Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Prawo właściwe w dyrektywie 95/46/WE – na tle opinii Grupy Roboczej Art. 29

17/09/2015

Z opinii 8/2010 w sprawie prawa właściwego zaprezentowanej przez Grupę Roboczą ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (w skrócie: Grupa Robocza Art. 29) wynika, że określenie prawa właściwego mającego zastosowanie w odniesieniu do przetwarzania danych osobowych na mocy dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych ma zasadnicze znaczenie z kilku powodów.


 

Przede wszystkim – jak wynika z opinii, przepisy dotyczące prawa właściwego są kluczowe dla wyznaczenia zewnętrznego zakresu stosowania unijnych przepisów o ochronie danych. Inną ważną kwestią jest określenie przez przepisy prawa właściwego zakresu przepisów o ochronie danych w obrębie Unii Europejskiej i Europejskiego Obszaru Gospodarczego (EOG) – co ma na celu zapobieganie ewentualnym konfliktom pomiędzy przepisami poszczególnych państw członkowskich wdrażających dyrektywę 95/46/WE i nakładaniu się tych przepisów na siebie.

 

Ponadto warto mieć na uwadze, że stopień złożoności kwestii związanych z prawem właściwym rośnie także ze względu na nasilenie globalizacji oraz rozwój nowych technologii.

 

Zakres prawa unijnego oraz prawa krajowego na terytorium UE/EOG

 

Na gruncie dyrektywy 95/46/WE zakres przedmiotowy dotyczący prawa miejscowego wyłania się z treści artykułu 4, 17 oraz 28.

 

Art. 4 dyrektywy w sprawie ochrony danych porusza kwestię odpowiedniego prawa krajowego, a mianowicie wnosi, że każde Państwo Członkowskie stosuje, w odniesieniu do przetwarzania danych osobowych, przepisy prawa krajowego przyjmowane na mocy niniejszej dyrektywy wówczas, gdy:

 

  1. przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium Państwa Członkowskiego; jeżeli ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku Państw Członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw wywiązuje się z obowiązków przewidzianych w odpowiednich przepisach prawa krajowego;
  2.  administrator danych nie prowadzi działalności gospodarczej na terytorium Państwa Członkowskiego, lecz w miejscu, gdzie jego prawo krajowe obowiązuje na mocy międzynarodowego prawa publicznego;
  3. administrator danych nie prowadzi działalności gospodarczej na terytorium Wspólnoty a do celów przetwarzania danych osobowych wykorzystuje środki, zarówno zautomatyzowane jak i inne, znajdujące się na terytorium wymienionego Państwa Członkowskiego, o ile środki te nie są wykorzystywane wyłącznie do celów tranzytu przez terytorium Wspólnoty.

 

W opinii Grupy Roboczej Art. 29 głównym kryterium dla określenia prawa właściwego jest miejsce prowadzenia działalności przez administratora danych oraz (w przypadku, gdy działalność administratora danych jest zarejestrowana poza terytorium EOG) miejsce, w którym znajdują się wykorzystywane przez niego środki lub wyposażenie. W związku z tym należy przyjąć, że decydujące nie jest tutaj ani obywatelstwo czy miejsce zwykłego pobytu osób, których dane dotyczą, ani miejsce, w którym fizycznie znajdują się dane osobowe.

 

Tabela obrazująca zakres działania prawa unijnego

Jeżeli dane osobowe są przetwarzane przez administratora danych (X), którego jedyna

działalność gospodarcza prowadzona jest w państwie członkowskim A, prawem

właściwym w odniesieniu do przetwarzania danych – niezależnie od tego, gdzie jest

ono realizowane – będzie prawo krajowe państwa członkowskiego A.

Jeżeli X ma również działalność gospodarczą (Y) w państwie członkowskim B,

krajowym prawem właściwym dla przetwarzania realizowanego przez Y będzie prawo

krajowe państwa członkowskiego B, pod warunkiem, że przetwarzanie realizowane

jest w kontekście działalności Y. Jeżeli przetwarzanie jest realizowane przez Y w

kontekście działalności gospodarczej X w państwie członkowskim A, prawem

właściwym dla przetwarzania będzie prawo państwa członkowskiego A.

Jeżeli dane osobowe są przetwarzane przez administratora danych, który nie prowadzi

działalności gospodarczej w żadnym z państw członkowskich, przetwarzanie będzie

objęte zakresem prawa krajowego danego państwa członkowskiego, w którym znajduje

się wyposażenie (lub środki) wykorzystywane przez administratora danych w celu

przetwarzania danych.

 

Opinia wskazuje na ważną kwestię, a mianowicie, czy w odniesieniu do przetwarzania danych zastosowanie będą miały przepisy jednego czy też kilku państw. Odpowiedź na to pytanie będzie uzależniona od tego, czy administrator prowadzi działalność gospodarczą w jednym czy w kilku państwach a także od charakteru działań realizowanych przez daną działalność gospodarczą.

 

Grupa Robocza Art. 29 zwraca uwagę na następujące zależności:

 

  1. W przypadku, gdy administrator danych prowadzi jedną działalność gospodarczą, obowiązywać będzie jedno prawo na całym terytorium UE/EOG, w zależności od miejsca, w którym znajduje się ta działalność;
  2. W sytuacji, gdy działalność gospodarcza prowadzona jest w kilku państwach: stosowanie przepisów prawa krajowego będzie uzależnione od działań realizowanych przez daną działalność gospodarczą.

 

Zastosowanie kryteriów ma zapobiec jednoczesnemu stosowaniu w odniesieniu do tej samej działalności przetwarzającego przepisów prawa krajowego kilku państw.

 

Prawo właściwe i jurysdykcja w kontekście dyrektywy

 

Grupa Robocza Art. 29 w opinii zwraca uwagę na to, że w obszarze ochrony danych szczególnie istotne jest odróżnienie pojęcia prawa właściwego od pojęcia jurysdykcji (które zazwyczaj określa zdolność sądu krajowego do rozstrzygnięcia sprawy bądź wykonania wyroku lub postanowienia). Z analizy przepisów prawa wynika bowiem, że prawo właściwe oraz jurysdykcja w odniesieniu do jakiegokolwiek przetwarzającego nie zawsze muszą być takie same.

 

Prawo właściwe dla środków bezpieczeństwa (art. 17 ust. 3)

 

Zgodnie z art. 17 ust. 3 dyrektywy 95/46/WE przetwarzanie danych przez przetwarzającego musi być regulowane przez umowę lub akt prawny, na mocy których przetwarzający podlega administratorowi danych i które w szczególności postanawiają, że:

- przetwarzający działa wyłącznie na polecenie administratora danych,

- obowiązki wymienione w ust. 1, określone przez ustawodawstwo Państwa Członkowskiego, w którym przetwarzający prowadzi działalność gospodarczą, dotyczą również przetwarzającego.

 

Jak zauważa Grupa Robocza Art. 29 w opinii, powyższa zasada służy przede wszystkim zapewnieniu jednolitych wymogów w obrębie jednego państwa członkowskiego w odniesieniu do środków bezpieczeństwa.

 

Kompetencje i współpraca organów nadzorczych (art. 28 ust. 6)

 

Z omawianej opinii wynika, że celem art. 28 ust. 6 dyrektywy 95/46/WE jest zamknięcie ewentualnej luki między prawem właściwym a jurysdykcją organów nadzorczych, która może wystąpić w obszarze ochrony danych w obrębie rynku wewnętrznego.

 

Zgodnie z treścią dyrektywy w sprawie ochrony danych, każdy organ nadzorczy jest właściwy, niezależnie od krajowych przepisów dotyczących danego przypadku przetwarzania danych, do wykonywania na terytorium Państwa Członkowskiego uprawnień powierzonych mu zgodnie z ust. 3 dyrektywy.

 

Do każdego organu można się zwrócić z żądaniem wykonania jego uprawnień przez odpowiedni organ innego Państwa Członkowskiego, a organy nadzorcze współpracują ze sobą w zakresie koniecznym do wykonywania swoich obowiązków, zwłaszcza poprzez wymianę wszelkich przydatnych informacji.

 

W efekcie, w następstwie tego przepisu krajowe organy ds. ochrony danych są właściwe do nadzorowania wykonywania przepisów o ochronie danych na terytorium państwa członkowskiego, na którym prowadzą działalność. Jeżeli jednak – na co zwraca uwagę Grupa Robocza Art. 29 – na tym terytorium zastosowanie miało prawo innego państwa członkowskiego, kompetencje wykonawcze organu ds. ochrony danych nie będą ograniczone. Dzieje się tak dlatego, że zawarte w dyrektywie 95/46/WE kryteria dotyczące prawa właściwego przewidują możliwość uprawnienia organu ds. ochrony danych do weryfikacji i interwencji w sprawie operacji przetwarzania, która ma miejsce na jego terytorium, nawet wtedy, gdy prawem właściwym jest prawo innego państwa członkowskiego.

 

 

pdf

Opinia 8/2010 w sprawie prawa właściwego

Pobierz plik [514.69 KB]
Pojęcie konieczności i proporcjonalności oraz ochrony danych w sektorze egzekwowania prawa – na tle opinii Grupy Roboczej Art. 29
Pojęcie konieczności i proporcjonalności oraz ochrony danych w sektorze egzekwowania prawa – na tle opinii Grupy Roboczej Art. 29
Zagrożenia wypływające z cloud computingu – na tle opinii Grupy Roboczej Art. 29
Zagrożenia wypływające z cloud computingu – na tle opinii Grupy Roboczej Art. 29
Prawnie uzasadnione interesy administratora danych na mocy artykułu 7 dyrektywy 95/46/WE – na tle opinii Grupy Roboczej Art. 29
Prawnie uzasadnione interesy administratora danych na mocy artykułu 7 dyrektywy 95/46/WE – na tle opinii Grupy Roboczej Art. 29