo do usunięcia linków'. Google podnosi, że prawo to niekoniecznie oznacza, że sporne linki są usuwane, bez ograniczeń geograficznych, ze wszystkich nazw domen wyszukiwarki tej spółki. Ponadto spółka ta twierdzi, że przyjmując taką wykładnię, CNIL naruszył uznane przez międzynarodowe prawo publiczne zasady kurtuazji i nieingerencji oraz w sposób nieproporcjonalny naruszyła swobody wypowiedzi, informacji, komunikacji i prasy zagwarantowane w szczególności w art. 11 karty.
39
Po stwierdzeniu, że argumentacja ta powoduje szereg poważnych trudności w związku z wykładnią dyrektywy 95/46, Conseil d'État (rada stanu) postanowiła zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
'1) Czy »prawo do usunięcia linków« w postaci ustalonej przez [Trybunał] w wyroku z dnia 13 maja 2014 r., [Google Spain i Google (C-131/12, EU:C:2014:317),] na podstawie przepisów art. 12 lit. b) i art. 14 [akapit pierwszy] lit. a) dyrektywy [95/46] należy interpretować w ten sposób, że operator wyszukiwarki internetowej jest zobowiązany, w razie uwzględnienia wniosku o usunięcie linków, do usunięcia linków we wszystkich nazwach domen swojej wyszukiwarki w taki sposób, aby sporne linki nie pojawiały się już niezależnie od miejsca, z którego uruchomiono wyszukiwanie według imienia i nazwiska wnioskodawcy, w tym poza terytorialnym zakresem stosowania dyrektywy [95/46]?
2) W przypadku udzielenia odpowiedzi przeczącej na pytanie pierwsze, czy »prawo do usunięcia linków« w postaci ustalonej przez [Trybunał] w ww. wyroku należy interpretować w ten sposób, że operator wyszukiwarki internetowej w razie uwzględnienia żądania usunięcia linków jest jedynie zobowiązany do usunięcia spornych linków z wyników wyświetlanych w następstwie wyszukiwania według imienia i nazwiska wnioskodawcy w nazwie domeny odpowiadającej państwu, w którym, jak się uznaje, złożono wniosek lub - szerzej - w nazwach domeny wyszukiwarki, które odpowiadają krajowym rozszerzeniom tej wyszukiwarki dla wszystkich państw członkowskich [...]?
3) Czy ponadto w uzupełnieniu zobowiązania, o którym mowa w pytaniu drugim, »prawo do usunięcia linków« w postaci ustalonej przez [Trybunał] w ww. wyroku należy interpretować w ten sposób, że operator wyszukiwarki internetowej uwzględniający wniosek o usunięcie linków jest zobowiązany do usunięcia za pomocą techniki zwanej »geoblokowaniem« dla adresu IP uznanego za zlokalizowany w państwie miejsca zamieszkania beneficjenta »prawa do usunięcia linków« spornych wyników wyszukiwania według jego imienia i nazwiska lub - bardziej ogólnie - dla adresu IP uznanego za zlokalizowany w jednym z państw członkowskich podlegających dyrektywie [95/46], niezależnie od nazwy domeny wykorzystanej przez internautę dokonującego wyszukiwania?.'
W przedmiocie pytań prejudycjalnych
40
U źródeł postępowania głównego leży spor pomiędzy spółką Google a CNIL w przedmiocie kwestii, w jaki sposób operator wyszukiwarki, w sytuacji gdy stwierdzi, że osoba, której dane dotyczą, jest uprawniona do tego, aby pojedynczy link lub więcej linków do stron internetowych, na których znajdują się dotyczące tej osoby dane osobowe, zostało usuniętych z listy wyników, która jest wyświetlana w następstwie wyszukiwania przeprowadzonego na podstawie jej imienia i nazwiska, musi wdrożyć to prawo do usunięcia linków. Chociaż w dniu przedstawienia wniosku o wydanie orzeczenia w trybie prejudycjalnym obowiązywała dyrektywa 95/46, to została ona uchylona ze skutkiem od dnia 25 maja 2018 r., przy czym od tego samego dnia stosuje się rozporządzenie 2016/679.
41
Trybunał zbada kwestie podniesione zarówno w odniesieniu do tej dyrektywy, jak i w odniesieniu do tego rozporządzenia, aby zagwarantować, że jego odpowiedzi będą w każdym razie przydatne dla sądu odsyłającego.
42
W trakcie postępowania przed Trybunałem spółka Google wyjaśniła, że po przedstawieniu wniosku o wydanie orzeczenia w trybie prejudycjalnym wprowadziła nowy sposób wyświetlania krajowych wersji swojej wyszukiwarki, w ramach której nazwa domeny wprowadzona przez internautę nie określa już krajowej wersji wyszukiwarki, do której uzyskuje on dostęp. Internauta jest więc teraz automatycznie przekierowywany do krajowej wersji wyszukiwarki Google, która odpowiada miejscu, z którego najprawdopodobniej przeprowadza wyszukiwanie, a rezultaty tego wyszukiwania są wyświetlane w zależności od tego miejsca, które jest określane przez spółkę Google za pomocą procesu geolokalizacji.
43
W tych okolicznościach przedstawione pytania, które należy przeanalizować łącznie, należy rozumieć w ten sposób, że zmierzają one zasadniczo do ustalenia, czy art. 12 lit. b) i art. 14 akapit pierwszy lit. a) dyrektywy 95/46, jak też art. 17 ust. 1 rozporządzenia 2016/679, należy interpretować w ten sposób, że w sytuacji gdy operator wyszukiwarki uwzględnia wniosek o usunięcie linków na podstawie wskazanych przepisów, jest on zobowiązany do usunięcia owych linków ze wszystkich wersji swojej wyszukiwarki, czy też, przeciwnie, jest on zobowiązany do usunięcia linków tylko z tych wersji wyszukiwarki, które odpowiadają wszystkim państwom członkowskim, względnie jedynie z tej wersji wyszukiwarki, która odpowiada państwu członkowskiemu, w którym złożony został wniosek o usunięcie linków, w stosownym wypadku w powiązaniu z zastosowaniem techniki zwanej 'geoblokowaniem', tak aby zapewnić, że bez względu na to, z jakiej krajowej wersji wyszukiwarki skorzysta internauta, nie będzie on mógł, w ramach wyszukiwania przeprowadzanego z adresu IP, który uważa się za zlokalizowany w państwie członkowskim, gdzie miejsce zamieszkania ma osoba uprawniona do usunięcia linków, lub, bardziej ogólnie, w jednym z państw członkowskich, uzyskać dostępu do linków podlegających usunięciu.
44
Tytułem wstępu należy przypomnieć, że Trybunał orzekł, iż art. 12 lit. b) oraz art. 14 akapit pierwszy lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że ustanowione w tych przepisach normy są przestrzegane, a przewidziane w nich warunki rzeczywiście spełnione wówczas, gdy operator wyszukiwarki internetowej jest zobowiązany do usunięcia z wyświetlanej listy wyników wyszukiwania mającego za punkt wyjścia imię i nazwisko danej osoby linków do publikowanych przez osoby trzecie stron internetowych zawierających dotyczące tej osoby informacje, również w przypadku gdy to imię czy nazwisko czy też te informacje nie zostały uprzednio czy też jednocześnie usunięte z tych stron internetowych, i, w odpowiednim przypadku, nawet jeśli ich publikacja na tych stronach jest zgodna z prawem (wyrok z dnia 13 maja 2014 r., Google Spain i Google, C-131/12, EU:C:2014:317, pkt 88).
45
Trybunał wyjaśnił ponadto, że w ramach oceny tego, czy spełnione zostały warunki zastosowania tych przepisów, należy w szczególności przeanalizować kwestię, czy osoba, której dotyczą dane, ma prawo do tego, aby konkretna dotycząca jej informacja nie była już, w aktualnym stanie rzeczy, powiązana z jej imieniem i nazwiskiem poprzez listę wyświetlającą wyniki wyszukiwania mającego za punkt wyjścia to imię i nazwisko, przy czym stwierdzenie, iż takie prawo przysługuje, pozostaje bez związku z tym, czy zawarcie na tej liście wyników wyszukiwania danej informacji wyrządza szkodę tej osobie. Ponieważ osoba ta może, ze względu na przysługujące jej i przewidziane w art. 7 i 8 karty prawa podstawowe, zażądać, aby dana informacja nie była już podawana do wiadomości szerokiego kręgu odbiorców poprzez zawarcie jej na takiej liście wyników wyszukiwania, prawa te są co do zasady nadrzędne nie tylko wobec interesu gospodarczego operatora wyszukiwarki internetowej, lecz również wobec interesu, jaki ten krąg odbiorców może mieć w znalezieniu rzeczonej informacji w ramach wyszukiwania prowadzonego w przedmiocie imienia i nazwiska tej osoby. Taka sytuacja nie ma jednak miejsca, jeśli ze szczególnych powodów, takich jak rola odgrywana przez tę osobę w życiu publicznym, należałoby uznać, że ingerencja w prawa podstawowe tej osoby jest uzasadniona nadrzędnym interesem tego kręgu odbiorców, polegającym na posiadaniu, dzięki temu umieszczeniu na liście, dostępu do danej informacji (wyrok z dnia 13 maja 2014 r., Google Spain i Google, C-131/12, EU:C:2014:317, pkt 99).
46
W kontekście rozporządzenia 2016/679 to prawo do usunięcia linków przysługujące osobie, której dane dotyczą, opiera się obecnie na art. 17 tego rozporządzenia, który reguluje konkretnie 'prawo do usunięcia danych', zwane również w tytule tego artykułu 'prawem do bycia zapomnianym'.
47
Zgodnie z art. 17 ust. 1 rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi któraś z wymienionych w tym przepisie okoliczności. Artykuł 17 ust. 3 tego rozporządzenia stanowi, że art. 17 ust. 1 nie ma zastosowania w zakresie, w jakim określone przetwarzanie jest niezbędne z któregoś ze względów określonych w tym pierwszym przepisie. Względy te obejmują między innymi, jak stanowi art. 17 ust. 3 lit. a) rzeczonego rozporządzenia, korzystanie przez internautów w szczególności z prawa do wolności informacji.
48
Z art. 4 ust. 1 lit. a) dyrektywy 95/46 oraz z art. 3 ust. 1 rozporządzenia 2016/679 wynika, że zarówno ta dyrektywa, jak i to rozporządzenie pozwalają osobom, których dane dotyczą, dochodzić przysługującego im prawa do usunięcia linków od operatora wyszukiwarki posiadającego jeden lub więcej zakładów na terytorium Unii, w ramach których działalności przetwarza on dane osobowe dotyczące tych osób, niezależnie od tego, czy takie przetwarzanie ma miejsce w Unii, czy też nie.
49
W tym względzie Trybunał orzekł, że przetwarzanie danych osobowych ma miejsce w ramach działalności gospodarczej prowadzonej przez zakład administratora danych odpowiedzialnego za to przetwarzanie na terytorium danego państwa członkowskiego, jeśli operator wyszukiwarki internetowej ustanawia w danym państwie członkowskim oddział lub spółkę zależną, których celem jest promocja i sprzedaż powierzchni reklamowych oferowanych za pośrednictwem tej wyszukiwarki, a działalność tego oddziału lub tej spółki zależnej jest skierowana do osób zamieszkujących to państwo członkowskie (wyrok z dnia 13 maja 2014 r., Google Spain i Google, C-131/12, EU:C:2014:317, pkt 60).
50
W takich okolicznościach działalność prowadzona przez operatora wyszukiwarki oraz działalność jego zakładu zlokalizowanego na terenie Unii są bowiem ze sobą nierozerwalnie powiązane, gdyż działalność związana z powierzchniami reklamowymi stanowi środek służący uczynieniu danej wyszukiwarki internetowej opłacalną pod względem gospodarczym, a wyszukiwarka ta stanowi jednocześnie środek umożliwiający prowadzenie tej działalności, skoro wyświetleniu listy wyników wyszukiwania towarzyszy wyświetlenie na tej samej stronie powiązanych z tematami wyszukiwania reklam (zobacz podobnie wyrok z dnia 13 maja 2014 r., Google Spain i Google, C-131/12, EU:C:2014:317, pkt 56, 57).
51
W tym stanie rzeczy okoliczność, iż wyszukiwarka jest obsługiwana przez przedsiębiorstwo z państwa trzeciego, nie może skutkować tym, że przetwarzanie danych osobowych na potrzeby funkcjonowania tej wyszukiwarki w ramach działalności reklamowej i handlowej zakładu administratora odpowiedzialnego za przetwarzanie tych danych na terytorium danego państwa członkowskiego nie podlega obowiązkom i gwarancjom przewidzianym w dyrektywie 95/46 i w rozporządzeniu 2016/679 (zob. podobnie wyrok z dnia 13 maja 2014 r., Google Spain i Google, C-131/12, EU:C:2014:317, pkt 58).
52
W niniejszej sprawie z informacji zawartych w postanowieniu odsyłającym wynika z jednej strony, że zakład, którym dysponuje spółka Google na terytorium Francji, prowadzi działalność, w szczególności handlową i reklamową, nierozerwalnie związaną z przetwarzaniem danych osobowych do celów obsługi właściwej wyszukiwarki, a z drugiej strony, że należy uznać, że wyszukiwarka ta, biorąc pod uwagę w szczególności istnienie możliwości przechodzenia między jej poszczególnymi wersjami krajowymi, dokonuje jednego przetwarzania danych osobowych. Sąd odsyłający stoi na stanowisku, że w tych okolicznościach owo przetwarzanie danych odbywa się w ramach zakładu spółki Google zlokalizowanego na terytorium Francji. Wydaje się zatem, że taka sytuacja jest objęta terytorialnym zakresem stosowania dyrektywy 95/46 i rozporządzenia 2016/679.
53
Poprzez swe pytania sąd krajowy dąży do ustalenia zakresu terytorialnego, jaki powinno mieć usunięcie linków w takiej sytuacji.
54
W tym względzie z motywu 10 dyrektywy 95/46 oraz motywów 10, 11 i 13 rozporządzenia 2016/679, które zostało przyjęte na podstawie art. 16 TFUE, wynika, że celem tej dyrektywy i tego rozporządzenia jest zapewnienie wysokiego poziomu ochrony danych osobowych w całej Unii.
55
Z pewnością usunięcie linków ze wszystkich wersji wyszukiwarki jest w stanie w pełni zrealizować ten cel.
56
Internet jest bowiem siecią globalną bez granic, a wyszukiwarki nadają wszechobecny charakter informacjom i linkom zawartym na liście wyników wyświetlanej po przeprowadzeniu wyszukiwania mającego za punkt wyjścia imię nazwisko osoby fizycznej (zob. podobnie wyroki: z dnia 13 maja 2014 r., Google Spain i Google, C-131/12, EU:C:2014:317, pkt 80; z dnia 17 października 2017 r., Bolagsupplysningen i Ilsjan, C-194/16, EU:C:2017:766, pkt 48).
57
W zglobalizowanym świecie dostęp internautów, w szczególności tych spoza Unii, do linków odsyłających do informacji o osobie, której główny ośrodek interesów znajduje się w Unii, może wywrzeć natychmiastowe i istotne skutki dla tej osoby w samej Unii.
58
Takie względy mogą uzasadniać istnienie kompetencji prawodawcy Unii do nałożenia na operatora wyszukiwarki obowiązku - w przypadku uwzględnienia wniosku o usunięcie linków sformułowanego przez taką osobę - usunięcia linków ze wszystkich wersji jego wyszukiwarki.
59
Należy jednak podkreślić, że w wielu państwach trzecich instytucja prawa do usunięcia linków nie jest znana lub stosowane jest inne podejście do tego prawa.
60
Ponadto prawo do ochrony danych osobowych nie jest prawem bezwzględnym, ale należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności [zob. w tym względzie wyrok z dnia 9 listopada 2010 r., Volker und Markus Schecke i Eifert, C-92/09 i C-93/09, EU:C:2010:662, pkt 48; a także opinia 1/15 (Umowa PNR UE-Kanada) z dnia 26 lipca 2017 r., EU:C:2017:592, pkt 136]. Ponadto równowaga między prawem do poszanowania życia prywatnego i ochroną danych osobowych z jednej strony a wolnością informacji internautów z drugiej strony może się znacznie różnić na całym świecie.
61
Chociaż prawodawca Unii, w art. 17 ust. 3 lit. a) rozporządzenia 2016/679, wyważył to prawo ze wspomnianą wolnością w odniesieniu do Unii [zob. w tym względzie wydany w dniu dzisiejszym wyrok, GC i in. (Usunięcie linków do danych wrażliwych), C-136/17, pkt 59], to jednak należy stwierdzić, że w obecnym stanie rzeczy nie dokonał on takiego wyważenia w odniesieniu do zakresu usuwania linków poza Unią.
62
W szczególności z treści art. 12 lit. b) i art. 14 akapit pierwszy lit. a) dyrektywy 95/46 ani z art. 17 rozporządzenia 2016/679 nie wynika wcale, że prawodawca Unii, dla zapewnienia osiągnięcia celu wspomnianego w pkt 54 niniejszego wyroku, postanowił nadać ustanowionym w tych przepisach uprawnieniom zakres, który wykracza poza terytorium państw członkowskich, ani że zamierzał on nałożyć na podmiot, który, podobnie jak Google, jest objęty zakresem stosowania tej dyrektywy lub tego rozporządzenia, obowiązek usunięcia linków odnoszący się również do krajowych wersji jego wyszukiwarki, które nie odpowiadają państwom członkowskim.
63
Ponadto, choć art. 56 i 60-66 rozporządzenia 2016/679 zapewniają organom nadzorczym państw członkowskich instrumenty i mechanizmy umożliwiające im, w stosownych przypadkach, współpracę w celu wypracowania wspólnej decyzji opartej na równowadze między prawem danej osoby do poszanowania życia prywatnego i ochrony dotyczących jej danych osobowych a interesem publicznym różnych państw członkowskich w zakresie dostępu do informacji, to jednak należy stwierdzić, że prawo Unii nie przewiduje obecnie takich instrumentów i mechanizmów współpracy w odniesieniu do zakresu usuwania linków poza Unią.
64
Wynika stąd, że w obecnym stanie rzeczy na operatorze wyszukiwarki, który uwzględnił wniosek o usunięcie linków sformułowany przez osobę, której dane dotyczą, w stosownym wypadku w następstwie wydania nakazu przez organ nadzorczy lub organ sądowy państwa członkowskiego, nie ciąży wynikający z prawa Unii obowiązek przeprowadzenia takiego usunięcia linków w odniesieniu do wszystkich wersji jego wyszukiwarki.
65
W świetle wszystkich powyższych rozważań operator wyszukiwarki nie może być zobowiązany, na podstawie art. 12 lit. b) i art. 14 akapit pierwszy lit. a) dyrektywy 95/46, jak też art. 17 ust. 1 rozporządzenia 2016/679, do usunięcia linków ze wszystkich wersji swej wyszukiwarki.
66
Co się tyczy kwestii, czy takiego usunięcia linków należy dokonać w odniesieniu do wersji wyszukiwarki odpowiadających państwom członkowskim, czy tylko w odniesieniu do tej wersji wyszukiwarki, która odpowiada państwu członkowskiemu, w którym zamieszkuje osoba uprawniona do domagania się usunięcia linków, wniosek, że owo usunięcie linków należy co do zasady przeprowadzić w ramach wszystkich państw członkowskich, wynika w szczególności z faktu, że prawodawca Unii postanowił niedawno wprowadzić przepisy dotyczące ochrony danych w drodze rozporządzenia, które ma bezpośrednie zastosowanie we wszystkich państwach członkowskich, a postąpił tak - jak podkreślono w motywie 10 rozporządzenia 2016/679 - w celu zapewnienia spójnego i wysokiego poziomu ochrony w całej Unii oraz usunięcia przeszkód w przepływie danych w jej obrębie.
67
Należy jednak stwierdzić, że interes publiczny w dostępie do informacji może się różnić nawet w obrębie Unii, w poszczególnych jej państwach członkowskich, w związku z czym wynik wymaganego wyważenia między wspomnianym prawem dostępu do informacji a przysługującymi osobie, której dane dotyczą, prawami do poszanowania życia prywatnego i ochrony danych osobowych nie musi wcale być taki sam we wszystkich państwach członkowskich, zwłaszcza że na mocy art. 9 dyrektywy 95/46 i art. 85 rozporządzenia 2016/679 do państw członkowskich należy zapewnienie, w szczególności w odniesieniu do przetwarzania danych wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego, wyłączeń i odstępstw niezbędnych do pogodzenia tych praw, w szczególności z wolnością informacji.
68
W szczególności z art. 56 i 60 rozporządzenia 2016/679 wynika, że w odniesieniu przetwarzania transgranicznego w rozumieniu art. 4 pkt 23 tego rozporządzenia i z zastrzeżeniem jego art. 56 ust. 2, różne właściwe krajowe organy nadzorcze powinny współpracować, zgodnie z procedurą przewidzianą w tych przepisach, w celu wypracowania konsensusu i wspólnej decyzji wiążącej wszystkie te organy, której przestrzeganie musi być zapewnione przez administratora danych w odniesieniu do działalności w zakresie przetwarzania danych prowadzonej we wszystkich jego zakładach na terytorium Unii. Ponadto art. 61 ust. 1 rozporządzenia 2016/679 zobowiązuje organy nadzorcze w szczególności do przekazywania sobie stosownych informacji i do świadczenia sobie wzajemnej pomocy w celu spójnego wdrażania i stosowania tego rozporządzenia w całej Unii, zaś w art. 63 uściślono, że to właśnie w tym celu przewidziano mechanizm spójności ustanowiony w art. 64 i 65 tego rozporządzenia. Wreszcie, tryb pilny przewidziany w art. 66 rozporządzenia 2016/679 pozwala - w wyjątkowych okolicznościach, gdy właściwy organ nadzorczy uzna, że konieczna jest pilna interwencja w celu ochrony praw i wolności osób, których dane dotyczą - na niezwłoczne przyjęcie środków tymczasowych mających na celu wywarcie skutków prawnych na terytorium objętym kompetencjami tego organu i mających ustalony okres obowiązywania, który nie przekracza trzech miesięcy.
69
Te ramy regulacyjne zapewniają zatem krajowym organom nadzorczym niezbędne instrumenty i mechanizmy umożliwiające pogodzenie przysługujących osobie, której dane dotyczą, praw do poszanowania życia prywatnego i ochrony danych osobowych z interesem społeczeństw państw członkowskich w zakresie dostępu do przedmiotowych informacji, a tym samym, w stosownym wypadku, przyjęcie decyzji w sprawie usunięcia linków, obejmującej wszystkie wyszukiwania w oparciu o imię i nazwisko tej osoby, których puntem wyjścia jest terytorium Unii.
70
Ponadto operator wyszukiwarki jest odpowiedzialny za podjęcie, w razie konieczności, wystarczająco skutecznych środków w celu zapewnienia rzeczywistej ochrony praw podstawowych osoby, której dane dotyczą. Środki te same w sobie muszą być zgodne ze wszystkimi wymogami prawnymi i w efekcie uniemożliwiać internautom w państwach członkowskich uzyskiwanie dostępu do spornych linków w wyniku wyszukiwania przeprowadzonego w oparciu o imię i nazwisko tej osoby, lub przynajmniej poważnie zniechęcać ich do uzyskiwania takiego dostępu (zob. analogicznie wyroki: z dnia 27 marca 2014 r., UPC Telekabel Wien, C-314/12, EU:C:2014:192, pkt 62; z dnia 15 września 2016 r., Mc Fadden, C-484/14, EU:C:2016:689, pkt 96).
71
Do sądu krajowego należy ustalenie, czy również w świetle niedawnych zmian w wyszukiwarce, o których mowa w pkt 42 niniejszego wyroku, środki przyjęte lub proponowane przez spółkę Google spełniają te wymogi.
72
Należy wreszcie podkreślić, że choć, jak wskazano w pkt 64 niniejszego wyroku, prawo Unii, na obecnym etapie jego rozwoju, nie wymaga, aby prawo do usunięcia linków, które zostanie uwzględnione, obejmowało wszystkie wersje danej wyszukiwarki, to jednak nie zakazuje ono również, aby tak było. W związku z tym organ nadzorczy lub sądowy państwa członkowskiego pozostaje właściwy, w świetle krajowych standardów ochrony praw podstawowych (zob. podobnie wyroki: z dnia 26 lutego 2013 r., Åkerberg Fransson, C-617/10, EU:C:2013:105, pkt 29; z dnia 26 lutego 2013 r., Melloni, C-399/11, EU:C:2013:107, pkt 60), do wyważenia przysługującego osobie, której dane dotyczą, prawa do poszanowania życia prywatnego i ochrony danych osobowych z prawem do wolności informacji, a po dokonaniu tego wyważenia - do nakazania w stosownym wypadku operatorowi tej wyszukiwarki usunięcia linków w odniesieniu do wszystkich wersji owej wyszukiwarki.
73
W świetle wszystkich powyższych rozważań na przedstawione pytania należy odpowiedzieć, że art. 12 lit. b) i art. 14 akapit pierwszy lit. a) dyrektywy 95/46 oraz art. 17 ust. 1 rozporządzenia 2016/679 należy interpretować w ten sposób, że w sytuacji gdy operator wyszukiwarki uwzględnia wniosek o usunięcie linków na podstawie wskazanych przepisów, jest on zobowiązany do usunięcia owych linków nie ze wszystkich wersji swojej wyszukiwarki, ale z tych wersji wyszukiwarki, które odpowiadają wszystkim państwom członkowskim, w razie konieczności w powiązaniu z zastosowaniem środków, które spełniają wymogi przewidziane prawem i które rzeczywiście uniemożliwiają internautom - przeprowadzającym, z terytorium któregoś z państw członkowskich, wyszukiwania w oparciu o imię i nazwisko osoby, której dane dotyczą - uzyskanie, dzięki liście wyników wyświetlonej po przeprowadzeniu tego wyszukiwania, dostępu do linków będących przedmiotem rzeczonego wniosku, lub przynajmniej poważnie zniechęcają ich do uzyskania dostępu do owych linków.
W przedmiocie kosztów
74
Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Sentencja
Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:
Artykuł 12 lit. b) i art.14 akapit pierwszy lit.a) dyrektywy 95/46/WE Parlamentu Europejskiego iRady z dnia 24października 1995r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz art.17 ust.1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że w sytuacji gdy operator wyszukiwarki uwzględnia żądanie usunięcia linków na podstawie wskazanych przepisów, jest on zobowiązany do usunięcia owych linków nie ze wszystkich wersji swojej wyszukiwarki, ale z tych wersji wyszukiwarki, które odpowiadają wszystkim państwom członkowskim, w razie konieczności w powiązaniu z zastosowaniem środków, które spełniają wymogi przewidziane prawem i które rzeczywiście uniemożliwiają internautom - przeprowadzającym, z terytorium któregoś z państw członkowskich, wyszukiwania w oparciu o imię i nazwisko osoby, której dane dotyczą - uzyskanie, dzięki liście wyników wyświetlonej po przeprowadzeniu tego wyszukiwania, dostępu do linków będących przedmiotem rzeczonego wniosku, lub przynajmniej poważnie zniechęcają ich do uzyskania dostępu do owych linków.
Podpisy
Wyrok Trybunału Sprawiedliwości z dnia 24 września 2019 r.