Виникнення права на забуття (right to be forgotten) як концепції пов’язано з об’єктивними процесами технологізації суспільства. Сьогодні будь‑яка інформація може зберігатися майже вічно на просторах Всесвітньої павутини, що, безумовно, впливає на питання допустимості доступу до персональних даних, особливо тих, які втратили свою релевантність.

Походження концепції

Перше закріплення концепції права на забуття в правовому полі відбулося в 2014 році рішенням, прийнятим Європейським судом справедливості (ЄСС) у справі Костехи. Тоді громадянин Іспанії Костеха Гонсалес вимагав у компаній групи Google видалити посилання з інформацією про його банкрутство більш ніж 10‑річної давності, що видавалося користувачам на запит стосовно імені Костехи в пошуковій системі Google.

На момент вирішення справи в Європейському Союзі (ЄС) застосуванню підлягала Директива 95/46/ЄС Європейського парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24 жовтня 1995 року (Директива), у статті 12 (b) якої було передбачено можливість вимагати виправлення, стирання чи блокування даних, обробка яких не відповідає положенням Директиви, зокрема через неповноту чи неточність даних.

ЄСС, однак, не лише керувався буквальним тлумаченням Директиви, а й узяв до уваги Хартію основних прав Європейського Союзу, а саме її статтю 7, якою гарантується право на приватність, та статтю 8, що гарантує право на захист персональних даних, здійснивши таким чином її розширювальне тлумачення.

Необхідно довести лише, що опублікована інформація є приватною, а не те, що вона потенційно може зашкодити

ЄСС дійшов висновку, що обробка даних може порушувати статтю 12 (b) Директиви не лише тоді, колі дані є неточними або неповними, а й тоді, коли ці дані «неадекватні, нерелевантні, ексцесивні відносно мети їх обробки, якщо вони не відповідають теперішньому стану речей або зберігаються більше, ніж це необхідно, крім випадків, коли їх збереження вимагається для історичних, статистичних або наукових мотивів» (параграф 92 рішення ЄСС від 13 травня 2014 року у справі № C‑131/12). Тобто навіть якщо інформація була опублікована законно, з дотриманням приписів Директиви, з плином часу вона може стати такою, що їй не відповідає.

Що стосується права осіб на подання вказаного запиту, то ЄСС наголосив, що «для задоволення цього права (на забуття) не є необхідним, щоб включення такої інформації до списку результатів пошуку створювало упередження стосовно суб’єкта даних» (параграф 96 рішення ЄСС від 13 травня 2014 року у справі № C‑131/12). Це означало, що особі необхідно довести лише, що опублікована інформація є приватною, а не те, що вона потенційно може їй зашкодити. Проте ЄСС зазначив, що це не заперечує можливості існування винятків із цього правила у випадках, коли публічний інтерес превалює над приватним.

Подальший розвиток та правове закріплення

27 квітня 2016 року був прийнятий Регламент ЄС 2016|679 про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, про скасування Директиви, також відомий як Загальний регламент захисту даних (General Data Protection Regulation, GDPR), який повністю замінив Директиву з 25 травня 2018 року.

Справа Костехи стала каталізатором, який призвів до внесення до GDPR статті 17, що мала назву «Право на стирання (право бути забутим)» (Right to erasure (right to be forgotten), в ній прямо сказано про існування права на забуття та його затвердження в законодавчому полі.

У частині 1 статті 17 GDPR суб’єкту даних надається право вимагати від їх контролера видалення тих персональних даних, які його стосуються, без невиправданої затримки. І контролер даних зобов’язаний одразу видалити їх за наявності хоча б однієї з умов, передбачених GDPR. Наприклад, за відсутність потреби в персональних даних для цілей, для яких їх збирали; або ж якщо такі дані опрацьовували незаконно.

Водночас у частині 3 статті 17 GDPR встановлено обмеження права особи вимагати стирання даних для реалізації права на свободу вираження поглядів, свободу інформації, для охорони суспільного здоров’я тощо.

Однак визначення як персональних даних, так і їх контролера є досить широким. Так, персональними даними, згідно з пунктом 1 статті 4 GDPR, є будь‑яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати. Контролером же визнається фізична чи юридична особа, орган публічної влади, агентство чи інший орган, який самостійно чи спільно з іншими визначає цілі та засоби опрацювання персональних даних.

Отже, в GDPR закріплено концепцію права на забуття та визначено його зміст, зводячи його до права особи вимагати видалення персональних даних у встановлених випадках. Водночас GDPR надає можливість державам — членам ЄС самостійно вирішувати питання щодо знаходження балансу між правом на інформацію та правом на забуття, між публічними інтересами та інтересами конкретної особи.

Територіальні межі реалізації права

Хоч у GDPR досить чітко окреслено концепцію права на забуття, все ж залишаються невирішеними деякі питання щодо його реалізації. Одним із таких питань були територіальні межі забезпечення права на забуття, що стало ключовим у справі ЄСС «Google LLC v. CNIL (Commission nationale de l’informatique et des libertеs)». У 2015 році CNIL — Національна комісія інформатики і свобод Франції — повідомила компанію Google, що вона має видаляти персональні дані з усіх географічних версій пошукової системи за результатами розгляду запитів осіб. Отримавши відмову, CNIL звернулась до суду, розпочавши спір, який врешті‑решт дійшов до ЄСС.

Видалення цих посилань має за загальним принципом здійснюватися в межах країн — членів ЄС.

ЄСС підкреслив, що право на забуття визнається не в усіх країнах поза межами ЄС або ж підхід до його визнання суттєво відрізняється від європейського. Як результат, ЄСС установив, що ані стаття 17 GDPR, ані право ЄС у цілому не накладає на оператора пошукових систем обов’язку здійснювати видалення посилань із результатів запиту на всіх географічних версіях пошукової системи та в усіх випадках. Проте це не означає, що така практика забороняється. Видалення цих посилань має за загальним принципом здійснюватися в межах країн — членів ЄС. На підтримку цього слід навести «сам факт того, що норми щодо захисту даних були виражені у формі загального регламенту, який прямо діє на території всіх країн — членів ЄС, тобто Регламенту 2016/679, задля забезпечення високого рівня захисту даних у межах ЄС та усунення перепон щодо обігу таких даних» (параграф 66 рішення ЄСС від 24 вересня 2019 року у справі № C‑507/17).

Фактично це означає, що видалення даних на вимогу суб’єкта буде здійснено їх контролером (наприклад, пошуковою системою Google) у межах країн — членів ЄС (домени .es (Іспанія), .fr (Франція), .pl (Польща) тощо). Водночас доступ до цих персональних даних залишатиметься в доменах .us (США), .jp (Японія), .za (ПАР) та ін. Таке рішення підкреслює, що за відсутності єдиних міжнародних стандартів, які б регулювали обробку персональних даних, відповідні національні установи не в змозі створити систему захисту даних, яка б охоплювала весь світ.

Чи є право на забуття поза межами GDPR?

Це питання було дискусійним, допоки Європейський суд з прав людини (ЄСПЛ) не підтвердив існування права на забуття відповідно до положень Конвенції про захист прав людини і основоположних свобод (Конвенція) у рішенні від 22 червня 2021 року у справі «Hurbain c. Belgique» (скарга № 57292/16). ЄСПЛ установив, що вимога особи до газети про її анонімізацію в новині про діяння, за яке вона була засуджена в 2000 році та реабілітована в 2006 році, хоч і є втручанням у свободу вираження поглядів редактора газети, але цілком законним, адже становить виняток, передбачений статтею 10 Конвенції (для цілей захисту репутації чи прав інших осіб).

У будь‑якому разі, ЄСПЛ досить чітко підкреслив, що «висновок, якого він (ЄСПЛ) доходить, не можна інтерпретувати як зобов’язання ЗМІ систематично та постійно перевіряти свої архіви. <…> Вони мають провести перевірку і встановити баланс прав <…> лише у випадку чітко вираженого прохання з цього приводу» (параграф 134 рішення ЄСПЛ від 22 червня 2021 року у справі «Hurbain c. Belgique» (скарга № 57292/16).

Це означає, що відтепер право на забуття як концепцію закріплено на рівні рішень ЄСПЛ, що поширює територіальну дію такої концепції не лише на держави — члени ЄС згідно з GDPR, а й на країни — підписанти Конвенції, серед яких є і Україна.

Поки що в українському законодавстві не закріплено концепцію права на забуття. Однак 7 червня 2021 року у Верховній Раді України був зареєстрований законопроєкт № 5628 (проєкт нового Закону «Про захист персональних даних»), що містить статтю 21 із назвою «Право суб’єкта персональних даних на забуття», якою, подібно до GDPR, особі надається право вимагати повного знищення контролером її персональних даних без надмірної затримки.

КАДИРОВ Володимир — молодший юрист Asters, м. Київ