Europejski Trybunał Sprawiedliwości w sprawach dotyczących ochrony danych co raz częściej odchodzi od jurysdykcji opartej na zasadzie terytorialności. W przypadku usług świadczonych drogą elektroniczną zasada ta może powodować, że podmioty danych nie są w stanie skutecznie dochodzić ochrony swoich praw. Kolosalne znaczenie dla przedsiębiorców prowadzących działalność gospodarczą na terenie kilku państw członkowskich ma wyrok w sprawie Weltimno.
TSUE w wyroku z dnia 1 października 2015 r. w sprawie C-230/14 Weltimno s.r.o. przeciwko węgierskiemu odpowiednikowi GIODO uznał, że można zastosować węgierską ustawę o ochronie danych osobowych do spółki z siedzibą na Słowacji, która przez stabilne rozwiązanie organizacyjne na terytorium Węgier prowadzi tam faktyczną i rzeczywistą działalność, w ramach której dokonuje przetwarzania danych.
Stan faktyczny
Rozstrzygniecie zapadło na podstawie następującego stanu faktycznego: słowacka spółka Weltimno prowadziła węgierską stronę internetową z ogłoszeniami o nieruchomościach położonych na Węgrzech i w ramach tej działalności, przetwarzała dane osobowe ogłoszeniodawców. Ogłoszenia publikowane były bezpłatnie przez miesiąc, dłuższa publikacja wiązała się z opłatą. Po upływie bezpłatnego okresu część ogłoszeniodawców drogą mailową zwróciła się o usunięcie ogłoszeń oraz danych osobowych. Weltimmo nie usunęła ani ogłoszeń, ani danych, a następnie zafakturowała świadczoną usługę. Wobec braku zapłaty faktur Weltimmo przekazała dane osobowe ogłoszeniodawców podmiotom zajmującym się windykacją należności.
Ogłoszeniodawcy złożyli skargi do węgierskiego organu ochrony danych, który wymierzył Weltimmo grzywnę za naruszenie węgierskiej ustawy transponującej dyrektywę 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE.L.1995.281.31).
Weltimmo zakwestionowało decyzję organu nadzorczego, wskazując że spółka nie ma siedziby, ani stałego miejsca prowadzenia działalności na Węgrzech, a więc węgierski organ nadzorczy nie był właściwy i nie mógł nakładać kar na gruncie krajowej ustawy.
W toku dalszego postępowania węgierski Sąd Najwyższy zwrócił się do TSUE z pytaniem, czy w omawianym przypadku dyrektywa 95/46/WE zezwala na to, by węgierski organ nadzorczy zastosował węgierską ustawę przyjętą na podstawie tej dyrektywy i wymierzył przewidzianą ustawie grzywnę podmiotowi zarejestrowanemu na Słowacji.
Ramy prawne
Zgodnie z dyrektywą 95/46/WE każde państwo członkowskie powinno stosować przepisy przyjęte przez siebie na mocy dyrektywy, wówczas gdy przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na jego terytorium. Trybunał wskazał, że użycie w dyrektywie sformułowania „przetwarzania danych w kontekście prowadzonej działalności" powoduje, że nie należy przyjmować wykładni zawężającej jej przepisów, a więc nie można wiązać porządku prawnego w zakresie danych osobowych jedynie z ustawodawstwem kraju, w którym administrator danych ma rejestrową siedzibę.
Aby nie pozbawić jednostek prawa do skutecznej ochrony przysługującej jej na mocy dyrektywy, TSUE uznał, że należy stosować elastyczną koncepcję pojęcia prowadzenia działalności i przy określaniu, jakie przepisy o ochronie danych osobowych obowiązują administratora danych, sprawdzać czy administrator danych nie prowadzi również działalności gospodarczej w państwie innym niż kraj rejestracji. TSUE zaznaczył, że pojęcie „prowadzenia działalności gospodarczej" obejmuje wszelką rzeczywistą i faktyczną działalność, choćby nawet drobną, prowadzoną poprzez stabilne rozwiązanie organizacyjne.
Rozpatrując zagadnienie dotyczące właściwości organu nadzoru TSUE podkreślił, że do dowolnego organu nadzoru w zakresie danych osobowych może zwrócić się każda osoba fizyczna z wnioskiem dotyczącym ochrony swoich praw i wolności w zakresie przetwarzania danych, nawet jeśli właściwe może być prawo innego państwa członkowskiego. W zależności od wyników badania dot. miejsca prowadzenia działalności przez administratora danych organ nadzoru podejmuje dalsze działania.
Prawo węgierskie czy słowackie?
Na gruncie analizowanej sprawy, jeśli zostanie ustalone że w rozumieniu dyrektywy 95/46/WE Weltimno „prowadzi działalność gospodarczą" na terytorium Węgier wówczas węgierski organ nadzoru będzie właściwy do sprawdzenia zgodności przetwarzania danych z krajowym prawem i nałożenia sankcji w nim określonych.
Za uznaniem, że Weltimno prowadziło działalność na Węgrzech przemawiają między innymi następujące okoliczności: mimo siedziby na Słowacji Weltimno nie prowadziło tam działalności, skupiając się na rynku węgierskim, posiadało na Węgrzech przedstawiciela, który jest wpisany do słowackiego rejestru spółek pod adresem na Węgrzech, przedstawiciel służył jako kontakt Weltimmo ze skarżącymi i reprezentował tę spółkę w postępowaniu administracyjnym i sądowym, Weltimmo otworzyło także rachunek w banku na Węgrzech do celów ściągania swoich należności i korzystało na terytorium tego państwa członkowskiego ze skrzynki pocztowej do prowadzenia bieżących spraw.
Gdyby uznać, że Weltimno „nie prowadzi działalności gospodarczej" w rozumieniu dyrektywy 95/46/WE na terytorium Węgier to do rozpatrywanego przetwarzania danych właściwe byłoby prawo innego państwa członkowskiego, a węgierski organ nadzorczy nie mógłby wykonywać uprawnień do nakładania sankcji nadanych mu w prawie węgierskim, bowiem krajowy organ nie może nałożyć sankcji poza terytorium państwa, któremu podlega. Powinien wówczas zwrócić się do organu nadzorczego drugiego państwa członkowskiego o stwierdzenie ewentualnego naruszenia prawa tego państwa i o nałożenie sankcji, które to prawo przewiduje.
Kilka porządków prawnych
Wyrok w sprawie Weltimno ma ogromne znaczenie dla przedsiębiorców prowadzących działalność gospodarczą na terenie kilku państw członkowskich. Po przeprowadzeniu analizy może się bowiem okazać, że będą musieli respektować przepisy dotyczące ochrony danych wypływające z kilku krajowych porządków prawnych.