Przetwarzanie danych osobowych jest regulowane prawem państwa członkowskiego, na którego terytorium jest prowadzona działalność gospodarcza. Tak uznał TSUE.
Sprawa dotyczyła spółki Amazon EU Sarl, przedsiębiorstwa wysyłkowego, które ma siedzibę w Luksemburgu, ale zawierało umowy w handlu elektronicznym z konsumentami w Austrii za pośrednictwem strony internetowej z rozszerzeniem de. Spółka ta nie posiada w Austrii ani siedziby, ani oddziału. Powstało pytanie: jakie prawo ochrony danych osobowych należy stosować? Luksemburga czy Austrii?
„Przetwarzanie danych osobowych dokonywane przez przedsiębiorstwo handlu elektronicznego jest regulowane prawem tego państwa członkowskiego, do którego przedsiębiorstwo to kieruje swoją działalność, o ile przetwarza ono dane w kontekście prowadzenia działalności gospodarczej w tym państwie” – tak orzekł Trybunał Sprawiedliwości UE w wyroku z 28 lipca 2016 r. w sprawie C-191/15.
Oferta w sieci
Cały spór wszczął austriacki VKI (Verein für Konsumenteninformation – stowarzyszenie na rzecz informowania konsumentów). Stowarzyszenie zakwestionowało warunki umów zawieranych z konsumentami, m.in. możliwość wymiany danych z innymi przedsiębiorstwami grupy Amazon, przekazywanie ich biurom informacji gospodarczej oraz firmom zajmującym się dochodzeniem roszczeń. W ocenie stowarzyszenia właściwym prawem powinno być w tym przypadku prawo austriackie.
Kwestia wyboru prawa właściwego do rozpatrzenia tej sprawy była przedmiotem rozstrzygnięć austriackich sądów. Sąd Najwyższy postanowił zawiesić postępowanie i zwrócić się z pytaniem, czy przetwarzanie danych osobowych przez przedsiębiorstwo, które zawiera umowy w handlu elektronicznym z konsumentami zamieszkującymi w innych państwach członkowskich, podlega – zgodnie z art. 4 ust. 1 lit. a dyrektywy 95/46/WE z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. UE z 1995 r. L 281, s. 31) – prawu państwa, w którym siedzibę ma przedsiębiorstwo, czy też powinno ono przestrzegać przepisów państwa, na które nakierowana jest jego działalności gospodarcza?
Odpowiedź trybunału
Trybunał zaznaczył, że zgodnie z art. 4 ust. 1 lit. a dyrektywy 95/46/WE każde państwo UE stosuje przepisy prawa swojego kraju, gdy przetwarzanie danych odbywa się w związku z prowadzeniem przez administratora danych działalności gospodarczej na jego terytorium. Oznacza to, że przetwarzanie danych w kontekście prowadzenia działalności gospodarczej jest regulowane prawem państwa, na którego terytorium działalność ta jest prowadzona. Mówiąc o pojęciu „prowadzenie działalności gospodarczej” trybunał stwierdził, że chodzi o jakąkolwiek faktyczną i efektywną działalność, choćby nawet drobną, prowadzoną poprzez stabilne rozwiązanie organizacyjne. Przytoczył wyrok z 1 października 2015 r. w sprawie Weltimmo (sygn. C-230/14).
Witryna a faktyczna działalność
W uzasadnieniu TSUE wskazał jednak, że z jednej strony sam fakt, iż przedsiębiorstwo administratora danych nie posiada filii ani oddziału w państwie członkowskim, nie wyklucza tego, że może ono tam prowadzić działalność gospodarczą w rozumieniu art. 4 ust. 1 lit. a dyrektywy 95/46/WE. Z drugiej strony nie można jednak stwierdzić prowadzenia działalności gospodarczej na tej tylko podstawie, że witryna internetowa rozpatrywanego przedsiębiorstwa jest tam dostępna.
Zdaniem trybunału należy zatem w opisywanej sprawie dokonać oceny faktycznego charakteru działalności w danym państwie. Do sądu austriackiego należy ustalenie, czy Amazon EU przetwarza dane w kontekście prowadzenia działalności gospodarczej w innym państwie niż Luksemburg. Gdyby sąd austriacki ustalił, że prowadzenie działalności gospodarczej następuje w Niemczech, to regulowanie tego przetwarzania podlegałoby prawu niemieckiemu.
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 28 lipca 2016 r. w sprawie C-191/15 Verein für Konsumenteninformation przeciwko Amazon EU Sarl
! To, że przedsiębiorstwo administratora danych nie ma ani filii, ani oddziału w państwie członkowskim UE, nie wyklucza, że może ono tam prowadzić działalność gospodarczą.
OPINIA EKSPERTA
Paweł Żerański radca prawny, specjalista w zakresie prawa internetu, wspólnik Gładysz & Żerański Kancelaria Prawnicza sp.j. / Dziennik Gazeta Prawna
W wyroku C-191/15 (podobnie jak wcześniej w wyroku w sprawie C-230/14) przypomniano, że zgodnie z art. 4 ust. 1 lit. a dyrektywy 95/46 przedsiębiorca powinien stosować porządek danego państwa członkowskiego, o ile „przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium państwa członkowskiego”. W wyrokach przypomniano także, że „jeżeli ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku państw członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw wywiązuje się z obowiązków przewidzianych w odpowiednich przepisach prawa krajowego”.
Najnowszy wyrok TSUE tylko bardzo lekko uchylił furtkę do niestosowania prawa państwa, w którym następuje dostęp do strony internetowej i sprzedaż. Stwierdzono bowiem, że sama możliwość dostępu do strony internetowej nie powoduje, żeby istniało na terytorium danego państwa przedsiębiorstwo sprzedawcy. Jednak równocześnie podkreślono, że istotą nie jest przetwarzanie danych przez administratora na terytorium państwa członkowskiego, ale jedynie „w kontekście” prowadzenia na tym terytorium działalności. Zatem to odpowiednie organy państw członkowskich w oparciu o tę dyrektywę będą decydowały w odniesieniu do konkretnego stanu faktycznego o zastosowaniu lub nie swoich przepisów o ochronie danych osobowych. Może się okazać, że wystarczy niewiele więcej niż strona internetowa, żeby np. niemiecki lub francuski odpowiednik GIODO zastosował niemieckie lub francuskie przepisy do polskiego sprzedawcy.