Sortuj wg
Najnowszej
Najpopularniejszej
Autorzy:

O (nie)zdolności oddziału do posiadania statusu administratora danych osobowych

O

Oddziały przedsiębiorców, o których mowa w art. 5 pkt 4) ustawy o swobodzie działalności gospodarczej (usdg) w tym oddziały przedsiębiorców zagranicznych (art. 85 ust. 1 usdg) posiadały dotychczas niejednoznaczny status na gruncie przepisów ustawy o ochronie danych osobowych, a sam Generalny Inspektor Ochrony Danych Osobowych (GIODO) traktował takie  wyodrębnione jednostki organizacyjne przedsiębiorcy niekonsekwentnie, z jednej strony wskazując na brak możliwości przypisania im zdolności do bycia administratora danych osobowych (ADO)[1]z drugiej zaś, dokonując rejestracji zbiorów danych osobowych, zgodnie z treścią zgłoszeń administrowanych właśnie przez takie oddziały. Wobec zbliżającego się terminu rozpoczęcia stosowania RODO i konieczności wyklarowania ról i odpowiedzialności w zakresie przetwarzania danych osobowych w przedsiębiorstwie, niezbędne wydaje się wypracowanie bardziej jednoznacznego podejścia do zagadnienia. Zasadne wydaje się przy tym przyjęcie braku występowania po stronie oddziału zdolności do posiadania statusu ADO, zarówno w odniesieniu do oddziałów przedsiębiorców krajowych jak i zagranicznych. 

[katalog podmiotów zdolnych do bycia ADO]

Zakres pojęcia administratora danych osobowych, a zwłaszcza katalog podmiotów, dających się zakwalifikować jako ADO, budzi pewne kontrowersje[2]. Jak się wydaje, przyczyn takiego stanu rzeczy należy poszukiwać w definicji tego pojęcia, mającej charakter ogólny i odwołującej się do kategorii faktycznych. Dyrektywa 95/46/WE, a za nią RODO, przewidują bowiem, że administratorem danych osobowych jest taki podmiot, który samodzielnie lub wspólnie innym ustala cele i sposoby przetwarzania danych osobowych. W konsekwencji takiego ujęcia, przypisanie statusu ADO zależeć będzie – w pierwszej kolejności – czy dany podmiot posiada zdolność do ustalenia czegokolwiek. W literaturze wskazuje się, że kluczowe w tym przypadku będzie stwierdzenie, czy podmiot włada danymi[3].ADO może być tylko taki podmiot, który w sposób samodzielny i nieograniczony wolą innego podmiotu ma możliwość określenia celów i środków przetwarzania danych[4]

[pojęcie oddziału]

Pojęcie oddziału funkcjonuje w polskim systemie prawnym zasadniczo w dwóch kontekstach. Ustawa o swobodzie działalności gospodarczej definiuje go jako wyodrębnioną i samodzielną organizacyjnie część działalności gospodarczej, wykonywaną przez przedsiębiorcę poza siedzibą przedsiębiorcy lub głównym miejscem wykonywania działalności. Jednocześnie art. 83 tej samej ustawy wprowadza konkurencyjną niejako definicję oddziału określając go jako jedną z dopuszczalnych form działalności gospodarczej przedsiębiorcy zagranicznego w Polsce. Jakkolwiek w doktrynie występuje rozbieżność co do tego, czy usdg sankcjonuje występowanie w systemie dwóch odmiennych rodzajów oddziałów – dla przedsiębiorcy rajowego i zagranicznego, to należy przychylić się do stanowiska, zgodnie z którymz uwagi na swoją pojemność definicja oddziału może z powodzeniem znaleźć uniwersalne zastosowanie – zarówno do definiowania oddziału przedsiębiorcy zagranicznego, o którym przecież mowa w art. 85 ustawy, jak i w stosunkach krajowych[5] . Dla potrzeb rozważań, będących przedmiotem niniejszego artykułu, należy zauważyć, że nawet w razie przyjęcia różnic pojęciowych w tym zakresie, w każdym przypadku oddziałbędzie stanowić pewien substrat majątkowy i organizacyjny, wyposażony w wysoki poziom samodzielności, jednak pozbawiony w istocie jakiejkolwiek odrębności prawnej, w szczególności osobowości i zdolności prawnej. Wyodrębnienie oddziału ma na celu zastosowanie funkcjonalnego rozwiązania organizacyjnego służącego określonym założeniom prowadzonej działalności, natomiast w żadnym wypadku nie prowadzi do powstania odrębnego bytu w sensie prawnym – zarówno w przypadku oddziału przedsiębiorcy krajowego, jak i zagranicznego. W szczególności o odrębności takiej nie świadczy ani ujawnienie oddziału w Krajowym Rejestrze Sądowym (w przypadku przedsiębiorcy krajowego) jak i jego wpisanie do Rejestru jako odrębnego podmiotu, jak to się dzieje w przypadku przedsiębiorców zagranicznych[6](art. 88 usdg). 

Powyższe prowadzi do wniosku, że z uwagi na podobieństwa czy wręcz tożsamość konstrukcyjną w zakresie wyodrębnienia prawnego i zakresu kompetencji decyzyjnych, zachodzącą pomiędzy oddziałem przedsiębiorcy krajowego i zagranicznego, dla celów rozważania zdolności uzyskania przymiotu administratora danych osobowych, brak jest podstaw do rozróżniania tych dwóch przypadków. W istocie, wnioski takich rozważań, niezależnie od ich wyniku, powinny być dla obu tych przypadków takie same. 

[samodzielność decyzyjna ado]

Zwolennicy koncepcji dopuszczającej zdolność oddziału do  posiadania statusu administratora danych osobowych podkreślają przesądzające w tym zakresie znaczenie płaszczyzny faktycznej. W takim ujęciu, zdolność do bycia podmiotem praw i obowiązków na gruncie prawa cywilnego staje się drugorzędna, ustępując znaczenia rzeczywistej możliwości podejmowania decyzji w zakresie celów i środków przetwarzania. Wskazuje się przy tym, że owa faktyczna kompetencja w przedmiotowym zakresie może wynikać z aktów czy norm prawa wewnętrznego, regulującego ustrój danego podmiotu[7]. Takie stanowisko zdają się podzielać M. Barta i P. Litwiński, wskazując, że oddział przedsiębiorcy, mimo że jest strukturalnie powiązany z przedsiębiorcą, ze względu na zawarte w definicji z art. 5 pkt 4 SwobDziałGospU wyodrębnienie i samodzielność organizacyjną, może w pewnych przypadkach – w zakresie, w którym w ramach tej samodzielności podejmuje decyzje co do celów przetwarzania danych – posiadać status administratora danych[8].

Powyższe stanowisko znajduje szczególnie często poparcie praktyków w odniesieniu do oddziałów, posiadających status pracodawcy w rozumieniu art. 3 Kodeksu pracy. W tym miejscu należy przypomnieć, że powołany przepis stanowi szczególną regulację dopuszczającą przypisanie statusu pracodawcy jednostce organizacyjnej nieposiadającej osobowości prawnej ani nie dysponującej podmiotowością prawną na gruncie innych niż prawo pracy gałęzi prawa. To rozwiązanie legislacyjne związane jest z tzw. organizacyjną koncepcją pracodawcy, zgodnie z którą dla uzyskania statusu odrębnego pracodawcy konieczna jest choćby potencjalna zdolność zatrudniania pracowników[9]. W świetle art. 3 KP przyjmuje się w orzecznictwie, że oddział przedsiębiorcy (w tym oddział przedsiębiorcy zagranicznego) może posiadać status pracodawcy – a co za tym idzie, w szczególności zatrudniać pracowników i realizować względem nich określone obowiązki wynikające z ustawy[10]. Kompetencja oddziału do występowania w roli pracodawcy będzie z reguły wynikać z wewnętrznego aktu normatywnego[11].  

Na tle takiego stanu prawnego, formułowane są twierdzenia o możliwości posiadania przez oddział statusu administratora danych osobowych z uwagi na samodzielność decyzyjną oddziału w sprawach pracowniczych. W tym ujęciu, oddział miałby być administratorem jedynie w odniesieniu do danych osobowych zatrudnianych osób i jedynie w zakresie, w jakim kompetencje, jakimi oddział dysponuje, pozwalają na determinowanie celów i środków przetwarzania danych osobowych pracowników.

Powyższe stanowisko nie wydaje się jednak przekonujące z kilku powodów. W pierwszej kolejności należy zwrócić uwagę, że regulacja przewidziana przez Kodeks pracy ma charakter szczególny; brak jest zatem podstaw do jej rozszerzającej wykładni, prowadzącej do powstania po stronie oddziału będącego pracodawcą zdolności do decydowania o celach i środkach przetwarzania danych w rozumieniu uodo/RODO. Sama okoliczność nadania wewnętrznym aktem organizacyjnym umocowania do zatrudniania pracowników lub wykonywania innych czynności z zakresu prawa pracy nie może być uznane za wystarczające – zaakceptowanie takiego stanowiska pozwoliłoby na dość swobodne przerzucanie ciężaru odpowiedzialności wiążącej się z administrowaniem danymi na substrat majątkowy, niezdolny do autonomicznego funkcjonowania, swobodnie tworzony lub likwidowany w oparciu o decyzję kompetentnego w tym zakresie organu przedsiębiorcy. 

[kryterium ponoszenia odpowiedzialności]

Nie podważając faktu, że to na płaszczyźnie okoliczności faktycznych dokonuje się przypisanie danemu podmiotowi określonej roli na tle przepisów dotyczących ochrony danych (czy to administratora, czy to procesora), należy mieć na uwadze, że istotnym kryterium, jakie powinno zostać wzięte pod uwagę, jest kwestia ponoszenia faktycznej odpowiedzialności za określone naruszenie.  

Zgodnie ze stanowiskiem Grupy Roboczej art. 29, prawidłowa identyfikacja administratora danych w każdym konkretnym przypadku jest kluczowa właśnie na etapie określenia zakresu odpowiedzialności i grożących za naruszenie sankcji. Stanowi bowiem podstawowy warunek  skuteczności przedmiotowych regulacji[12]. Przyjmując powyższą, celowościową wykładnię, należy zauważyć, że oddział – zarówno polskiego jak i zagranicznego przedsiębiorcy – nie ponosi samodzielnej odpowiedzialności finansowej za naruszenia, których dopuściły się osoby nim kierujące lub w nim zatrudnione. W szczególności w przypadku naruszeń, których może dopuścić się oddział jako pracodawca, nie powinna budzić wątpliwości odpowiedzialność finansowa spółki względem osób trzecich[13]– oczywiście niezależnie od ewentualnych wewnętrznych rozliczeń pomiędzy jednostkami organizacyjnymi. O ile jednak rozszerzenie zakresu odpowiedzialności na całą spółkę jest dopuszczalne na gruncie cywilnoprawnym, o tyle przyjęcie analogicznego modelu w zakresie administracyjnoprawnym budzi daleko idące wątpliwości. W szczególności trudno pogodzić się z dopuszczalnością egzekwowania od spółki kary pieniężnej nałożonej na podstawie art. 83 RODO w sytuacji, gdy to nie do spółki skierowana została decyzja organu. 

[zdolność administracyjnoprawna]

W tym kontekście wypada zwrócić uwagę, na brak – co do zasady – zdolności administracyjnoprawnej po stronie oddziału spółki. Zdolność administracyjnoprawna w odniesieniu do podmiotów innych, niż wymienione w art. 29 kodeksu postępowania administracyjnego, wynikać może bowiem z przepisów szczególnych prawa materialnego przewidujących możliwość nabywania praw lub nakładania obowiązków na taki podmiot[14].  Przyjęcie, że regulacje z zakresu ochrony danych mają charakter takiej normy szczególnej, wydaje się zbyt daleko idące wobec konstrukcji prawnej oddziału, obowiązującej w polskim systemie prawnym. 

Rzecz jasna, nie sposób nie odnieść się w tym miejscu do okoliczności, że GIODO wielokrotnie dokonywał rejestracji zbiorów , których administratorem – zgodnie z treścią ujawnionego w rejestrze zbiorów wpisu – był oddział. Dotyczyło to zarówno oddziałów przedsiębiorców polskich jak i zagranicznych (por. wyszukiwarka zbiorów egiodo.giodo.gov.pl). Jeszcze poważniejszym argumentem przeciwko powyżej przedstawionej argumentacji jest kierowanie przez GIODO – niejednokrotnie – decyzji, których adresatem był oddział[15]. Należy jednak odnotować, że takie działanie organu spotkało się z dość sceptyczną reakcją doktryny[16]. Podejście GIODO – w odniesieniu do oddziałów przedsiębiorcy zagranicznego – mogło znajdywać też uzasadnienie w chęci zapobieżenia próbom „ucieczki” administratorów spod zakresu obowiązywania polskiej ustawy z powołaniem się na argument o braku posiadania wyodrębnionej jednostki organizacyjnej na terytorium Polski. siedziby. Wobec sukcesywnego rozszerzania w orzecznictwie Trybunału Sprawiedliwości UE[17]zakres podmiotowego obowiązywania regulacji z zakresu ochrony danych osobowych, znajdującego obecnie potwierdzenie w art. 3 RODO,  argument powyższy traci jednak na znaczeniu. 

[trudności praktyczne]

Przyjęcie, że oddział – choćby tylko w określonych przypadkach – może posiadać status administratora danych, prowadzi wreszcie do szeregu wątpliwości natury praktycznej. Czy możliwe jest zawarcie przez oddział umowy powierzenia przetwarzania danych? A jeśli tak – to czy taka umowa może być zawarta również ze spółką, której część ten oddział stanowi? Co w przypadku, gdy właściwy organ spółki podejmie decyzję o zmianie regulaminu organizacyjnego i odebraniu oddziałowi kompetencji do bycia pracodawcą? Czy w sposób automatyczny status ADO uzyska w tym wypadku centrala? Czy w takim razie – należy ponownie wypełnić względem pracowników obowiązek informacyjny?

Jak wynika z powyższego, przyznanie oddziałowi zdolności do bycia administratorem danych osobowych prowadzi do wielu zastrzeżeń natury faktycznej i prawnej. Z pewnością takie wątpliwości nie sprzyjają osiągnięciu celu, jakim jest zapewnienie w każdym przypadku jednoznacznej identyfikacji administratora i umożliwienie wyegzekwowania jego odpowiedzialności za ewentualne naruszenia praw i wolności podmiotów danych. W konsekwencji przyjęcie takiej koncepcji mogłoby raczej utrudnić, a nie ułatwić podmiotom danych dochodzenie ich praw, co przemawia za odmową przyznania statusu ADO oddziałowi przedsiębiorcy zarówno w odniesieniu do podmiotu krajowego jak i zagranicznego. 



[2]por. np.: Barta, Michał i Litwiński, Paweł [w:]Ustawa o ochronie danych osobowych. Komentarz, 2016, Legalis; Drozd, Andrzej. Art. 7. W: Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, wyd. IV [online]. 

[3]Por. G. Karp, Administrator danych osobowych – podmiot decydujący o celach i środach przetwarzania danych osobowych, Palestra nr 1-2, 2011, str. 62

[4]Ibidem

[5]Sieradzka, Małgorzata. Art. 5. W: Ustawa o swobodzie działalności gospodarczej. Komentarz [online]. LEX, 2017-09-10 14:52 [dostęp 26.10.2017]

[6]Por. wyrok Sądu Najwyższego z 8 maja 2013 roku, I CZ 34/13

[7]Drozd, Andrzej. Art. 7. W: Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, wyd. IV [online]. Wydawnictwo Prawnicze LexisNexis, 2017-09-10 14:53 [dostęp: 26.10.2017]

[8]Barta, Michał i Litwiński, Paweł [w:]Ustawa o ochronie danych osobowych. Komentarz, 2016, Legalis, komentarz do art. 7.

[9]Jaśkowski, Kazimierz. Art. 3. W: Komentarz aktualizowany do Kodeksu pracy [online]. System Informacji Prawnej LEX, 2017-09-29 20:45 [dostęp: 26.10.2017]

[10]Por. np. M. Nałęcz [w:] Kodeks pracy. Komentarz, red. K. Walczak, Legalis 2017, a  także wyrok Sądu Najwyższego z 10 kwietnia 2013 roku, a także odnośne orzecznictwo, np. wyrok Sądu Najwyższego z dnia 6 listopada 1991, I PRN 47/91, wyrok Wojewódzkiego Sądu Administracyjnego z d 26 czerwca 20008, III SA/Wa 266/08

[11]Por. Kaźmierczak, Joanna, Oddział spółki handlowej w roli pracodawcy, [w:] E. Staszewska, I. Barańczyk (red.), Prawo pracy w systemie prawa. Prawo pracy a prawo handlowe, ser. Monografia Koła Naukowego Prawa Pracy, Wydawnictwo Uniwersytetu Łódzkiego, Łódź 2016, str. 30, por. także wyrok Sądu Najwyższego z 10 kwietnia 2013 roku

[12]Opinia WP 29 nr 1/2010 w sprawie pojęć „administrator” i „przetwarzający”, str. 16

[13]Por. wyrok Sądu Najwyższego z dnia 19 maja 2016 roku, II PK 100/15

[14]Gołaszewski, Piotr, [w:] R. Hauser, M. Wierzbowski, Kodeks postępowania administracyjnego. Komentarz, Legalis, 2016,komentarz do art. 29

[15]Por. np. decyzja GIODO z dnia 28 grudnia 2012 roku, DESiWM/DEC-1282/12/78298

[16]Barta, Michał i Litwiński, Paweł [w:]Ustawa…

[17]Por. np. wyroki TSUE w sprawie Weltimmo, C-230/14, Google Spain C-131/12.