Zgubiony administrator danych

Obowiązujące w Polsce przepisy o ochronie danych osobowych nie są dość precyzyjne w kwestii odpowiedzialności podmiotów z Europejskiego Obszaru Gospodarczego, których oddziały przetwarzają u nas takie dane.

Obowiązujące w Polsce przepisy o ochronie danych osobowych nie są dość precyzyjne w kwestii odpowiedzialności podmiotów z Europejskiego Obszaru Gospodarczego, których oddziały przetwarzają u nas takie dane.

Głównym celem wprowadzenia Ustawy o ochronie danych osobowych (z 29 sierpnia 1997 r.) było zapewnienie osobom fizycznym ochrony prawnej w związku z udostępnieniem przez nich danych. Podstawą tej ochrony jest wskazanie podmiotu, na którym spoczywa ciężar zgodnego z prawem ich przetwarzania. Ustawa o ochronie danych osobowych określa taki podmiot jako "administratora danych" i nakłada na niego wiele obowiązków - nie tylko w odniesieniu do osoby, której dane są przetwarzane, ale również wobec organów administracji państwowej. Z uwagi na to, że celem obowiązków nałożonych na administratora danych jest zapewnienie należytej ochrony osobie, której dane są przetwarzane, brak możliwości wskazania administratora danych stanowi dość istotny problem.

Ustawa o ochronie danych osobowych odnosi się zarówno do podmiotów publicznych, jak i niepublicznych. Objęcie zapisami ustawy tej drugiej grupy (przede wszystkim firm) jest uzależnione od spełnienia przez nie kryteriów celu przetwarzania danych osobowych oraz ich siedziby. Ustawa znajduje zastosowanie do osób fizycznych, prawnych i jednostek organizacyjnych niemających osobowości prawnej, które mają siedzibę w Polsce albo w państwie trzecim. Aby móc uznać dany podmiot za podlegający Ustawie o ochronie danych osobowych, podmiot ten musi przetwarzać dane osobowe przy wykorzystaniu środków technicznych zlokalizowanych na terytorium Polski. Wyżej wymienione podmioty uzyskują status administratora danych, jeżeli decydują o celach i środkach przetwarzania danych osobowych.

Administrator unijny

Na podstawie Ustawy o ochronie danych osobowych z katalogu podmiotów z państw trzecich wyłączone zostały jednak podmioty z Europejskiego Obszaru Gospodarczego (poza państwami członkowskimi Unii Europejskiej to również Lichtenstein, Norwegia i Islandia). Przedsiębiorca mający siedzibę np. w jednym z państw unijnych pozostaje poza działaniem polskiej Ustawy o ochronie danych osobowych. Każde państwo członkowskie Wspólnot Europejskich zobowiązane jest zapewnić poziom ochrony danych osobowych nie niższy niż wynikający z dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. Na tej podstawie ustalono minimalny standard ochrony danych osobowych w każdym kraju członkowskim, równocześnie zaś zastrzeżono konieczność swobody przepływu danych pomiędzy państwami.

Pojawia się tutaj, na gruncie prawa polskiego, problem ochrony interesów osób fizycznych udostępniających swoje dane osobowe w sytuacji, gdy dane te przetwarza przedsiębiorca, któremu w świetle polskiej Ustawy o ochronie danych osobowych nie można przypisać statusu administratora danych. Przykładem są instytucje kredytowe mające siedzibę na terenie Unii Europejskiej, które zamierzają prowadzić w Polsce działalność za pośrednictwem swoich oddziałów. O przedmiocie i sposobie działania oddziału decyduje przedsiębiorstwo zagraniczne, a więc może ono również decydować o zakresie i sposobie przetwarzania danych osobowych przez oddział. Wydaje się, że przetwarzanie danych przez oddział będzie de facto przetwarzaniem tych danych przez przedsiębiorcę zagranicznego, skoro wszelkie czynności oddziału wywołują bezpośredni skutek dla tego przedsiębiorcy. Z tego też względu należy przyjąć, że w przypadku przetwarzania danych osobowych przez oddział w Polsce przedsiębiorcy mającego siedzibę w jednym z państw członkowskich Europejskiego Obszaru Gospodarczego, administratorem danych będzie ten właśnie przedsiębiorca. Sam oddział nie może być uznany za administratora danych ze względu na brak jego samodzielności (prawno-gospodarczej), w tym brak możliwości decydowania o środkach i celach przetwarzania danych osobowych.

Nie można wykluczyć sytuacji, w której przetwarzane wyłącznie na terenie Polski dane osobowe przez podmiot mający siedzibę za granicą nie byłyby chronione ani przepisami Ustawy o ochronie danych osobowych, ani przepisami państwa, w którym dany podmiot ma siedzibę. Działoby się tak, np. gdyby prawo państwa członkowskiego, w którym ma siedzibę podmiot przetwarzający dane, wyłączało zastosowanie przepisów Ustawy o ochronie danych osobowych, obowiązujących w tym państwie, do przetwarzania danych na terytorium innego państwa członkowskiego.

Literalne brzmienie przepisów Ustawy o ochronie danych osobowych pozwala na wysunięcie takiego wniosku. Niemniej, ustawą tą implementowana została do polskiego porządku prawnego dyrektywa 95/46/WE, a zatem przepisy polskiej ustawy nie powinny być w sprzeczności z założeniami aktu prawa europejskiego. Dyrektywa zawiera postanowienie, zgodnie z którym prawo danego państwa członkowskiego powinno mieć zastosowanie do przetwarzania danych osobowych, jeżeli przetwarzanie to ma miejsce w kontekście działalności prowadzonej przez administratora danych na terytorium tego państwa. Zakładając, że ustawodawca polski działa racjonalnie, należałoby przyjąć, że pojęcie "siedziby" zawarte w Ustawie o ochronie danych osobowych odnosi się nie tylko do siedziby statutowej danego podmiotu, ale również do miejsca prowadzenia działalności na terenie Polski w zorganizowanej formie, np. oddziału przedsiębiorstwa zagranicznego.

Kwestia siedziby

W kwestii pojęcia "siedziby" na gruncie Ustawy o ochronie danych osobowych oraz objęcia jej zakresem również podmiotów z siedzibą w jednym z państw członkowskich, prowadzących na terenie Polski działalność w zorganizowanej formie, możliwe jest de lege lata przyjęcie następujących interpretacji: (i) intencją polskiego ustawodawcy było objęcie zakresem ustawy również podmiotów, które nie mają siedziby statutowej na terytorium Polski, jednakże prowadzą w Polsce działalność gospodarczą w zorganizowanej formie, (ii) wobec braku właściwej implementacji dyrektywy, jednostki, które dochodzą swoich praw, będą mogły powoływać się na bezpośrednią skuteczność dyrektywy, jeżeli spełnione zostaną wszystkie przesłanki takiej bezpośredniej skuteczności, co w konsekwencji będzie skutkowało objęciem zakresem podmiotowym Ustawy o ochronie danych osobowych również podmiotów z siedzibą w państwach członkowskich, prowadzących na terenie Polski działalność w zorganizowanej formie. Akceptacja którejkolwiek z powyższych interpretacji prowadziłaby do uznania, że podmiot mający siedzibę w jednym z państw członkowskich i prowadzący działalność w Polsce w formie oddziału może mieć status administratora danych, objętego Ustawą o ochronie danych osobowych.

Przyjęcie, że pojęcie "siedziby" w rozumieniu Ustawy o ochronie danych osobowych obejmuje również miejsce prowadzenia działalności gospodarczej w zorganizowanej formie na terenie Polski stanowi właściwy krok w zakresie objęcia ustawą również przedsiębiorców z Europejskiego Obszaru Gospodarczego prowadzących działalność gospodarczą w Polsce. Trudno jest jednak taki sposób interpretacji wywieść z brzmienia art. 3 Ustawy o ochronie danych osobowych, określającego jej zakres podmiotowy. De lege ferenda przepis ten powinien zostać zmieniony przy najbliższej nowelizacji ustawy, poprzez objęcie zakresem podmiotowym również podmiotów prowadzących w Polsce działalność gospodarczą.

Andrzej Krasuski i Anna Kobylańska są prawnikami w kancelarii prawnej Cameron McKenna Paweł Dębowski Sp. K.


TOP 200