TS UE: spółki zagraniczne muszą przestrzegać krajowych przepisów o ochronie danych osobowych

ochrona danych osobowych| ogłoszenia internetowe| prawo państwa członkowskiego| Trybunał Sprawiedliwości Unii Europejskiej| Węgry

TS UE: spółki zagraniczne muszą przestrzegać krajowych przepisów o ochronie danych osobowych
Sala rozpraw TS UE

W wyroku z dnia 1 października 2015 Trybunał Sprawiedliwości Unii Europejskiej uznał, że uregulowania państwa członkowskiego dotyczące ochrony danych mogą być stosowane do zagranicznej spółki prowadzącej w tym państwie, poprzez stabilne rozwiązanie organizacyjne, rzeczywistą i faktyczną działalność.

Dyrektywa o ochronie danych osobowych[1] stanowi, że każde państwo członkowskie powinno wyznaczyć jeden lub więcej organów władzy publicznej odpowiedzialnych za kontrolę stosowania na jego terytorium przepisów krajowych przyjętych przez państwa członkowskie na mocy tej dyrektywy. Każdy taki organ ma kompetencje do wykonywania na własnym terytorium w szczególności uprawnień dochodzeniowych i interwencyjnych, niezależnie od tego, jakie prawo krajowe ma zastosowanie do danego przypadku przetwarzania danych. Ponadto do każdego organu z żądaniem wykonania jego uprawnień może się zwrócić organ innego państwa członkowskiego.

Weltimmo, będące spółką zarejestrowaną na Słowacji, prowadzi stronę internetową z ogłoszeniami o nieruchomościach dotyczącymi nieruchomości położonych na Węgrzech i, w ramach wspomnianej działalności, przetwarza dane osobowe ogłoszeniodawców. Ogłoszenia publikowane są bezpłatnie przez miesiąc, a następnie stają się płatne. Szereg ogłoszeniodawców zwróciło się, za pośrednictwem poczty elektronicznej, o usunięcie po miesiącu ich ogłoszeń, a jednocześnie dotyczących ich danych osobowych. Weltimmo tego jednak nie zrobiło i zafakturowało usługi. W braku zapłaty faktur Weltimmo przekazało dane osobowe ogłoszeniodawców agencjom ściągania wierzytelności.

Ogłoszeniodawcy złożyli skargi do węgierskiego organu ochrony danych. Organ nadzorczy wymierzył Weltimmo grzywnę w kwocie dziesięciu milionów forintów węgierskich (HUF) (ok. 32 000 EUR) za naruszenie węgierskiej ustawy transponującej dyrektywę.

Weltimmo zakwestionowało decyzję organu nadzorczego przed węgierskimi sądami.

Rozpoznający spór w kasacji Kuria (sąd najwyższy, Węgry) zwrócił się do Trybunału z pytaniem, czy w omawianym przypadku dyrektywa zezwala na to, by węgierski organ nadzorczy zastosował węgierską ustawę przyjętą na podstawie dyrektywy i wymierzył przewidzianą w tej ustawie grzywnę.

W dzisiejszym wyroku Trybunał przypomniał, że zgodnie z dyrektywą każde państwo członkowskie powinno stosować przyjęte przez siebie na mocy tej dyrektywy przepisy, wówczas gdy przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na jego terytorium. W tym względzie Trybunał wskazał, że obecność pojedynczego przedstawiciela może w określonych okolicznościach wystarczyć, aby istniało stabilne rozwiązanie organizacyjne, jeżeli działa on ze stopniem stabilności wystarczającym do świadczenia rozpatrywanych usług w danym państwie członkowskim. Ponadto Trybunał wyjaśnił, że pojęcie „prowadzenia działalności gospodarczej” obejmuje wszelką rzeczywistą i faktyczną działalność, choćby nawet drobną, prowadzoną poprzez stabilne rozwiązanie organizacyjne.

W omawianym przypadku Trybunał stwierdził, że Weltimmo bezsprzecznie prowadzi rzeczywistą i faktyczną działalność na Węgrzech. Ponadto z wyjaśnień udzielonych przez węgierski organ nadzorczy wynika, że Weltimmo ma na Węgrzech przedstawiciela, który jest wpisany do słowackiego rejestru spółek pod adresem na Węgrzech i który próbował negocjować z ogłoszeniodawcami kwestię uregulowania niespłaconych należności. Przedstawiciel ten służył jako kontakt Weltimmo ze skarżącymi i reprezentował tę spółkę w postępowaniu administracyjnym i sądowym. Weltimmo otworzyło także rachunek w banku na Węgrzech do celów ściągania swoich należności i korzysta na terytorium tego państwa członkowskiego ze skrzynki pocztowej do prowadzenia bieżących spraw.

Informacje te, które powinien zweryfikować sąd krajowy, mogą wykazać fakt „prowadzenia działalności gospodarczej” w rozumieniu dyrektywy na terytorium Węgier. W takim przypadku działalność Weltimmo podlegać będzie węgierskim uregulowaniom dotyczącym ochrony danych.

Trybunał podkreślił, że każdy organ nadzorczy powołany przez państwo członkowskie powinien czuwać nad przestrzeganiem na terytorium tego państwa przepisów wydanych przez wszystkie państwa członkowskie w celu wykonania dyrektywy. W związku z tym, do każdego organu nadzorczego może zwrócić się każdy z wnioskiem dotyczącym ochrony swoich praw i wolności w zakresie przetwarzania danych osobowych, nawet jeśli właściwe w sprawie przetwarzania tych danych jest prawo innego państwa członkowskiego.

Jednakże w przypadku stosowania prawa innego państwa członkowskiego uprawnienia interwencyjne organu nadzorczego muszą być wykonywane z poszanowaniem w szczególności suwerenności terytorialnej innych państw członkowskich, zatem krajowy organ nie może nałożyć sankcji poza terytorium państwa, któremu podlega.

W związku z tym, gdyby sąd odsyłający stwierdził, że Weltimmo nie „prowadzi działalności gospodarczej” w rozumieniu dyrektywy na terytorium Węgier i że do rozpatrywanego przetwarzania danych właściwe jest tym samym prawo innego państwa członkowskiego, węgierski organ nadzorczy nie mógłby wykonywać uprawnień do nakładania sankcji nadanych mu w prawie węgierskim.

Na mocy ustanowionego dyrektywą obowiązku współpracy wskazany organ powinien jednak zwrócić się do organu nadzorczego drugiego państwa członkowskiego o stwierdzenie ewentualnego naruszenia prawa tego państwa i o nałożenie sankcji, które to prawo ewentualnie przewiduje.

UWAGA: Odesłanie prejudycjalne pozwala sądom państw członkowskich, w ramach rozpatrywanego przez nie sporu, zwrócić się do Trybunału z pytaniem o wykładnię prawa Unii lub o ocenę ważności aktu Unii. Trybunał nie rozpoznaje sporu krajowego. Do sądu krajowego należy rozstrzygnięcie sprawy zgodnie z orzeczeniem Trybunału. Orzeczenie to wiąże w ten sam sposób inne sądy krajowe, które spotkają się z podobnym problemem.

Pełny tekst wyroku znajduje się na stronie internetowej CURIA w dniu ogłoszenia.

[1] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31).
Trybunał Sprawiedliwości UE

Świat

Zawartość i treści prezentowane w serwisie Obserwator Konstytucyjny nie przedstawiają oficjalnego stanowiska Trybunału Konstytucyjnego.