Marek Świerczyński
Jurysdykcja krajowa w świetle rozporządzenia ogólnego o ochronie danych osobowych
Artykuł pochodzi z miesięcznika Europejski Przegląd Sądowy 2016/12>>
Przedmiotem niniejszego artykułu jest analiza przepisów z zakresu międzynarodowego postępowa-nia cywilnego ułatwiających dostęp do sądów krajowych osobom fizycznym w związku z przetwarzaniem ich danych osobowych, które wprowadza rozporządzenie Parlamentu Europej-skiego i Rady (UE) nr 2016/679 z 27.04.2016 r. W zakresie ochrony danych osobowych przepisy te zastąpią ogólne przepisy jurysdykcyjne, w szczególności wynikające z rozporządzenia Bruksela I bis (rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1215/2012 ). Przyznają one istotne przywileje jurysdykcyjne poszkodowanym w ramach asymetrycznego systemu jurysdykcyjnego, wzorowanego na modelu kolizyjnoprawnej ochrony strony słabszej stosunku prawnego. Ich stoso-wanie może jednak napotkać liczne problemy praktyczne. Celem opracowania jest wyjaśnienie głównych wątpliwości.
1. Wstęp
Skutkiem rozpoczęcia obowiązywania ogólnego rozporządzenia o ochronie danych będzie zwiększenie poziomu ochrony osób fizycznych, których dane osobowe są przetwarzane. Jednym z przewidzianych w nim rozwiązań jest wprowadzenie dedykowanych przepisów z zakresu międzynarodowego postępowania cywilnego, które mają ułatwić dostęp do sądów krajowych osobom fizycznym w związku z przetwarzaniem ich danych osobowych. Z chwilą rozpoczęcia stosowania rozporządzenia, co nastąpi w maju 2018 r., regulacje te zastąpią ogólne przepisy jurysdykcyjne, w szczególności wynikające z rozporządzenia Bruksela I bis (rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1215/2012 ). Przyznają one przy-wileje jurysdykcyjne poszkodowanym w ramach asymetrycznego systemu jurysdykcyjnego, wzorowanego na modelu koli-zyjnoprawnej ochrony strony słabszej stosunku prawnego (konsumenci, pracownicy oraz ubezpieczeni). Przepisy ogólnego rozporządzenia o ochronie danych wprowadzają ponadto inne modyfikacje w dziedzinie międzynarodowego postępowania sądowego. W szczególności modyfikują przepisy dotyczące zawisłości sprawy (lis pendens), co powoduje, że właściwy sąd będzie mógł, ale nie będzie zobowiązany do zawieszenia postępowania sądowego w przypadku prowadzenia równoległych postępowań związanych z ochroną dóbr osobistych w różnych państwach członkowskich UE. Ogólne rozporządzenie o ochronie danych wprowadza również przepisy, które można odczytywać jako wskazanie materialnoprawnej podstawy prawnej dochodzenia roszczeń cywilnoprawnych z tytułu naruszenia zasad przetwarzania danych osobowych, na wypadek gdyby takowa nie istniała w danym prawie krajowym.
Powyższe regulacje mogą nasuwać liczne problemy praktyczne, wymagające rozstrzygnięcia, zanim rozporządzenie zacznie być stosowane przez polskie sądy. W pierwszej kolejności należy ustalić jego relację do ogólnych przepisów z zakresu międzynarodowego postępowania cywilnego, obowiązujących w Polsce, ze szczególnym uwzględnieniem rozporządzenia Bruksela I bis. Chodzi przede wszystkim o to, które z ogólnych przepisów międzynarodowego postępowania cywilnego ulegną wyłączeniu, mając na względzie to, że ogólne rozporządzenie o ochronie danych osobowych nie zawiera kompletnego systemu jurysdykcyjnego i konkretna sprawa musi być współ-regulowana dotychczasowymi przepisami . Zbadania wymaga także to, w jakim stopniu obowiązująca zasada terytorialności stosowania przepisów poświęconych ochronie danych osobowych ulega przełamaniu za pośrednictwem omawianych norm jurysdykcyjnych. Wreszcie, trzeba też zwrócić uwagę na błędy polskiego tłumaczenia rozporządzenia oraz ich potencjalnie znaczenie dla polskiej praktyki sądowej.@page_break@
2. Stosunek rozporządzenia do ogólnych przepisów o jurysdykcji
Z motywu 147 preambuły ogólnego rozporządzenia o ochronie danych wynika, że przewidziane w nim szczegółowe prze-pisy o jurysdykcji, w szczególności dotyczące postępowań w zakresie środków ochrony prawnej przed sądem, w tym odszko-dowania, przeciwko administratorowi lub podmiotowi przetwarzającemu, mają pierwszeństwo w stosunku do ogólnych prze-pisów o jurysdykcji, takich jak rozporządzenie Bruksela I bis.
Rozporządzenie Bruksela I bis jest stosowane w państwach członkowskich, z wyjątkiem Danii, od 10.01.2015 r. Z tym dniem zastąpiło rozporządzenie Bruksela I, będące z kolei kontynuacją konwencji brukselskiej z 1968 r., od której wywodzi się jego nazwa. Choć rozporządzenie Bruksela I bis nie ma charakteru rewolucyjnego, lecz jest raczej przejawem ewolucji unijnego systemu jurysdykcyjnego, to jednak wprowadziło kilka istotnych rozwiązań dla międzynarodowego postępowania cywilnego, w porównaniu do poprzedzającego go rozporządzenia Bruksela I . Należy do nich: 1) rezygnacja w relacjach mię-dzy państwami członkowskimi UE z procedury exequatur, co oznacza, że zagraniczne orzeczenia są, co do zasady, wykonalne bez potrzeby stwierdzania ich wykonalności w państwie wykonania; 2) poprawa skuteczności umów jurysdykcyjnych (m.in. w celu ograniczenia problemu tzw. torpedo action); 3) wzmocnienie przepisów dotyczących zawisłości sprawy (lis pendens). Należy stwierdzić, że z ułatwień wprowadzanych rozporządzeniem Bruksela I bis będą mogły korzystać również strony postępowań dotyczących naruszenia zasad ochrony danych osobowych wynikających z ogólnego rozporządzenia o ochronie danych, z zastrzeżeniem, że rozporządzenie to modyfikuje zasadę lis pendens, a fakt wprowadzenia dedykowanych przepisów jurysdykcyjnych chroniących poszkodowanych, tj. podmioty danych osobowych, oznacza, jak się wydaje, ograniczenie możliwości zawierania między stronami umów jurysdykcyjnych (np. w postaci klauzuli zawartej w regulaminie internetowych bądź tzw. polityce prywatności) skutkujących obniżeniem poziomu ochrony prawnej osób, których dane osobowe są przetwarzane.
Rozważania warto rozpocząć od zwrócenia uwagi na istotny z punktu widzenia polskiej praktyki prawniczej problem pole-gający na tym, że wielu polskich prawników nadal przyznaje priorytet przepisom kodeksu postępowania cywilnego w dziedzinie międzynarodowego postępowania sądowego, pomimo iż kwestie te w coraz większym stopniu są regulowane przez ujednolicone przepisy prawa unijnego, na czele z rozporządzeniem Bruksela I bis. Liczba spraw regulowanych przez przepisy unijne w tym obszarze jest już znaczna, a kluczowe znaczenie ma właśnie rozporządzenie Bruksela I bis, ponieważ stanowi regulację wzorcową dla kolejnych rozporządzeń unijnych w dziedzinie prawa kolizyjnego (np. w sprawach rodzin-nych, alimentacyjnych, upadłościowych itd.). Niezależnie od powyższego, należy mieć na uwadze, że Polska jest stroną umów międzynarodowych, które mogą zawierać własne przepisy jurysdykcyjne.
Niestety problem rozproszenia źródeł regulacji jurysdykcyjnych zwiększa wprowadzenie dedykowanych przepisów jurys-dykcyjnych w ramach ogólnego rozporządzenia o ochronie danych. W konkretnej sprawie trudności może sprawiać samo zidentyfikowanie właściwego zestawu norm jurysdykcyjnych, w szczególności, gdy dany akt prawny nie zawiera kompletnego zestawu reguł, tak jak ma to miejsce w przypadku ogólnego rozporządzenia o ochronie danych i należy posiłkowo korzystać z regulacji ogólnych. Pojawia się wtedy pytanie, czy w zakresie nieuregulowanym w rozporządzeniu ogólnym sięgać do rozporządzenia Bruksela I bis, kodeksu postępowania cywilnego, czy też danej umowy międzynarodowej zawierającej przepisy jurysdykcyjne.@page_break@
3. Ogólne zasady jurysdykcyjne
Aby wyjaśnić modyfikacje wprowadzane rozporządzeniem ogólnym, należy najpierw w skrócie przytoczyć zasady ogólne wynikające z rozporządzenia Bruksela I bis. W znacznym stopniu zostały one odzwierciedlone w polskim kodeksie postępo-wania cywilnego. Rozporządzenie wprowadziło podstawowy podział na jurysdykcję ogólną i jurysdykcję szczególną, przy czym reguły te mogą ulec wyłączeniu, gdy chodzi o ochronę strony słabszej, w szczególności konsumenta . Ten podstawowy podział jurysdykcji jest istotny z punktu widzenia przepisów jurysdykcyjnych ogólnego rozporządzenia o ochronie danych.
Według zasad jurysdykcji ogólnej określonych w art. 4 rozporządzenia Bruksela I bis osoby mające miejsce zamieszkania na terytorium państwa członkowskiego mogą być pozywane, niezależnie od ich obywatelstwa, przed sądy tego państwa członkowskiego. Do osób, które nie są obywatelami państwa członkowskiego UE, w którym mają miejsce zamieszkania, stosuje się przepisy jurysdykcyjne właściwe dla obywateli tego państwa członkowskiego.
Dostępność sądów dla powoda, którym może być poszkodowany z tytułu niezgodnego z prawem przetwarzania jego danych osobowych, ulega poszerzeniu zależnie od kategorii danej sprawy. Co istotne, w preambule rozporządzenia Bruksela I bis wskazano na znaczenie ochrony dóbr osobistych, w tym prywatności. Gdy chodzi o czyny niedozwolone, do których, w ramach kwalifikacji autonomicznej pojęć rozporządzenia, zalicza się naruszenie prywatności , według reguł jurysdykcji szczególnej osoba przetwarzająca dane osobowe, w tym administrator bądź podmiot przetwarzający dane na jego zlecenie (tzw. procesor), która ma miejsce zamieszkania na terytorium państwa członkowskiego, może zostać pozwana w innym państwie członkowskim w sprawach dotyczących czynu niedozwolonego lub czynu podobnego do czynu niedozwolonego przed sądy miejsca, w którym nastąpiło lub może nastąpić zdarzenie wywołujące szkodę (art. 7 pkt 2 rozporządzenia Bruksela I bis) . Poszkodowany może zatem według swojego wyboru wszcząć postępowanie przed sądami miejsca zamieszkania (siedziby) osoby, która sprzecznie z prawem przetwarza jego dane osobowe albo przed sądami miejsca, w którym jego dane osobowe były przetwarzane sprzeczne z prawem.
Trybunał Sprawiedliwości (dalej jako TS) wskazał, że w przypadku zarzucanego naruszenia dóbr osobistych osoba, która uważa się za poszkodowaną przez treści opublikowane w witrynie internetowej, może wytoczyć powództwo dotyczące odpo-wiedzialności za całość doznanych krzywd i poniesionych szkód przed sądami państwa członkowskiego, w którym znajduje się centrum jej interesów życiowych (por. wyrok TS w sprawach połączonych eDate Advertising i inni ). Jak podkreślił TS, łącznik centrum interesów życiowych osoby poszkodowanej jest zgodny z celem, jakim jest wymaganie przewidywalności właściwej jurysdykcji, ponieważ umożliwia ono powodowi łatwe ustalenie, przed jakim sądem może wytoczyć powództwo, a jednocześnie pozwanemu przewidzenie w sposób racjonalny, przed który sąd może zostać pozwany (por. wyrok TS w sprawach połączonych eDate Advertising i inni, pkt 50). W polskiej doktrynie zauważa się, że wprowadzenie właściwości przemiennej, uprawniającej do wystąpienia z powództwem przed sądem właściwym ze względu na centrum interesów życio-wych poszkodowanego, skutkuje wzrostem ochrony oraz skuteczniejszym dochodzeniem całości roszczeń z tytułu naruszeń dóbr osobistych . A. Najberg-Idczak podkreśla, że „poszkodowany naruszeniem dóbr osobistych w Internecie dysponuje obecnie wyborem pomiędzy dochodzeniem swoich roszczeń w sądzie właściwym według siedziby pozwanego (łac. forum rei), w sądzie właściwym ze względu na umiejscowienie swojego «centrum interesów» lub w sądzie właściwym ze względu na dostępność uwłaczającej mu publikacji internetowej” .
Powyższe zasady znajdują zastosowanie również w przypadku, gdy naruszenie dotyczy bezprawnego przetwarzania danych osobowych, bez względu na to, czy w jego wyniku doszło do zniesławienia czy nawet wyrządzenia szkody. Właśnie w tym zakresie ogólne rozporządzenie o ochronie danych wprowadzi zmiany obejmujące ustalanie sądów właściwych. Dojdzie, moim zdaniem, do zastąpienia powyższych reguł przepisami rozporządzenia ogólnego. W dalszej części postaram się wyjaś-
nić, czy w praktyce oznacza to polepszenie czy też pogorszenie sytuacji prawnej osoby, której dane są przetwarzane.
Jeszcze inną podstawą jurysdykcji szczególnej według zasad ogólnych będzie przypadek powództwa adhezyjnego. Zgodnie z art. 7 pkt 3 rozporządzenia Bruksela I bis osoba, która ma miejsce zamieszkania na terytorium państwa członkowskiego, może zostać pozwana w innym państwie członkowskim w sprawach dotyczących roszczeń cywilnoprawnych o odszkodowanie lub przywrócenie stanu poprzedniego, które wynikają z czynu zagrożonego karą przed sąd, do którego wniesiono akt oskarżenia, jeśli sąd ten może według swojego prawa rozpoznawać roszczenia cywilnoprawne. Chociaż samo rozporządzenie ogólne nie zawiera przepisów karnych, ze względu na brak kompetencji w tym zakresie organów unijnych, to jednak, jak się wydaje, dojdzie do przyjęcia stosownych przepisów karnych w nowej polskiej ustawie o ochronie danych osobowych (tzw. okołorozporządzeniowej), której przygotowanie jest oczekiwane w najbliższym czasie. Należy w związku z tym wskazać, że polskie prawo postępowania cywilnego spełnia główny wymóg art. 7 pkt 3 rozporządzenia Bruksela I bis, ponieważ zawiera przepisy pozwalające polskiemu sądowi karnego rozpoznawać roszczenia cywilnoprawne, włączając w to roszczenia z tytułu popełnienia przestępstwa związanego z niedozwolonych przetwarzaniem danych osobowych.
Ponieważ przetwarzanie danych osobowych może mieć swoje źródło w umowie, istnieje również możliwość skorzystania z podstaw jurysdykcji szczególnej dotyczącej umów (art. 7 pkt 1 rozporządzenia Bruksela I bis) . Na podstawie tych przepisów osoba, która ma miejsce zamieszkania na terytorium państwa członkowskiego, może być pozwana w innym państwie członkowskim w sprawach dotyczących umowy przed sądy miejsca wykonania danego zobowiązania . Przykładem będzie przetwarzanie danych osobowych w związku z realizacją usługi internetowej, polegającej na udostępnieniu danych medycznych pacjenta na terenie danego państwa (tzw. elektroniczna dokumentacja medyczna).
W świetle ogólnego rozporządzenia o ochronie danych istotne jest też wyjaśnienie dopuszczalności zawierania umów okre-ślających sądy właściwe (umów prorogacyjnych) w sprawach związanych z przetwarzaniem danych osobowych. Jedną z naczelnych zasad regulacji jurysdykcyjnych jest możliwość zawarcia umowy określającej właściwość sądów danego państwa do rozpatrzenia sprawy (por. art. 25 rozporządzenia Bruksela I bis). Z rozwiązania tego często korzysta się w regulaminach (warunkach, politykach) serwisów internetowych, za pośrednictwem których dane osobowe są przetwarzane. Zgodnie z rozporządzeniem Bruksela I bis, jeżeli strony niezależnie od ich miejsca zamieszkania uzgodniły, że sąd lub sądy państwa członkowskiego powinny rozstrzygać spór już wynikły albo spór przyszły mogący wyniknąć z określonego stosunku prawnego, to sąd lub sądy tego państwa mają jurysdykcję, chyba, że umowa ta jest nieważna pod względem materialnym, na mocy prawa danego państwa członkowskiego UE.
W świetle dedykowanej regulacji jurysdykcyjnej ogólnego rozporządzenia o ochronie danych wydaje się właściwe ograni-czenie zakresu dopuszczalności zawierania umów jurysdykcyjnych, gdy chodzi o ochronę danych osobowych. Powstaje równocześnie pytanie o to, czy zawarcie jakiejkolwiek umowy jurysdykcyjnej będzie dopuszczalne. Na to pytanie należy udzielić pozytywnej odpowiedzi, z zastrzeżeniem, że umowa taka nie może ograniczać (w stosunku do rozporządzenia ogólnego), lecz jedynie poszerzać dostęp do sądów osobom, których dane są przetwarzane. W tym względzie proponuję wzorować się na regulacji chroniącej konsumentów, która pozwala jedynie na polepszanie jego sytuacji jurysdykcyjnej. Z drugiej strony, ponownie analogicznie jak w przypadku spraw konsumenckich można rozważyć dopuszczenie ograniczenia dostępu do sądów, już po dokonaniu naruszenia, jeśli zgodę na to wyrazi osoba, której dane były przetwarzane sprzecznie z prawem. Zaproponowane rozwiązania wydają się spójne z obecną praktyką tworzenia na potrzeby serwisów internetowych polityk prywatności, jako dokumentów odrębnych od regulaminów, co jest spójne z celami ogólnego rozporządzenia o ochronie danych. Ujednolicenie zasad ochrony w jego regulacjach z pewnością ułatwi konstruowanie takich polityk prywatności. Będą one mogły się odwoływać do samego rozporządzenia, jako podstawowego źródła prawnego pozwalającego na przetwarzanie danych użytkowników i z tego względu znaczenie wyboru sądów właściwych i analogicznie prawa właściwego będzie mieć mniejsze znaczenie. Należy jednak zaznaczyć, że powyższe propozycje interpretacyjne nie znajdują bezpośredniego oparcia w przepisach ogólnego rozporządzenia o ochronie danych, które nie zawiera wyraźnej reguły kolizyjnej, gdy chodzi o dopuszczalność zawierania umów jurysdykcyjnych.
Na koniec należy wyjaśnić szczególną sytuację, gdy osoba, której dane są przetwarzane, występuje równocześnie w roli konsumenta, podlegającego szczególnej ochronie jurysdykcyjnej na podstawie ogólnego rozporządzenia o ochronie danych Bruksela I bis. Analogiczne rozwiązanie wprowadzono w przepisach kodeksu postępowania cywilnego. Przykładem będzie przetwarzanie danych osobowych użytkowników będących konsumentami usług internetowych. Czy w tym przypadku jeden reżim ochronny (konsumencki) ma wyprzeć drugi (o węższym zakresie, wynikającym z ogólnego rozporządzenia o ochronie danych)? Wydaje się, że kwestie te należy oddzielić, w ramach zabiegów kwalifikacji rozgraniczającej, i przyjąć, że dla spraw konsumenckich oraz ochrony prywatności właściwość sądów (jak i prawa właściwego) powinna być ustalana na podstawie odrębnych przepisów kolizyjnych. W większości przypadków nie powinno to mieć praktycznego znaczenia dla wskazania sądu właściwego, ze względu na zastosowanie zbliżonych łączników personalnych, o których jeszcze będzie mowa. W przypadku zobowiązań w relacji z konsumentami oznacza to, że konsument będzie mógł wytoczyć powództwo przeciwko swojemu kontrahentowi, na podstawie przepisów rozporządzenia Bruksela I bis, przed sądem państwa członkowskiego, na którego terytorium kontrahent ten ma miejsce zamieszkania (siedzibę) albo bez względu na miejsce zamieszkania kontrahenta przed sądem miejsca, w którym konsument ma miejsce zamieszkania. Z kolei kontrahent, czyli przedsiębiorca, będzie mógł wytoczyć powództwo przeciwko konsumentowi tylko przed sądami państwa członkowskiego, na którego terytorium konsument ma miejsce zamieszkania. Jurysdykcja w dziedzinie ochrony prywatności konsumenta ze względu na przetwarzanie jego danych osobowych będzie natomiast wyznaczana samodzielnie, co zostanie wyjaśnione w poniższym punkcie.@page_break@
4. Reguły jurysdykcyjne ogólnego rozporządzenia o ochronie danych
W pierwszej kolejności należy przesądzić, czy przepisy jurysdykcyjne ogólnego rozporządzenia o ochronie danych stano-wią przejaw jurysdykcji szczególnej, wyłącznej czy też mają jeszcze inny charakter. Skoro wyłączają jedynie w uregulowanym zakresie ogólne przepisy jurysdykcyjne rozporządzenia Bruksela I bis bądź innych regulacji, a jednocześnie wyraźnie nie wskazano, jak w przypadku spraw konsumenckich, ich autonomicznego charakteru, to należy przyjąć, że są to przepisy ustanawiające jurysdykcję szczególną (przemienną), a nie wyłączną w zakresie przetwarzania danych osobowych. Świadczy o tym ich geneza, jak i wyraźna wskazówka interpretacyjna wynikająca z preambuły rozporządzenia. Nie zastępują zatem całkowicie przepisów ogólnych, lecz jedynie poszerzają dostęp do sądów osobom, których dane są przetwarzane. Przepisy o jurysdykcji szczególnej stanowią wyjątek od zasady właściwości ogólnej sądów i są oparte na istnieniu szczególnie ścisłego związku pomiędzy roszczeniem a sądami miejsca, wskazanymi łącznikami personalnymi ogólnego rozporządzenia o ochronie danych. Związek ten uzasadnia przyznanie jurysdykcji również tym sądom ze względu na prawidłowe administrowanie wymiarem sprawiedliwości oraz sprawną organizację postępowania .
Problematyce jurysdykcji krajowej poświęcony został 145 motyw preambuły rozporządzenia. Wskazano w nim, że w przypadku postępowania przeciwko administratorowi lub podmiotowi przetwarzającemu skarżący powinien mieć możliwość wyboru, do którego sądu chce wnieść skargę: do sądu w państwie członkowskim, w którym administrator lub podmiot przetwarzający posiadają jednostkę lub do sądu w państwie członkowskim, w którym osoba, której dane dotyczą, ma miejsce zamieszkania, jeśli administrator nie jest organem publicznym państwa członkowskiego działającym w ramach wykonywania swoich uprawnień publicznych. Uwagę zwraca błędne tłumaczenie w polskiej wersji językowej preambuły łącznika zwykłego pobytu jako miejsca zamieszkania. Łączniki te należy od siebie odróżnić. Kryterium miejsca zwykłego pobytu jest uznawane za bardziej jednoznaczne niż łącznik miejsca zamieszkania. Przyjmuje się, że osoba fizyczna może mieć tylko jedno miejsce zwykłego pobytu. W przypadku tego kryterium decydujące znaczenie ma fakt przebywania w danym miejscu , co odróżnia je od miejsca zamieszkania, które w istotnym stopniu uwzględnia okoliczności subiektywne w postaci zamiaru przebywania w danym miejscu. Łatwiejsze jest ustalenie zwykłego pobytu dziecka niż jego miejsca zamieszkania .
Co istotne, poprawne tłumaczenie omawianego łącznika pojawia się w przepisach, do których odnosi się powyższy motyw preambuły. Zgodnie z art. 79 ust. 2 ogólnego rozporządzenia o ochronie danych, które stanowi o prawie do skutecznego sądowego środka ochrony prawnej przeciwko administratorowi lub podmiotowi przetwarzającemu, postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu zostaje wszczęte przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.
Na podstawie powyższych przepisów sformułować można następujące zasady:
1) Analizowane przepisy powinny być przedmiotem wykładni autonomicznej, dokonywanej w drodze odwołania się do systematyki i celów ogólnego rozporządzenia o ochronie danych. Dotyczy to w szczególności metody kwalifikacji łącznika, o czym będzie mowa w kolejnym punkcie, lecz także samego zakresu normy jurysdykcyjnej, która ogranicza się wyłącznie do sądowych środków ochrony prawnej oraz odszkodowania.
2) Właściwość sądu przewidziana w ramach ogólnego rozporządzenia o ochronie danych ma charakter jurysdykcji szcze-gólnej (przemiennej). Podlega więc wykładni zawężającej, która nie może wykraczać poza przypadki wyraźnie określone w rozporządzeniu ogólnym. W pozostałym zakresie stosuje się zasady ogólne, w szczególności wynikające z rozporządzenia Bruksela I bis, kodeksu postępowania cywilnego czy też właściwej umowy międzynarodowej.
3) Dla zastosowania przepisów jurysdykcyjnych rozporządzenia ogólnego nie jest konieczne stwierdzenie a priori, że doszło do niedozwolonego zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (czy też właściwych przepisów krajowych uzupełniających rozporządzenie) przetwarzania danych osobowych. Na podstawie doświadczeń judykatury należy stwierdzić, że przy badaniu podstaw jurysdykcyjnych sięgnięcie do merytorycznych kwestii sprawy dotyczy jedynie stwierdzenia, czy powództwo jest takiego typu, iż niezależnie od tego, jak je przyporządkuje i nazwie powód, materiał dowodowy zgromadzony w sprawie pozwala na zakwalifikowanie jej do podstaw jurysdykcyjnych ogólnego rozporządzenia o ochronie danych uzasadniających jurysdykcję sądu polskiego, mając na uwadze właśnie rodzaj (typ) dochodzonej sprawy . Nie chodzi bynajmniej o stwierdzenie, czy rzeczywiście doszło do naruszenia zasad przetwarzania danych osobowych.
4) Przepisy obejmują zarówno powództwa o odszkodowanie, jak i te o charakterze prewencyjnym. Obejmują zatem przy-padek, gdy dopiero może dojść do niedozwolonego przetwarzania danych osobowych, w szczególności zanim dojdzie do powstania szkody .
5) Przepisy nie znajdują zastosowania w przypadku, gdy administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne, co wynika z wyraźnego wyłączenia zawartego w treści rozporządzenia.@page_break@
5. Łączniki personalne
Na potrzeby ustalania jurysdykcji krajowej w ramach ogólnego rozporządzenia o ochronie danych wykorzystano łączniki personalne. Łączniki te nabierają coraz większego znaczenia w dziedzinie prawa kolizyjnego, ze względu na proces dematerializacji obrotu prawnego. W dziedzinie odpowiedzialności pozaumownej następuje odejście od ogólnego łącznika miejsca czynu niedozwolonego (por. art. 7 pkt 2 rozporządzenia Bruksela I bis), czego przejawem jest widoczna w orzecznictwie TS kwalifikacja tego łącznika przy wykorzystaniu kryteriów personalnych, gdy chodzi o naruszenie dóbr osobistych, w szczególności prywatności, jak i w odniesieniu do działalności administratorów i procesorów danych osobowych prowadzonej przy wykorzystaniu Internetu.
Problemem jest odszukanie właściwych łączników na potrzeby handlu elektronicznego , ze względu na aterytorialność środków elektronicznego przekazu. Obecnie przeważa zdanie o zasadności stosowania łączników personalnych w możliwie szerokim stopniu. Wątpliwości te nie dotyczą tylko prawa kolizyjnego, lecz także stosowania konwencji zawierających ujed-nolicone normy prawa materialnego w dziedzinie handlu elektronicznego . Łączniki personalne dotyczące osób fizycznych nawiązują do więzi łączącej osobę fizyczną z danym obszarem prawnym .
Mający coraz większe znaczenie w prawie kolizyjnym łącznik zwykłego pobytu (fran. résidence habituelle, niem. gewöhnlicher Aufenhalt, ang. habitual residence, wł. residenza habituale) rozumiany jest jako miejsce, w którym dana osoba fizyczna zazwyczaj przebywa i w którym ześrodkowane są jej życiowe interesy . Łącznik ten stanowi kryterium autonomiczne dla prawa kolizyjnego. Wydaje się być łącznikiem personalnym o największych zaletach . Wprowadzenie łącznika zwykłego pobytu wynika z rozczarowania łącznikami obywatelstwa oraz miejsca zamieszkania . Chodzi w szczególności o podkreślaną przez A. Mączyńskiego „ucieczkę od łącznika zamieszkania, którego nazwa jest obciążona tyloma znaczeniami” .
W odróżnieniu od obywatelstwa i domicylu osoba fizyczna może mieć tylko jeden zwykły pobyt. W przeciwieństwie zaś do miejsca zamieszkania ustalenie zwyczajnego pobytu opiera się w decydującym stopniu na okolicznościach faktycznych. W. Ludwiczak podkreśla jego cechy obiektywizmu oraz realizmu . Zaletą łącznika zwykłego pobytu jest właśnie zmniejszenie roli intencji, zamiaru pobytu . „Zwykłość” pobytu polega na jego stabilizacji i trwałości, stworzeniu więzi między osobą a danym miejscem. Nie jest jednak konieczne zapewnienie ciągłości . M. Czepelak zauważa, że nie powinno sprawiać trudności ustalenie zwykłego pobytu różnymi dokumentami (potwierdzenia opłat za prąd, wodę, Internet, abonament telefoniczny, ubezpieczenie społeczne i majątkowe) .
W świetle rozporządzenia ogólnego należy przyjąć metodę kwalifikacji autonomicznej i przyjąć, że miejscem zwykłego pobytu osoby przetwarzające dane osobowe jest miejsce, w którym ześrodkowana jest aktywność życiowa danej osoby . Ponieważ zwykły pobyt podlega ocenie faktycznej, a nie prawnej, w konsekwencji, inaczej niż w przypadku domicylu, powinno to skutkować brakiem ryzyka przyjmowania odmiennych interpretacji w świetle systemów prawnych różnych państw. Ustalenie zwykłego pobytu przez sąd nie wymaga badania stanowiska obcego prawa. Na potrzeby rozporządzenia ogólnego łącznik zwykłego pobytu powinien mieć uniwersalne jednolite znaczenie.
Wykorzystanie łącznika zwykłego pobytu w rozporządzeniu nie powinno budzić większych wątpliwości, aczkolwiek symptomatyczne jest błędne polskie tłumaczenie motywu preambuły, który w polskiej wersji językowej mówi o miejscu zamieszkania. Łącznik zwykłego pobytu w coraz większym stopniu zadomawia się w polskim systemie prawnym, wypierając, obarczony wieloznacznością, łącznik miejsca zamieszkania.
Większe trudności może sprawiać kwalifikacja łącznika miejsca położenia jednostki organizacyjnej. Samo przetłumaczenie występującego w oryginalnej wersji językowej pojęcia establishment wzbudziło dyskusję w procesie tłumaczenia rozporządzenia. Nie powinno to dziwić, ponieważ jest to kryterium kluczowe dla stosowania całego rozporządzenia, nie tylko jego przepisów jurysdykcyjnych.
Co ważne, definicji tego pojęcia nie zawiera rozporządzenie ogólne. W preambule pojawia się tylko wskazówka, że pojęcie „jednostka” zakłada skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury. Wskazano ponadto, że forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy spółkę zależną o osobowości prawnej, nie jest w tym względzie czynnikiem decydującym.
W art. 4 pkt 16 ogólnego rozporządzenia o ochronie danych wyjaśniono z kolei, czym jest „główna jednostka organizacyj-na”. Wyjaśniono, że pojęcie to oznacza: a) jeżeli chodzi o administratora posiadającego jednostki w więcej niż jednym pań-stwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii, a jeżeli decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce tego administratora w Unii i jednostka ta ma prawo nakazać wykonanie takich decyzji, to za główną jednostkę uznaje się jednostkę, w której zapadają takie decyzje, b) jeżeli chodzi o podmiot przetwarzający posiadający jednostki w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii, a jeżeli podmiot przetwarzający nie ma centralnej administracji w Unii – jednostka podmiotu przetwarzającego w Unii, w której odbywają się główne czynności przetwarzania w ramach działalności jednostki podmiotu przetwarzającego, w zakresie w jakim podmiot przetwarzający podlega szczegółowym obowiązkom na mocy niniejszego rozporządzenia.
Moim zdaniem, w przypadku przepisów jurysdykcyjnych, pojęcie establishment należałoby przetłumaczyć raczej jako „siedzibę”, ewentualnie jako „miejsce prowadzenia działalności”, przyjmując równocześnie zasadę autonomiczności tego pojęcia na potrzeby stosowania rozporządzenia ogólnego, co oznacza brak związania krajowymi definicjami, w szczególności tym, jak „siedziba” jest rozumiana w polskim prawie cywilnym materialnym czy procesowym.
Potwierdza to fakt, że pojęciem establishment posługiwała już się dyrektywa 95/46/WE o ochronie danych osobowych, a w polskiej ustawie o ochronie danych osobowych przetłumaczono to pojęcie właśnie jako „siedzibę”. O tym, jak należy to pojęcie definiować, wypowiedział się w kilku niedawnych wyrokach TS (zob. poniżej). Oznacza to, że pojęcie siedziby można elastycznie interpretować, uwzględniając też kontekst handlu elektronicznego i przetwarzania danych użytkowników z danego terytorium.
Z drugiej strony, przyjęcie w polskiej wersji językowej rozporządzenia pojęcia „jednostki organizacyjnej” można uzasadnić potrzebą zerwania z dotychczasowymi schematem podejścia terytorialnego w dziedzinie ochrony danych osobowych. Problem w tym, że przy okazji został stworzony nowy łącznik, który zaczyna być wykorzystywany w kolejnych aktach prawnych, czego dowodem jest dyrektywa NIS . Istnieje prawdopodobieństwo, że w dziedzinie cyberprzestrzeni zacznie wypierać łącznik „siedziby”, która, jak już wyżej wskazano, mogłaby być analogicznie interpretowana.
Praktyczne wskazówki dotyczące omawianego łącznika w kontekście ustalania prawa właściwego w zakresie przetwarzania danych osobowych przynosi wyrok TS w sprawie C-191/15, Verein für Konsumenteninformation przeciwko Amazon EU Sàrl . Odnosi się on do przepisów dyrektywy 95/46, lecz zachowuje aktualność również po rozpoczęciu stosowania przepisów ogólnego rozporządzenia o ochronie danych. Warto na marginesie zwrócić uwagę, że pojęcie establishment zostało w najnowszym wyroku TS przetłumaczone jako prowadzenie przez administratora danych działalności gospodarczej na terytorium danego państwa członkowskiego.
Trybunał Sprawiedliwości przyjął, że art. 4 ust. 1 lit. a dyrektywy 95/46 należy interpretować w ten sposób, iż przetwarza-nie danych osobowych dokonywane przez przedsiębiorstwo handlu elektronicznego jest regulowane prawem państwa człon-kowskiego, do którego przedsiębiorstwo to kieruje swoją działalność, jeśli okaże się, że przedsiębiorstwo to przetwarza rozpa-trywane dane w kontekście prowadzenia działalności gospodarczej w tym państwie członkowskim. Ocena, czy ta okoliczność ma miejsce, należy do sądu krajowego.
W sprawie pojęcia „prowadzenia działalności gospodarczej” w rozumieniu art. 4 ust. 1 lit. a dyrektywy 95/46/WE, TS uści-ślił, że rozciąga się ono na jakąkolwiek faktyczną i efektywną działalność, choćby nawet drobną, prowadzoną poprzez stabilne rozwiązanie organizacyjne . Jak zauważył rzecznik generalny w opinii w sprawie Amazon EU, o ile okoliczność, że przedsiębiorstwo administratora danych nie posiada ani filii, ani oddziału w państwie członkowskim, nie wyklucza, że może ono tam prowadzić działalność gospodarczą w rozumieniu art. 4 ust. 1 lit. a dyrektywy 95/46/WE, o tyle nie można stwierdzić takiego prowadzenia działalności gospodarczej na tej tylko podstawie, iż witryna internetowa rozpatrywanego przedsiębiorstwa jest tam dostępna. Należy raczej dokonać oceny stopnia stabilności rozwiązania organizacyjnego, jak i faktycznego charakteru prowadzenia działalności w rozpatrywanym państwie członkowskim .
Co się tyczy, po drugie, tego, czy omawiane przetwarzanie danych osobowych odbywa się „w kontekście” prowadzenia działalności gospodarczej w rozumieniu art. 4 ust. 1 lit. a dyrektywy 95/46/WE, TS przypomniał, że przepis ten wymaga nie tego, aby przetwarzanie danych osobowych było dokonywane „przez” podmiot prowadzący działalność gospodarczą, lecz jedynie „w kontekście prowadzenia przez” niego działalności gospodarczej .
6. Prawo właściwe dla odszkodowania z tytułu sprzecznego z prawem przetwarzania danych osobowych?
Na marginesie rozważań z dziedziny międzynarodowego postępowania cywilnego warto zwrócić uwagę na przepisy rozpo-rządzenia ogólnego poświęcone prawu do odszkodowania i odpowiedzialności (art. 82). W ust. 6 art. 82 wskazano, że postę-powanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa krajowego państwa członkowskiego, o którym mowa w art. 79 ust. 2 rozporządzenia. Pojawia się pytanie, czy przepis ten należy odczytywać jako szczególną normę kolizyjną określającą prawo właściwe dla odszkodowania z tytułu sprzecznego z prawem przetwarzania danych osobowych? Wydaje się, że nie było to celem unijnego ustawodawcy. W przepisie tym chodzi nie o to, jakie prawo jest właściwe, ale jaki sąd jest właściwy. Przepis ten po prostu rozszerza zakres norm jurysdykcyjnych z art. 79 ust. 2 (dotyczące środków prawnych) na powództwa dotyczące odszkodowania. Zatem postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu zostaje wszczęte przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.
Ogólne przepisy kolizyjne dotyczące czynów niedozwolonych zawiera rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 864/2007 z 11.07.2007 r. dotyczące prawa właściwego dla zobowiązań pozaumownych (Rzym II) . Niestety w rozporządzeniu tym zabrakło reguł szczególnych dotyczących wyrządzenia szkody w wyniku naruszenia przepisów o ochronie danych osobowych. Wprost wyłączono „zobowiązania pozaumowne wynikające z naruszenia prawa do prywatności i innych dóbr osobistych, w tym zniesławienie”. W tych przypadkach nie stosuje się więc takich reguł rozporządzenia, jak: 1) właściwość prawa państwa, w którym wyrządzono szkodę; 2) posiłkowa właściwość prawa państwa, w którym obie strony mają miejsce zwykłego pobytu (siedzibę); 3) możliwość zastosowania reguły korekcyjnej; 4) dopuszczalność dokonania wyboru prawa właściwego po powstaniu szkody według rozporządzenia. W grę wchodzi natomiast zastosowanie krajowych regulacji kolizyjnych państwa, którego sąd rozpatruje spór.
Polska ustawa o prawie prywatnym międzynarodowym z 2011 r. zawiera w art. 16 dedykowaną regulację poświęconą dobrom osobistym. Według ust. 1 art. 16 dobra osobiste osoby fizycznej podlegają jej prawu ojczystemu. Zgodnie z ust. 2 art. 16 osoba fizyczna, której dobro osobiste jest zagrożone naruszeniem lub zostało naruszone, może jednak żądać ochrony na podstawie prawa państwa, na którego terytorium nastąpiło zdarzenie powodujące to zagrożenie naruszenia lub naruszenie albo prawa państwa, na którego terytorium wystąpiły skutki tego naruszenia. Nie jest zatem wykluczone, że dana sprawa będzie musiała zostać rozstrzygnięta na podstawie prawa obcego.
Trzeba również wspomnieć o tym, że właściwość prawa dla zobowiązań umownych, w tym także w zakresie klauzul o ochronie danych osobowych, w zakresie, w jakim mają skutek zobowiązaniowy, określa rozporządzenie Parlamentu Euro-pejskiego i Rady (WE) nr 593/2008 z 17.06.2008 r. w sprawie prawa właściwego dla zobowiązań umownych (Rzym I) Rozporządzenie to przewiduje swobodę wyboru prawa właściwego, przy czym ulega ona ograniczeniu w przypadku umów konsumenckich. W braku wyboru prawa zastosowanie znajdują łączniki obiektywne oparte na teorii świadczenia charaktery-stycznego.
Powyższa problematyka zasługuje na to, aby stać się przedmiotem odrębnego opracowania.@page_break@
7. Zawieszenie postępowania
Jak już wcześniej wskazano, rozporządzenie ogólne wprowadza modyfikację w zakresie możliwości zawieszenia postępo-wania przez sąd. Zgodnie z art. 81, jeżeli właściwy sąd państwa członkowskiego UE uzyska informację, że przed sądem w innym państwie członkowskim toczy się postępowanie w tej samej sprawie w odniesieniu do przetwarzania przez tego sa-mego administratora lub ten sam podmiot przetwarzający, kontaktuje się z tym sądem w innym państwie członkowskim, aby potwierdzić istnienie takiego postępowania. Z kolei, jeżeli przed sądem w innym państwie członkowskim toczy się postępowanie w tej samej sprawie w odniesieniu do przetwarzania przez tego samego administratora lub ten sam podmiot przetwarzający, właściwy sąd inny niż sąd, przed którym jako pierwszym wszczęto postępowanie, może zawiesić swoje postępowanie. Jeżeli postępowanie toczy się w I instancji, to sąd inny niż sąd, przed którym jako pierwszym wszczęto postępowanie, może także – na wniosek jednej ze stron – stwierdzić brak swojej jurysdykcji; jeżeli sąd, przed którym jako pierwszym wszczęto postępowanie, ma jurysdykcję względem przedmiotowych spraw, a jego prawo dopuszcza ich połączenie.
W rozporządzeniu Bruksela I bis odmiennie uregulowano powyższą kwestię. Zgodnie z art. 29 dotyczącym zawisłości sprawy, w przypadku spraw wiążących się ze sobą, nie naruszając przepisów art. 31 ust. 2, jeżeli przed sądami różnych państw członkowskich zawisły sprawy o to samo roszczenie między tymi samymi stronami, sąd, przed który wytoczono powództwo później, z urzędu zawiesza postępowanie do czasu stwierdzenia jurysdykcji sądu, przed który najpierw wytoczono powództwo. Jeżeli zostanie stwierdzona jurysdykcja sądu, przed który najpierw wytoczono powództwo, sąd, przed który wytoczono powództwo później, stwierdza brak swojej jurysdykcji na rzecz tego sądu.
8. Wnioski
Wprowadzenie dedykowanych przepisów jurysdykcyjnych świadczy o rosnącym znaczeniu sądowych środków ochrony prawnej, w tym także możliwości odszkodowania za sprzeczne z prawem przetwarzanie danych osobowych na drodze cywil-noprawnej. Stosowanie przepisów jurysdykcyjnych ogólnego rozporządzenia o ochronie danych może jednak napotkać na trudności w polskiej praktyce sądowej. Wynika to z braku klarownego określenia jego relacji do przepisów ogólnych, w szczególności rozporządzenia Bruksela I bis. Przykładem jest pytanie o dopuszczalność zawarcia umowy jurysdykcyjnej ograniczającej dostęp do sądów osobie, której dane są przetwarzane, co jest powszechną praktyką w internetowych wzorcach umownych. Wykorzystanie nowego łącznika miejsca położenia jednostki organizacyjnej będzie również wymagać dodatkowego wysiłku interpretacyjnego, w czym mogą być pomocne dotychczasowe wyroki Trybunału Sprawiedliwości (uwzględniając przyjęte w nich odmienne tłumaczenie pojęcia establishment). Rozporządzenie ogólne stanowi też przejaw procesu rozproszenia przepisów jurysdykcyjnych, co jest zjawiskiem niekorzystnym dla praktyki sądowej.
Summary
International jurisdiction in the light of the General Regulation
on the Protection of Personal Data
This paper contains an analysis of provisions in the field of international civil procedure facilitating access to national courts for individuals in cases involving their personal data processing, which provisions are introduced by Regulation of the European Parliament and of the Council (EU) No 2016/679 of 27 April 2016 on the protection of individuals in relation to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (General Data Protection Regulation) (O.J. EU. L. 2016.119.1). In terms of protection of personal data, these provisions replace the general rules of jurisdiction, in particular those resulting from the Brussels I bis Regulation (Regulation of the European Parliament and of the Council (EU) No 1215/2012). They confer jurisdictional privileges to the victims within the framework of an asymmetric jurisdictional system, similar to the current conflict of laws model protecting the weaker party. Their application in practice may, however, cause a number of problems. The aim of this paper is to explain the main concerns.
Prof. dr hab. Marek Świerczyński
Autor jest profesorem nadzwyczajnym w Katedrze
Prawa Cywilnego i Prawa Prywatnego Międzynarodowego
na Wydziale Prawa i Administracji
Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie.
Artykuł pochodzi z miesięcznika Europejski Przegląd Sądowy 2016/12>>