Europejska Rada Ochrony Danych przyjęła wewnętrzny dokument nr 4/2021 dotyczący kryteriów właściwości terytorialnej organów nadzorczych w celu egzekwowania art. 5 ust. 3 dyrektywy o e-prywatności[1]. Dokument został udostępniony 27 sierpnia 2021 r. przez OneTrust DataGuidance.

Decyzje przyjęte przez krajowe organy nadzorcze właściwe do egzekwowania art. 5 ust. 3 dyrektywy 2002/58/WE pokazały, że terytorialne zastosowanie tej dyrektywy będzie się różnić w zależności od organu nadzorczego, zwłaszcza jeżeli administrator / dostawca usługi ma siedzibę w kilku państwach członkowskich. Celem dokumentu przyjętego przez EROD jest ustalenie wspólnej wykładni właściwości terytorialnej organu nadzorczego właściwego do egzekwowania art. 5 ust. 3 dyrektywy 2002/58/WE bez względu na dokonane przez państwa członkowskie wybory w ramach implementacji dyrektywy 2002/58/WE do krajowego porządku prawnego. To zagadnienie nie zostało omówione w opinii EROD nr 5/2019 w sprawie wzajemnej zależności między dyrektywą o prywatności i łączności elektronicznej a RODO, przyjętej 12 marca 2019 r., w szczególności w zakresie właściwości, zadań i uprawnień organów ochrony danych.

Zgodnie z art. 17 ust. 1 dyrektywy 2002/58/WE państwa członkowskie zostały zobowiązane do wprowadzenia w życie przepisów niezbędnych do wykonania dyrektywy. Natomiast zgodnie z art. 15 ust. 1 dyrektywy 2002/58/WE: „Państwa członkowskie ustanawiają przepisy dotyczące kar, w tym w stosownych przypadkach sankcji karnych, mających zastosowanie w przypadku naruszeń krajowych przepisów przyjętych zgodnie z niniejszą dyrektywą, i podejmują wszelkie niezbędne środki w celu zapewnienia, aby zasady te zostały wdrożone”. Na podstawie tych przepisów każde państwo członkowskie jest zobowiązane do zapewnienia środków niezbędnych do tego, aby cele dyrektywy zostały osiągnięte. W dyrektywie 2002/58/WE nie uregulowano kwestii jej terytorialnego zastosowania.

Jednakże orzecznictwo TSUE dotyczące terytorialnego zastosowania uchylonej dyrektywy 95/46/WE rozstrzyga, w jaki sposób powinno być ono zorganizowane. W wyroku ws. Wirtschaftsakademie Schleswig-Holstein (C-210/16) z dnia 5 czerwca 2018 r. Trybunał wskazał, że organ nadzorczy był uprawniony do wykonywania swoich uprawnień wobec podmiotu z siedzibą na jego terytorium, w ramach którego działalności dokonuje się przetwarzania, nawet jeżeli jednostka odpowiedzialna za zbieranie i przetwarzanie danych osobowych jest usytuowana w innym państwie członkowskim. Jeżeli administrator / dostawca usługi nie ma siedziby w państwie członkowskim, to prawo tego państwa członkowskiego może określać inne kryteria niż siedziba, aby egzekwować prawo krajowe w odniesieniu do administratora / dostawcy usługi. Wynika z tego, że każdy właściwy organ nadzorczy jest uprawniony do egzekwowania prawa krajowego implementującego dyrektywę 2002/58/WE w zakresie, w jakim dotyczy on użytkowników zlokalizowanych w ramach terytorialnej jurysdykcji. Ponadto żadne przepisy implementujące dyrektywę e-Privacy nie mogą uniemożliwiać organowi nadzorczemu innego państwa członkowskiego egzekwowania dyrektywy 2002/58/WE, ponieważ byłoby to niezgodne z jej celem, czyli ochroną podstawowych praw i wolności osób, których dane dotyczą.

Nałożenie kary pieniężnej mogłoby zależeć od prawa krajowego danego państwa członkowskiego. Biorąc pod uwagę, że maksymalne sankcje za naruszenie dyrektywy e-Privacy różnią się w zależności od państwa członkowskiego, sankcje te mogłyby nie być skutecznym środkiem ochrony danych użytkowników ze względu na ryzyko poszukiwania przez administratorów / dostawców usług najkorzystniejszego prawa w danym przypadku (forum shopping). Nie należy natomiast wykluczyć inicjowania przez państwa członkowskie dialogu transgranicznego w celu zharmonizowania kwestii przepływu danych zgodnie z art. 15a ust. 4 dyrektywy ePrivacy[2].

Wnioski

EROD zaproponował kryteria określania właściwości krajowych organów nadzorczych. Jeżeli przetwarzanie jest regulowane wyłącznie przepisami prawa krajowego implementującymi art. 5 ust. 3 dyrektywy 2002/58/WE, to właściwe organy nadzorcze są właściwe do egzekwowania przestrzegania tego przepisu zgodnie z prawem krajowym, gdy:

  • administrator / dostawca usługi ma siedzibę w ramach właściwości terytorialnej danego organu nadzorczego;
  • przetwarzanie odbywa się w ramach czynności tego podmiotu znajdującego się na terytorium objętym właściwością danego organu nadzorczego, nawet jeżeli wyłączna odpowiedzialność za zbieranie i przetwarzanie na terytorium Unii Europejskiej należy do podmiotu znajdującego się w innym państwie członkowskim.

W przypadku braku administratora / dostawcy usług lub jego siedziby we właściwości terytorialnej organu nadzorczego prawo krajowe powinno przewidywać kolejne kryteria egzekwowania przepisów.

W żadnym wypadku podejmowane środki nie powinny:

  • dotyczyć użytkowników znajdujących się we właściwości terytorialnej, dla której dany organ nadzorczy nie jest właściwy;
  • uniemożliwiać innym organom nadzorczym egzekwowania dyrektywy 2002/58/WE.

Więcej informacji: https://www.dataguidance.com/news/eu-edpb-provides-interpretation-territorial-application.

Treść dokumentu w języku angielskim: https://www.dataguidance.com/sites/default/files/document_case_2021-21.pdf.

[1] Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej), Dz. U. UE L z 2002 r. Nr 201, z późn. zm., str. 37; dalej „dyrektywa 2002/58/WE” lub „dyrektywa e-Privacy”.

[2] Artykuł 15a ust. 4: „Właściwe krajowe organy regulacyjne mogą przyjmować środki w celu zapewnienia efektywnej współpracy transgranicznej w zakresie egzekwowania przepisów krajowych przyjętych zgodnie z niniejszą dyrektywą oraz tworzenia zharmonizowanych warunków świadczenia usług obejmujących transgraniczny przepływ danych”.