Przepisy RODO wprowadziły do prawa UE „prawo do usunięcia danych” („right to erasure”), aby wzmocnić „prawo do bycia zapomnianym” w Internecie. Zgodnie z art. 17 RODO osoby fizyczne mają prawo do usunięcia swoich danych osobowych oraz prawo do zaprzestania przetwarzania danych, gdy nie są one już niezbędne do celów, dla których zostały zebrane lub gdy osoba fizyczna cofnęła zgodę lub wniosła sprzeciw wobec przetwarzania danych osobowych. Firmy i organizacje, które są uważane za administratorów danych, zobowiązane są m.in. spełniać prośby osób fizycznych o usunięcie linków do stron internetowych zawierających dane osobowe, które ich dotyczą. Biorąc pod uwagę globalny charakter sieci Internet rodzi się naturalne pytanie, zakres terytorialny zastosowania „prawa do bycia zapomnianym”.
Kwestia terytorialnego zakresu „prawa do bycia zapomnianym” była głównym punktem sporu pomiędzy francuskim organem ochrony danych (Commission Nationale de l'Informatique et des Libertés, czyli CNIL) a Google. W 2015 roku CNIL w ramach swojej decyzji nałożył na Google obowiązek usunięcia linków do stron internetowych z listy wyników wyświetlanych w wyniku wyszukiwania przeprowadzonego na podstawie nazwiska osoby, która zażądała wykonania „prawa do bycia zapomnianym” ze wszystkich wersji swojej wyszukiwarki na całym świecie. Google odmówił wykonania decyzji i nadal ograniczał usuwanie linków wyłącznie z wyników wyszukiwania przeprowadzanych w wersjach swojej wyszukiwarki z rozszerzeniami domen w UE i EFTA, a także zastosował blokowanie geograficzne celem zablokowania wyświetlania linków w wyszukiwaniach przeprowadzanych we Francji, niezależnie od używanej wersji wyszukiwarki. CNIL nałożył na Google karę administracyjną w wysokości 100.000 EUR. Firma Google złożyła odwołanie do francuskiego najwyższego sądu administracyjnego (Conseil d’État), domagając się uchylenia grzywny. Conseil d'État zwrócił się następnie do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) o wydanie orzeczenia w trybie prejudycjalnym, zadają pytanie, czy operator wyszukiwarki jest zobowiązany do usuwania linków ze wszystkich wersjach wyszukiwarki na całym świecie, z wersji wyszukiwarki udostępnianych w Unii Europejskiej, czy tylko z wyszukiwarki państwa członkowskiego, w którym dana osoba zażądano usunięcia linków.
W wyroku w sprawie Google przeciwko CNIL (C-507/17), TSUE stwierdził że co do zasady, zgodnie z dyrektywą o ochronie danych i RODO, prawo do usunięcia odnośników, które jest obecnie przewidziane w unijnych przepisach o ochronie danych, obowiązuje tylko na terytorium UE, a zatem nie ma zastosowania globalnie. Operatorzy wyszukiwarek nie są zatem zobowiązani do usuwanie linków ze wszystkich wersji swojej wyszukiwarki (worldwide de-referencing). Trybunał argumentował m.in., że wiele krajów trzecich nie uznaje prawa do usunięcia linków lub ma inne podejście do tego prawa, a prawo UE przewiduje jedynie zapewnienie wysokiego poziomu ochrony danych osobowych w Unii Europejskiej. Co ciekawe, TSUE wskazał również, że prawo UE samo w sobie nie zabrania globalnego usuwania odniesień, choć obecnie rozwiązanie takie nie jest przewidziane w unijnych przepisach o ochronie danych. W związku z tym właściwe organy państw członkowskich zachowują kompetencje do rozważenia, w świetle krajowych standardów ochrony praw podstawowych, prawa użytkownika do prywatności i ochrony jego danych osobowych oraz prawa do wolności informacji. Po wyważeniu tych praw, w stosownych przypadkach, organ krajowy mógłby nakazać operatorowi wyszukiwarki usunięcie linków ze wszystkich wersji tej wyszukiwarki. TSUE orzekł również, że operatorzy wyszukiwarek zobowiązani są wprowadzić środki blokowania geograficznego, aby skutecznie uniemożliwić lub przynajmniej poważnie zniechęcić użytkowników Internetu w państwach członkowskich do dostępu do linków, które pojawiają się w wersjach tej wyszukiwarki poza UE.
W konsekwencji wyroku TSUE, francuski Conseil d'État w dniu 27 marca 2020 r. ostatecznie unieważnił sankcję CNIL nałożoną na Google. Sąd ten orzekł, że CNIL błędnie zinterpretowała prawo, uznając, że tylko globalne usunięcie odniesień może spełnić wymogi ustanowione w unijnym prawie o ochronie danych. Innymi słowy, prawo osoby fizycznej do usunięcia linków można zaspokoić, nakazując wyszukiwarce wykonanie takiego usunięcia linków jedynie w UE. Ponadto Conseil d'État orzekł, że obecnie we Francji nie ma przepisu prawnego, który stanowiłby, że prawo do dereferencji może mieć zastosowanie poza terytorium UE.
Znaczenie sprawy Google vs. CNIL (C-507/17)
Podsumowując, orzeczenie to jest zwycięstwem Google, ale nie tak wielkim, jak przedstawia to Google w mediach. Bez względu na ograniczenia terytorialne zastosowane w tej konkretnej sprawie, oczywiste jest, że wyrok TSUE podtrzymuje zgodność z prawem globalnego stosowania prawa do bycia zapomnianym. Od czasu wejścia w życie RODO, rozporządzenie to uznawane jest za mające potencjał do wyznaczenia światowych standardów ochrony danych. Znaczenie orzeczenia polega również na tym, że było ono postrzegane jako sprawdzian, czy UE może rozszerzyć swoje standardy ochrony danych i prywatności poza swoje terytorium. Choć sprawa C-507/17 wąsko koncentruje się na prawie do bycia zapomnianym, orzeczenie w niej wydane może mieć szerszy wpływ na ogólny zakres terytorialny RODO. Oprócz wyszukiwarek każda firma, którą unijne lub krajowe organy regulacyjne uważają za świadczącą usługi polegające na pojedynczym przetwarzaniu danych osobowych, może podlegać jurysdykcji RODO we wszystkich wersjach jej operacji. Oczekuje się, że wyrok TSUE będzie miał szerokie konsekwencje dla regulacji Internetu. Ponieważ firmy przetwarzające dane osobowe nadal rozszerzają swój zasięg w skali globalnej, oczekuje się, że napięcie między krajowymi organami regulacyjnymi a tymi firmami będzie rosło. Bez międzynarodowych standardów dotyczących przetwarzania danych osobowych, krajowe jurysdykcje będą próbowały wdrażać regulacje o zasięgu globalnym i rozszerzać swoje własne standardy prywatności w sposób powszechny, aby zapewnić pełną ochronę praw swoich obywateli w zakresie przetwarzania danych osobowych.
