CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2015:426

OPINIA RZECZNIKA GENERALNEGO

PEDRA CRUZA VILLALÓNA

przedstawiona w dniu 25 czerwca 2015 r.(1)

Sprawa C‑230/14

Weltimmo s.r.o.

przeciwko

Nemzeti Adatvédelmi és Információszabadság Hatóság

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Kúria (Węgry)]

Ochrona danych osobowych – Dyrektywa 95/46 – Artykuł 4 ust. 1 i art. 28 ust. 1, 3 i 6 – Administrator danych mający siedzibę na terytorium innego państwa członkowskiego – Określenie prawa właściwego oraz właściwego organu nadzorczego – Uprawnienia organu nadzorczego – Uprawnienie do nakładania sankcji – Pojęcie „przetwarzania danych”

1. Pytania prejudycjalne przedłożone przez Kúria (węgierski sąd najwyższy) mają swoje źródło w postępowaniu, w którym występują przeciwko sobie Magyar Adatvédelmi és Információszabadság Hatóság (zwany dalej „węgierskim organem ochrony danych”) oraz przedsiębiorstwo z siedzibą na Słowacji, zarządzające stroną internetową pośrednictwa nieruchomości, na której publikowane są ogłoszenia o nieruchomościach położonych na Węgrzech.

2. Niniejsza sprawa zatem ponownie daje Trybunałowi możliwość wypowiedzenia się co do kwestii określenia prawa właściwego do przetwarzania danych na mocy art. 4 ust. 1 lit. a) dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(2), którego wykładni dokonano już w wyroku Google Spain i Google(3). Dodatkowo w niniejszej sprawie pojawiają się nowe kwestie zarówno w zakresie określenia właściwego organu nadzorczego, jak i krajowego prawa mającego zastosowanie przez ten organ oraz jego uprawnień, w szczególności jeżeli chodzi o uprawnienia do nakładania sankcji.

I – Ramy prawne

A – Prawo Unii

3. Dyrektywa 95/46 ustanawia różne kryteria dla określenia prawa właściwego w przypadku przetwarzania danych osobowych. Motyw 18 aktu stanowi, że „[…] aby nie dopuścić do pozbawienia jednostek ochrony, do której mają prawo na mocy niniejszej dyrektywy, wszelkie przetwarzanie danych osobowych we Wspólnocie musi być przeprowadzane zgodnie z ustawodawstwem jednego z państw członkowskich; w związku z tym przetwarzanie danych przeprowadzane na odpowiedzialność administratora danych, który prowadzi działalność gospodarczą na terenie państwa członkowskiego, powinno być regulowane przez ustawodawstwo tego państwa”.

4. Z drugiej strony motyw 19 dyrektywy 95/46 podkreśla, że „[…] prowadzenie działalności gospodarczej na terytorium państwa członkowskiego zakłada faktyczne i rzeczywiste prowadzenie działań poprzez stabilne rozwiązania [organizacyjne]; forma prawna prowadzonej działalności gospodarczej, niezależnie czy jest to oddział lub filia posiadająca osobowość prawną, nie jest w tym względzie czynnikiem decydującym […]”. Ten sam motyw wskazuje, że „w przypadku ustanowienia jednego administratora danych na terytorium kilku państw członkowskich, szczególnie w postaci filii, musi on zapewnić, w celu uniknięcia obejścia przepisów krajowych, że każda z prowadzonych działalności gospodarczych będzie spełniać obowiązki wynikające z prawa krajowego”.

5. Artykuł 4 ust. 1 lit. a) dyrektywy 95/46, przepis znajdujący zastosowanie w niniejszym postępowaniu, regulujący prawo krajowe właściwe w odniesieniu do przetwarzania danych, stanowi:

„1. Każde państwo członkowskie stosuje, w odniesieniu do przetwarzania danych osobowych, przepisy prawa krajowego przyjmowane na mocy niniejszej dyrektywy wówczas, gdy:

a) przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium państwa członkowskiego; jeżeli ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku państw członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw wywiązuje się z obowiązków przewidzianych w odpowiednich przepisach prawa krajowego;

[…]”.

6. Artykuł 28, przepis odnoszący się do organów nadzorczych w zakresie ochrony danych, stanowi co następuje w ust. 1, 3, 4, 6:

„1. Każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialnych za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy.

Organy te postępują w sposób całkowicie niezależny przy wykonywaniu powierzonych im funkcji.

[…]

3. Każdy organ jest w szczególności wyposażony w:

– uprawienia dochodzeniowe, jak np. prawo dostępu do danych stanowiących przedmiot operacji przetwarzania danych oraz prawo gromadzenia wszelkich informacji potrzebnych do wykonywania jego funkcji nadzorczych;

– skuteczne uprawnienia interwencyjne, jak np. prawo do wyrażania opinii przed przystąpieniem do operacji przetwarzania danych zgodnie z art. 20, oraz zapewnienia odpowiedniej publikacji swoich opinii, zarządzania blokady, usunięcia lub zniszczenia danych, nakładania czasowego lub ostatecznego zakazu przetwarzania danych, ostrzegania lub upominania administratora danych, lub też prawo kierowania sprawy do parlamentów narodowych lub innych instytucji politycznych;

– prawo pozywania w przypadku naruszenia krajowych przepisów przyjętych zgodnie z niniejszą dyrektywą lub powiadomienie organów sądowych o takim naruszeniu.

Od decyzji organu nadzorczego, co do którego zgłaszane są zastrzeżenia, przysługuje odwołanie do właściwego sądu.

4. Każdy organ nadzorczy rozpatruje skargi zgłaszane przez dowolną osobę lub przez stowarzyszenie ją reprezentujące, odnośnie do ochrony jej praw i wolności w zakresie przetwarzania danych osobowych. Zainteresowana osoba zostanie poinformowana o wyniku sprawy.

Każdy organ nadzorczy w szczególności rozpatruje skargi dotyczące kontroli legalności przetwarzania danych, zgłaszane przez dowolną osobę, kiedy mają zastosowanie krajowe przepisy przyjęte zgodnie z art. 13 niniejszej dyrektywy.

[…]

6. Każdy organ nadzorczy jest właściwy, niezależnie od krajowych przepisów dotyczących danego przypadku przetwarzania danych, do wykonywania na terytorium państwa członkowskiego uprawnień powierzonych mu zgodnie z ust. 3. Do każdego organu można się zwrócić z żądaniem wykonania jego uprawnień przez odpowiedni organ innego państwa członkowskiego.

Organy nadzorcze współpracują ze sobą w zakresie koniecznym do wykonywania swoich obowiązków, zwłaszcza poprzez wymianę wszelkich przydatnych informacji.

[…]”.

B – Prawo węgierskie

7. Ustawa CXII z 2011 r. o prawie samodzielnego decydowania o wykorzystaniu informacji i wolności informacji (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011, zwana dalej „ustawą Info”) to akt, za pomocą którego dokonano transpozycji do prawa krajowego dyrektywy 95/46.

8. Artykuł 2 ustawy Info stanowi, co następuje:

„1) Zakres stosowania niniejszej ustawy obejmuje wszelkie przetwarzanie i czynności techniczne przetwarzania danych dokonywane na terytorium Węgier dotyczące danych osób fizycznych oraz danych istotnych dla interesu publicznego lub danych dostępnych ze względów interesu publicznego.

2) Niniejsza ustawa ma zastosowanie zarówno do przetwarzania, jak i do czynności technicznych przetwarzania danych niezależnie od tego, czy są dokonywane w całości lub w części w sposób zautomatyzowany, czy też ręcznie.

3) Przepisy niniejszej ustawy stosuje się, jeżeli administrator danych przetwarzający dane osobowe poza terytorium Unii Europejskiej zleca czynności techniczne przetwarzania danych osobie wykonującej czynności techniczne w zakresie przetwarzania danych, która ma siedzibę, zakład, oddział, miejsce zamieszkania lub rezydencję na terytorium Węgier, lub wykorzystuje jakiekolwiek środki znajdujące się na tym terytorium, o ile środki te nie są wykorzystywane wyłącznie do celów tranzytu przez terytorium Unii Europejskiej. Taki administrator danych powinien wyznaczyć przedstawiciela na terytorium Węgier”.

9. Z kolei art. 3 ustawy Info stanowi, że do celów stosowania tej ustawy:

„9) administrator danych (»adatkezelő«) oznacza osobę fizyczną lub prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, która samodzielnie lub wspólnie z innymi podmiotami określa cele przetwarzania danych, podejmuje decyzje dotyczące tego przetwarzania (włącznie z używanymi w tym celu środkami) i wykonuje je samodzielnie lub za pośrednictwem osoby wykonującej czynności techniczne w zakresie przetwarzania danych (»adatfeldolgozó«);

10) przetwarzanie danych (»adatkezelés«) oznacza każdą operację lub zestaw operacji dokonywanych na danych, niezależnie od wykorzystanych metod, w szczególności gromadzenie, rejestrację, porządkowanie, przechowywanie, modyfikację, wykorzystywanie, konsultowanie, przekazywanie, publikację, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie a także uniemożliwianie ponownego wykorzystania danych, rejestrowanie fotografii, dźwięków lub obrazów lub rejestrowanie cech fizycznych umożliwiających identyfikację osób (np. odcisków palców lub dłoni, próbek DNA lub obrazów tęczówki oka);

11) przekazywanie danych oznacza przedstawienie danych do dyspozycji określonej osoby trzeciej;

[…]

17) czynności techniczne w zakresie przetwarzania danych (»adatfeldolgozás«) oznaczają wykonywanie zadań technicznych dotyczących operacji przetwarzania danych, niezależnie od metod i środków wykorzystanych do zrealizowania tych operacji, jak i miejsca, w jakim się odbywają, pod warunkiem że zadania techniczne dotyczą danych;

18) osoba wykonująca czynności techniczne w zakresie przetwarzania danych (»adatfeldolgozó«) oznacza osobę fizyczną lub prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, która na podstawie umowy – włączając w to umowy zawarte z mocy ustawy – dokonuje czynności technicznych w zakresie przetwarzania danych;

[…]”.

II – Okoliczności oraz postępowanie w sprawie głównej

10. Niniejsze pytanie prejudycjalne zostało zadane przy okazji skargi kasacyjnej wniesionej do Kúria od wyroku Fővárosi Közigazgatási és Munkaügyi Bíróság (stołecznego sądu ds. administracyjnych i społecznych), w postępowaniu administracyjnosądowym dotyczącym ochrony danych, toczącym się pomiędzy spółką Weltimmo s.r.o. (zwaną dalej „Weltimmo”) a węgierskim organem ochrony danych.

11. Weltimmo to spółka z siedzibą na Słowacji, która zarządza stroną internetową poświęconą pośrednictwu nieruchomości. Jej działalność polega na zarządzaniu wskazaną stroną internetową, na której publikowane są ogłoszenia dotyczące nieruchomości mieszczących się na Węgrzech. Ogłoszenia są bezpłatne przez jeden miesiąc, a następnie stają się płatne. Duża liczba ogłoszeniodawców zwróciła się za pośrednictwem poczty elektronicznej o skasowanie zamieszczonych przez nich ogłoszeń, a także ich danych osobowych, z uwagi na to, że nie chcieli przejść po upływie pierwszego miesiąca w tryb usługi płatnej. Weltimmo nie spełniła tych żądań i następnie zafakturowała usługi. W braku uiszczenia faktur skarżąca przekazała dane osobowe osób zamieszczających ogłoszenia agencjom ściągania wierzytelności.

12. W wyniku skarg składanych przez ogłoszeniodawców, węgierski organ ochrony danych uznał zarówno swoją kompetencję, jak również właściwość prawa krajowego (na mocy art. 3 ust. 10 ustawy Info zbieranie danych stanowi przetwarzanie danych) i nałożył sankcję w wysokości 10 mln HUF. Decyzja ta została zaskarżona przez Weltimmo do stołecznego sądu ds. administracyjnych i społecznych, który co prawda nie zakwestionował właściwości organu ochrony danych oraz prawa właściwego, jednak uchylił decyzję administracyjną z uwagi na brak wystarczającego wyjaśnienia niektórych podnoszonych okoliczności.

13. W skardze kasacyjnej Weltimmo wnosi m.in. o uznanie, że nie jest konieczne dalsze wyjaśnianie okoliczności, gdyż zgodnie z art. 4 ust. 1 lit. a) dyrektywy 95/46 węgierski organ ochrony danych nie jest właściwy do prowadzenia postępowania i stosowania prawa węgierskiego do dostawcy usług mającego siedzibę w innym państwie członkowskim i wskazuje w szczególności w tym względzie, że na mocy art. 28 ust. 6 dyrektywy 95/46 organ ten powinien był zwrócić się do swojego słowackiego odpowiednika, aby ten podjął działania przeciwko skarżącej.

14. Węgierski organ ochrony danych twierdził w postępowaniu głównym, w celu uzasadnienia swej kompetencji oraz właściwości ustawodawstwa węgierskiego, że Weltimmo dysponuje „węgierską osobą odpowiedzialną za kontakty”, tj. jednym ze swych właścicieli, narodowości węgierskiej, który reprezentował ją zarówno w postępowaniu administracyjnym, jak i w krajowym postępowaniu sądowym. Równocześnie wskazuje, że właściciele Weltimmo są węgierskimi rezydentami. W każdym razie organ ten uważa, że art. 28 ust. 6 dyrektywy 95/46 przyznaje mu kompetencję i to niezależnie od prawa właściwego.

III – Pytania prejudycjalne oraz postępowanie przed Trybunałem

15. W tym kontekście, uznając, że właściwe przepisy dyrektywy 95/46 nie są wystarczająco jasne, Kúria przedstawił w postanowieniu z dnia 22 kwietnia 2014 r., które wpłynęło do Trybunału w dniu 12 maja 2014 r., następujące pytania prejudycjalne:

„1) Czy art. 28 ust. 1 dyrektywy 95/46/WE […] należy interpretować w ten sposób, że uregulowanie krajowe państwa członkowskiego może być stosowane na jego terytorium w odniesieniu do prowadzącego działalność gospodarczą wyłącznie w innym państwie członkowskim administratora danych, który zarządza stroną internetową pośrednictwa nieruchomości i publikuje między innymi informacje o nieruchomościach znajdujących się na terytorium pierwszego państwa członkowskiego, a właściciele nieruchomości przekazują swe dane osobowe do służącego do przechowywania i czynności technicznych w zakresie przetwarzania danych środka (serwera), który jest własnością osoby zarządzającej stroną internetową i znajduje się w innym państwie członkowskim?

2) Czy art. 4 ust. 1 lit. a) dyrektywy o ochronie danych, w świetle jej motywów 18–20 i art. 1 ust. 2 oraz art. 28 ust. 1 tej dyrektywy należy interpretować w ten sposób, że Magyar Adatvédelmi és Információszabadság Hatóság [węgierski organ ochrony danych] nie może stosować węgierskiej ustawy o ochronie danych, jako prawa krajowego, wobec prowadzącej działalność gospodarczą wyłącznie w innym państwie członkowskim osoby zarządzającej stroną internetową pośrednictwa nieruchomości, nawet jeżeli publikuje ona między innymi informacje o znajdujących się na Węgrzech nieruchomościach, których właściciele przekazali prawdopodobnie z terytorium Węgier dane dotyczące swych nieruchomości do służącego do przechowywania i czynności technicznych przetwarzania danych środka (serwera), który jest własnością osoby zarządzającej stroną internetową i znajduje się w innym państwie członkowskim?

3) Czy do celów interpretacji ma znaczenie okoliczność, że usługa świadczona przez administratora danych, który zarządza stroną internetową, jest skierowana na terytorium innego państwa członkowskiego,?

4) Czy do celów interpretacji ma znaczenie okoliczność, że dane dotyczące nieruchomości znajdujących się na terytorium innego państwa członkowskiego i dane osobowe właścicieli zostały faktycznie pobrane z terytorium tego innego państwa członkowskiego?

5) Czy do celów interpretacji ma znaczenie okoliczność, że dane osobowe związane ze wspomnianymi nieruchomościami są danymi osobowymi obywateli innego państwa członkowskiego?

6) Czy do celów interpretacji ma znaczenie okoliczność, że właściciele przedsiębiorstwa z siedzibą na Słowacji mają miejsce zamieszkania na Węgrzech?

7) Jeżeli z odpowiedzi udzielonych na powyższe pytania wyniknie, że węgierski organ ochrony danych może prowadzić postępowanie, lecz nie może stosować prawa krajowego, ale musi stosować prawo państwa członkowskiego, w którym prowadzona jest działalność gospodarcza, czy art. 28 ust. 6 dyrektywy o ochronie danych należy interpretować w ten sposób, że węgierski organ ochrony danych może tylko wykonywać uprawnienia przewidziane w art. 28 ust. 3 dyrektywy o ochronie danych zgodnie z uregulowaniem państwa członkowskiego, w którym prowadzona jest działalność gospodarcza i że zatem nie może nałożyć grzywny?

8) Czy pojęcie »adatfeldolgozás« [czynności techniczne w zakresie przetwarzania danych] użyte zarówno w art. 4 ust. 1 lit. a), jak i w art. 28 ust. 6 [węgierskiej wersji językowej] dyrektywy o ochronie danych jest identyczne w terminologii wspomnianej dyrektywy z pojęciem »adatkezelés« [przetwarzania danych]?”.

16. Uwagi na piśmie przedłożyły rząd węgierski, rząd słowacki, rząd Zjednoczonego Królestwa, węgierski organ ochrony danych oraz Komisja. Na rozprawie, która odbyła się w dniu 12 marca 2015 r., stawiły się rząd węgierski, rząd słowacki, rząd polski, węgierski organ ochrony danych oraz Komisja.

IV – Analiza

17. Poszczególne pytania prejudycjalne wniesione przez Kúria dotyczą dwóch problemów, które choć zostały przedstawione w sposób powiązany, to zasługują na odrębne zbadanie, co znalazło również odzwierciedlenie w uwagach przedstawionych na piśmie oraz ustnie w trakcie postępowania przed Trybunałem, tj. prawa właściwego do przetwarzania danych i określenia właściwego organu nadzorczego. Z tego względu strukturę mojej argumentacji podzielę zasadniczo na dwie części. Na pierwszym miejscu zajmę się kwestią prawa właściwego do przetwarzania danych, a zatem kwestią „prowadzenia działalności gospodarczej”, analizując wspólnie pytania od pierwszego do szóstego. W drugiej kolejności zbadam kwestię określenia właściwego organu nadzorczego oraz jego kompetencji, rozważając przy tym możliwość rozdziału między właściwym organem nadzorczym oraz prawem właściwym (pytanie siódme). Na koniec zajmę się kwestią terminologiczną przedstawioną w ósmym pytaniu prejudycjalnym.

A – W przedmiocie prawa właściwego do przetwarzania danych oraz w przedmiocie pojęcia prowadzenia działalności gospodarczej (pytania od pierwszego do szóstego)

18. W ramach pytań prejudycjalnych od pierwszego do szóstego, które należy analizować wspólnie, Kúria pragnie dowiedzieć się zasadniczo, czy art. 4 ust. 1 lit. a) oraz art. 28 ust. 1 dyrektywy 95/46 można interpretować w ten sposób, że w okolicznościach takich jak w sprawie głównej przepisy te zezwalają na stosowanie prawa węgierskiego dotyczącego ochrony danych, jak również na to, by to węgierski organ ochrony danych stosował wskazane prawo do zarządzającego stroną internetową prowadzącego działalność gospodarczą wyłącznie w innym państwie członkowskim. W tym względzie Kúria zapytuje dodatkowo o wpływ szeregu okoliczności, takich jak to, że usługi tego przedsiębiorstwa skierowane są na terytorium innego państwa członkowskiego, miejsce, z którego pobrano dane dotyczące nieruchomości, przynależność państwowa zainteresowanych osób lub fakt, że właściciele przedsiębiorstwa mają miejsce zamieszkania na Węgrzech.

19. Kúria w dwóch pierwszych pytaniach odwołał się zarówno do art. 28 ust. 1, jak też do art. 4 ust. 1 lit. a) dyrektywy. Jednak w celu udzielenia odpowiedzi na wniesione pytania uważam, że jak najbardziej możliwe jest pominięcie analizy zakresu pierwszego z wyżej wymienionych przepisów. Artykuł 28 ust. 1 stwierdza bowiem jedynie, iż „każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialnych za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy”. Uważam, iż przepis ten nie ma rozstrzygającego znaczenia dla celów określenia prawa właściwego. Po pierwsze, z punktu widzenia systemowego, art. 28 znajduje się w rozdziale VI dyrektywy, regulującym kwestię organów nadzorczych oraz grupy roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, a nie kwestii prawa właściwego. Po drugie, dosłowne brzmienie art. 28 ust. 1 dyrektywy nie zawiera żadnego dodatkowego kryterium dla określenia prawa właściwego do przetwarzania danych. Podsumowując, przepis ten nie zawiera jakiegokolwiek elementu, którego wykładnia pozwalałaby na przyjęcie odmiennej odpowiedzi na pytanie dotyczące określenia prawa właściwego niż ta wynikająca z zastosowania kryteriów wymienionych w art. 4 dyrektywy, który reguluje właśnie konkretnie kwestię prawa właściwego.

20. Koncentrując się teraz na art. 4 ust. 1 lit. a) dyrektywy, należy na początku wskazać, że zarówno uwagi przedstawione w trakcie rozprawy, jak też w trakcie pisemnego etapu postępowania są zgodne w zakresie, w jakim podkreślają znaczenie przepisu w kwestii udzielenia odpowiedzi na pytania dotyczące prawa właściwego, jak również szczególną wagę ustalenia miejsca prowadzenia działalności gospodarczej przez Weltimmo.

21. Problematyka prawa właściwego w sytuacjach transgranicznych przetwarzania danych stanowi od dziesięcioleci kwestię sporną w środowisku międzynarodowym(4). Artykuł 4 dyrektywy regulujący kwestię określenia właściwego prawa krajowego jest jak do tej pory pierwszym przepisem, za pomocą którego udało się ustanowić zasadę określania prawa właściwego w tym względzie(5). Omawiany przepis wskazuje różne kryteria ustalania, czy właściwe jest prawo krajowe przyjęte w celu transpozycji dyrektywy, i definiuje przez to w sposób pośredni (poprzez wskazanie, czy przepisy krajowe są właściwe) terytorialny zakres stosowania samej dyrektywy.

22. Szczególnie istotny w sytuacjach, w których ma znaczenie kwestia tego, prawo którego państwa członkowskiego Unii jest właściwe, jest zatem art. 4 ust. 1 lit. a) dyrektywy 95/46, stanowiący, że „każde państwo członkowskie stosuje, w odniesieniu do przetwarzania danych osobowych, przepisy prawa krajowego przyjmowane(6) na mocy niniejszej dyrektywy wówczas, gdy: a) przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium państwa członkowskiego”.

23. Artykuł 4 ust. 1 lit. a) spełnia zatem podwójną funkcję. Z jednej strony umożliwia zastosowanie prawa Unii za pośrednictwem prawa jednego z jej państw członkowskich, jeżeli przetwarzanie danych odbywa się wyłącznie „w kontekście” prowadzenia na ich terytorium działalności gospodarczej i to nawet, gdy „właściwe” przetwarzanie danych odbywa się w państwie trzecim (jak w sprawie Google Spain i Google(7)). Z drugiej strony przepis ten pełni funkcję przepisu, który określa, prawo którego państwa członkowskiego jest właściwe (co jest kwestią sporną w niniejszym postępowaniu). W tym drugim przypadku art. 4 ust. 1 lit. a) dyrektywy stanowi przepis, który określa prawo właściwe, jako przepis kolizyjny pomiędzy ustawodawstwami różnych państw członkowskich.

24. W tym względzie należy podkreślić, że sąd krajowy formułuje swoje pytania w związku z zarządzającym stroną internetową, poświęconą ogłoszeniom dotyczącym nieruchomości, który prowadzi działalność gospodarczą wyłącznie w innym państwie członkowskim, czemu jednak zaprzecza węgierski organ nadzorczy. Zjednoczone Królestwo uważa za oczywiste, że należy przyjąć, iż prawem właściwym w niniejszej sprawie powinno być prawo państwa członkowskiego, w którym prowadzona jest działalność gospodarcza, tj. w tym przypadku Słowacji, a organ węgierski pozbawiony jest możliwości stosowania przepisów swego własnego prawa krajowego. Podobnie Komisja zwraca uwagę na okoliczność, iż niezależnie od tego, że można zaakceptować ewentualnie stosowanie prawa węgierskiego, gdyby przyjąć, że skarżący również prowadzi działalność gospodarczą na terytorium węgierskim, to Kúria wskazywał przecież, że w tym przypadku przedsiębiorstwo prowadzi działalność gospodarczą wyłącznie w innym państwie członkowskim.

25. W tym względzie, wychodząc poza ocenę stanu faktycznego dotyczącego faktycznego miejsca prowadzenia działalności gospodarczej zawartą w pytaniach prejudycjalnych, można uznać, że pytania od trzeciego do szóstego wniesione przez Kúria pozwalają zgadywać, iż istnieje pewna niepewność po stronie sądu odsyłającego w związku z pojęciem prowadzenia działalności gospodarczej w rozumieniu dyrektywy, w którym to przypadku nie chodzi o pojęcie wyłącznie formalne. Z tego względu uznaję, że użyteczna odpowiedź na pytania od pierwszego do szóstego wymaga określenia kryteriów pozwalających stwierdzić, czy ma miejsce przetwarzanie danych, które odbywało się „w kontekście prowadzenia przez administratora danych działalności gospodarczej” na terytorium węgierskim w rozumieniu art. 4 ust. 1 lit. a) dyrektywy.

26. W celu określenia zatem w niniejszej sprawie, czy prawem właściwym jest prawo węgierskie, czy też przeciwnie – prawo słowackie, koniecznym byłoby przeprowadzenie dwuetapowej analizy przy zastosowaniu metody przyjętej w wyroku Google Spain i Google(8). Tym samym tego trzeba po pierwsze wyjaśnić, czy Weltimmo prowadziła działalność gospodarczą na terytorium Węgier, a po drugie, czy przetwarzanie danych odbywało się w ramach prowadzenia tej działalności gospodarczej. Mimo to należy zaznaczyć, że w okolicznościach niniejszej sprawy w odróżnieniu od sprawy Google Spain i Google, nie jest kwestią sporną, czy przetwarzanie danych odbywało się w „kontekście prowadzenia działalności gospodarczej”. Kwestią decydującą jest właśnie istnienie albo też nie działalności gospodarczej na Węgrzech lub Słowacji. Z tego względu w opinii skoncentruję się zasadniczo na pierwszym etapie analizy.

27. W tej kwestii rząd węgierski wskazywał w swych uwagach przedstawionych na piśmie, że różne wersje językowe tego przepisu wspierają wykładnię pojęcia działalności gospodarczej, która może się nie ograniczać wyłącznie do odwołania do siedziby w rozumieniu prawa handlowego. Rząd słowacki, również wskazując na nieformalistyczne pojęcie prowadzenia działalności gospodarczej, podkreśla, że należy w tym kontekście odnieść się do orzecznictwa Trybunału dotyczącego swobody przedsiębiorczości. Równocześnie węgierski organ ochrony danych opowiada się za koncepcją prowadzenia działalności gospodarczej, w ramach której nie ma decydującego znaczenia forma prawna oraz wskazuje, że działalność gospodarcza może przyjąć postać przedstawiciela Weltimmo na Węgrzech, tj. w tym przypadku S. Benkö. Osoba ta faktycznie reprezentowała przedsiębiorstwo w postępowaniu administracyjnym i sądowym w pierwszej instancji, pozostawała w kontakcie z osobami, których problem dotyczył i które składały skargi, i jest wpisana do słowackiego rejestru handlowego pod węgierskim adresem. Dodatkowo organ podkreślał w trakcie rozprawy, że Weltimmo posiada skrzynkę pocztową na Węgrzech w celu prowadzenia bieżących spraw, oraz, iż po dokonaniu nieformalnych konsultacji ze słowackim organem ochrony danych, tenże potwierdził brak faktycznej działalności na Słowacji ze strony przedsiębiorstwa. Wyłącznie rząd polski kładł nacisk w uwagach przedstawionych w trakcie rozprawy na konieczność brania pod uwagę faktu rejestracji spółki w państwie członkowskim jako jedynego elementu o charakterze obiektywnym i sprawdzalnym.

28. Poczyniwszy powyższe uwagi, należy obowiązkowo odwołać się do motywu 19 dyrektywy 95/46, który stanowi podstawowy element interpretacyjny dla określenia treści pojęcia prowadzenia działalności gospodarczej w rozumieniu samej dyrektywy. Motyw ten wskazuje bowiem na elastyczną koncepcję pojęcia, odbiegającą od podejścia formalnego, zgodnie z którym przedsiębiorstwo prowadzi działalność gospodarczą wyłącznie w miejscu, w którym jest zarejestrowane. Zatem po pierwsze, wyżej wymieniony motyw zawiera kryterium faktyczności oraz element stałości, wskazując, że „prowadzenie działalności gospodarczej na terytorium państwa członkowskiego zakłada faktyczne i rzeczywiste prowadzenie działań poprzez stabilne rozwiązania [organizacyjne] […].” Po drugie, dopuszcza znaczny stopień elastyczności, stwierdzając, że „forma prawna prowadzonej działalności gospodarczej, niezależnie czy jest to oddział lub filia posiadająca osobowość prawną, nie jest w tym względzie czynnikiem decydującym”.

29. Wskazana koncepcja pojęcia działalności gospodarczej jest zgodna z wykładnią, jaką pojęcie to uzyskało w orzecznictwie Trybunału Sprawiedliwości w innych obszarach prawa Unii. W szczególności zgodnie z utrwalonym orzecznictwem: „pojęcie przedsiębiorczości w rozumieniu postanowień traktatu dotyczących swobody przedsiębiorczości oznacza faktyczne wykonywanie działalności gospodarczej poprzez stała placówkę w tym państwie na czas nieokreślony”(9), co wymaga „rzeczywistego utworzenia danej spółki w przyjmującym państwie członkowskim i faktyczne wykonywanie w nim działalności gospodarczej”(10).

30. Z drugiej strony opinia 8/2010 grupy roboczej ds. ochrony danych powołanej na mocy art. 29 (zwanej dalej „Grupą Roboczą Artykułu 29”)(11) odwołuje się do interpretacji pojęcia działalności gospodarczej jako łącznika dla celów podatkowych w zakresie podatku VAT(12). Orzecznictwo Trybunału w tej kwestii jest szczególnie interesujące, jako że pojęcie prowadzenia działalności gospodarczej stanowi łącznik w celu określenia podlegania danemu krajowemu prawu podatkowemu, oraz zgłębia pojęcie stałego miejsce prowadzenia działalności, które „[…]powinno charakteryzować się wystarczającą stałością oraz odpowiednią strukturą w zakresie zaplecza personalnego i technicznego, by umożliwić mu odbiór i wykorzystywanie usług świadczonych do własnych potrzeb tego stałego miejsca prowadzenia działalności gospodarczej”(13). Dodatkowo pojęcie działalności gospodarczej występujące w ramach konwencji rzymskiej(14), jak i w konwencji brukselskiej(15) jest również przejawem koncepcji nieformalistycznej(16).

31. Niezależnie od oczywistych różnic dotyczących kontekstu i celu między dziedzinami, w które wpisuje się orzecznictwo Trybunału we wspomnianych dziedzinach a interesującą nas sprawą, istotne jest w każdym razie, że prawo Unii, w różnych obszarach, kładzie nacisk na koncepcję pojęcia prowadzenia działalności gospodarczej opierającą się na faktycznym wykonywaniu działalności gospodarczej oraz pewnym stopniu stabilności, co współgra ze wskazówkami, które znajdują odzwierciedlenie również w motywie 19 dyrektywy 95/46.

32. Z drugiej strony, biorąc pod uwagę szczególny cel dyrektywy 95/46, określony w art. 1 ust. 1 jako zobowiązanie, aby „chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych”, uważam, że należy interpretować zarówno stopień stabilności rozwiązania organizacyjnego, jak również faktyczny charakter wykonywania działalności z uwzględnieniem szczególnego charakter rozpatrywanej działalności gospodarczej oraz świadczenia rozpatrywanych usług.

33. Zatem jak podnoszą węgierski organ ochrony danych oraz rząd słowacki, równocześnie zgodnie z kryteriami wskazanymi przez Grupę Roboczą Artykułu 29(17), pojedynczy przedstawiciel wystarcza, aby uznać, że w grę wchodzi stabilne rozwiązanie organizacyjne, jeżeli działa on z wystarczającym stopniem stabilności z uwagi na dysponowanie niezbędnymi środkami do świadczenia konkretnych usług, o które chodzi, w danym państwie członkowskim.

34. Jak bowiem wskazał rzecznik generalny N. Jääskinen w opinii przedłożonej w sprawie Google Spain i Google, model biznesowy danego podmiotu należy uwzględnić przy ocenie warunków wskazanych w art. 4 dyrektywy 95/46(18). Z tego względu konieczne jest w tym miejscu wzięcie pod uwagę szczególnych cech przedsiębiorstw działających wyłącznie za pośrednictwem Internetu, których model biznesowy prowadzi do relatywizacji pojęcia trwałego fizycznego rozwiązania organizacyjnego oraz warunkuje też siłę zasobów zarówno ludzkich jak i materialnych. W określonych okolicznościach trwale obecny przedstawiciel, wyposażony w nic więcej niż przenośny komputer, może bowiem stanowić wystarczającą strukturę do wykonywania działalności faktycznej, rzeczywistej oraz o odpowiednim stopniu trwałości. W świetle powyższych uwag należy przy ocenianiu zasobów ludzkich i technicznych uwzględnić specyfikę przedsiębiorstw, które zajmują się oferowaniem usług za pośrednictwem Internetu, przy wzięciu pod uwagę szczególnych okoliczności każdej konkretnej sprawy.

35. Wyjątkowy charakter działalności gospodarczej świadczonej za pośrednictwem Internetu został już bowiem wzięty pod uwagę w celu zdefiniowania pojęcia prowadzenia działalności gospodarczej w innych aktach prawa Unii. W szczególności dyrektywa w sprawie handlu elektronicznego(19) stanowi w motywie 19, że „[…] miejsce prowadzenia działalności zawodowej przez przedsiębiorstwo dostarczające usługi poprzez Internet nie jest miejscem gdzie znajduje się instalacja technologiczna służąca jako nośnik węzła, ani też miejscem gdzie jego węzeł jest dostępny, lecz miejscem, gdzie wykonuje on swoją działalność gospodarczą.” Wskazana definicja została uznana za właściwą przez Grupę Roboczą Artykułu 29 na użytek wykładni art. 4 dyrektywy 95/46(20).

36. Odwołując się do powyższych stwierdzeń, należy wyciągnąć wniosek, że, nie kwestionując, iż Weltimmo jest spółką formalnie zarejestrowaną na Słowacji, nie można wykluczyć, że spółka ta faktycznie i rzeczywiście prowadzi swoją działalność na terytorium innego państwa, w niniejszym przypadku Węgier, poprzez stabilne rozwiązanie organizacyjne, które może zapewniać pojedynczy przedstawiciel. Gdyby tak było w istocie, Weltimmo prowadziłaby działalność gospodarczą na Węgrzech w rozumieniu art. 4 ust. 1 lit a) dyrektywy 95/46.

37. Różne dodatkowe czynniki wskazane przez Kúria w pytaniach prejudycjalnych: miejsce z którego pobrano dane, państwo członkowskie, na które nakierowane są usługi, przynależność państwową zainteresowanych osób lub miejsce zamieszkania właścicieli przedsiębiorstwa, nie mają w tym względzie bezpośredniego i decydującego znaczenia dla określenia prawa właściwego(21). Wskazane elementy nie widnieją bowiem w dyrektywie jako istotne kryteria pozwalające odstąpić od stosowania kryterium określonego w art. 4 ust. 1 lit. a)(22).

38. Pomijając powyższe, niektóre z tych czynników mogłyby stanowić, w określonych okolicznościach, przesłanki faktycznego i rzeczywistego charakteru działalności, w celu określenia miejsca prowadzenia działalności gospodarczej, a w szczególności przy ustalaniu, czy przetwarzanie danych odbywało się w kontekście działalności prowadzonej przez osobę odpowiedzialną za przetwarzanie.

39. Zatem w szczególności w związku z drugim z elementów, zgodnie którym przetwarzanie danych odbywa się w kontekście prowadzenia działalności gospodarczej mieszczącej się w państwie członkowskim, należy odnieść się do wykładni ustalonej w wyroku Google Spain i Google(23). Zgodnie z nią w art. 4 ust. 1 lit. a) dyrektywy 95/46 „nie ustanowiono wymogu, aby przetwarzanie danych osobowych było dokonywane »przez« podmiot prowadzący działalność gospodarczą, lecz jedynie »w kontekście prowadzenia przez« niego działalności gospodarczej”(24). Dodatkowo, jak wskazuje Trybunał, biorąc pod uwagę cel dyrektywy, „w odniesieniu do tego wyrażenia nie można przyjmować wykładni zawężającej”(25).

40. Zastosowanie tego drugiego kryterium ma szczególne znaczenie w przypadku, gdyby sąd odsyłający uznał przy zastosowaniu wcześniej wskazanych kryteriów, że Weltimmo prowadzi działalność gospodarczą w dwóch przedmiotowych państwach członkowskich. W takim przypadku, jak podkreślają w uwagach przedstawionych na piśmie rząd słowacki oraz Komisja, należałoby zbadać właśnie czynności, w ramach których odbywało się przetwarzanie oraz w szczególności ich stopień związania z daną działalnością gospodarczą(26). Równocześnie inne istotne elementy w tym względzie zostały wskazane przez Grupę roboczą Artykułu 29 w związku z wyszukiwarkami i mogą one być pomocne przy ocenie, czy działania mieszczą się w kontekście działalności gospodarczej: fakt, że dane miejsce prowadzenia działalności gospodarczej jest odpowiedzialne za relacje z użytkownikami; że uczestniczy się w sprzedaży reklam kierowanych do mieszkańców tego państwa lub że odpowiada wobec właściwych organów danego państwa członkowskiego w zakresie danych użytkowników(27).

41. Ostatecznie w celu określenia w niniejszej sprawie, czy prawo węgierskie może znaleźć zastosowania do działalności Weltimmo na Węgrzech, należałoby ustalić, czy Weltimmo prowadzi działalność gospodarczą w tym państwie członkowskim, w kontekście której odbywało się kwestionowane przetwarzanie danych. Do tego trzeba by ustalić, czy przedstawiciel, o którym mowa w postanowieniu odsyłającym, dysponuje stabilnym rozwiązaniem organizacyjnym, niezależnie od jego formy prawnej, za pomocą którego wykonuje faktycznie i w sposób rzeczywisty działalność, w kontekście której odbywało się sporne przetwarzanie danych.

42. W konkluzji uważam, że należy udzielić wspólnej odpowiedzi na pytania od pierwszego do szóstego wniesione przez Kúria w ten sposób, iż art. 4 ust. 1 lit. a) dyrektywy 95/46 wyklucza, aby węgierski organ ochrony danych mógł stosować prawo węgierskie do administratora danych prowadzącego działalność gospodarczą wyłącznie w innym państwie członkowskim. W tym względzie pojęcie prowadzenia działalności gospodarczej należy rozumieć jako istnienie stabilnego rozwiązania organizacyjnego, niezależnie od jego formy prawnej, za pomocą którego wykonywana jest faktycznie i rzeczywiście działalność. Pojedynczy przedstawiciel może zostać uznany za stabilne rozwiązanie organizacyjne, jeżeli przedstawia określony stopień stabilności dzięki obecności zasobów ludzkich oraz technicznych niezbędnych do świadczenia konkretnych rozpatrywanych usług.

Inne elementy, takie jak miejsce, z którego pobrano dane, przynależność państwowa osób, których dotyczy przetwarzanie danych, miejsce zamieszkania właścicieli przedsiębiorstwa odpowiedzialnego za przetwarzanie danych lub fakt, że usługi świadczone przez tego administratora nakierowane są na terytorium innego państwa członkowskiego, pozbawione są bezpośredniego i decydującego znaczenia dla określenia prawa właściwego, niezależnie od tego, że mogą stanowić przesłanki faktycznego i rzeczywistego prowadzenia działalności do celów ustalenia miejsca wykonywania działalności gospodarczej, a zwłaszcza do celów ustalenia, czy przetwarzanie danych miało miejsce w kontekście prowadzenia danej działalności gospodarczej.

B – W przedmiocie właściwego organu nadzorczego oraz możliwego rozdziału pomiędzy prawem właściwym oraz właściwym organem (siódme pytanie prejudycjalne)

43. Za pomocą siódmego pytania prejudycjalnego Kúria zapytuje Trybunał, „jeżeli z odpowiedzi udzielonych na powyższe pytania wyniknie, że węgierski organ ochrony danych może prowadzić postępowanie, lecz nie może stosować prawa krajowego, tylko musi stosować prawo państwa członkowskiego, w którym prowadzona jest działalność gospodarcza, czy art. 28 ust. 6 dyrektywy o ochronie danych należy interpretować w ten sposób, że węgierski organ ochrony danych może tylko wykonywać uprawnienia przewidziane w art. 28 ust. 3 dyrektywy o ochronie danych zgodnie z uregulowaniem państwa członkowskiego, w którym prowadzona jest działalność gospodarcza i że zatem nie może nałożyć grzywny?”.

44. Jak widać, to pytanie prejudycjalne jest istotne jedynie w wypadku gdyby sąd odsyłający uznał, że zgodnie z wcześniej wskazanymi kryteriami Weltimmo nie prowadzi działalności gospodarczej na Węgrzech, lecz jedynie na Słowacji. W celu udzielenia użytecznej odpowiedzi na niniejsze pytanie prejudycjalne konieczne jest rozważenie z tego względu na wstępie, jako że nie wynika to z odpowiedzi na poprzednie pytania, możliwości, aby organ nadzorczy państwa członkowskiego mógł działać również wtedy gdy na podstawie kryteriów z art. 4 ust. 1 lit. a) dyrektywy znajduje zastosowanie prawo innego państwa członkowskiego. Twierdząca odpowiedź na to pytanie prowadziłaby następnie do konieczności określenia zakresu oraz treści kompetencji tego organu.

45. Na wstępie rodzi się pytanie, czy art. 4, odnoszący się do właściwego prawa krajowego, stanowi nie tylko klauzulę służącą do określenia prawa właściwego, lecz również klauzulę jurysdykcyjną i w takim przypadku, jakie jest znaczenie zawartych art. 28 szczegółowych zapisów na temat kompetencji organów publicznych. Wszystko to odbywa się na tle szeroko zakrojonej reformy prawa Unii w zakresie ochrony danych(28).

46. Uwagi przedstawione przed Trybunałem Sprawiedliwości zawierają różne interpretacje art. 28 ust. 1, 3, 6 dyrektywy. Zatem węgierski organ ochrony danych utrzymuje, że przysługuje mu kompetencja do nałożenia sankcji pieniężnej nawet w przypadku właściwości prawa innego państwa członkowskiego. W ten sam sposób wypowiada się również rząd węgierski, którego zdaniem oczywistym jest, iż status organów nadzorczych oraz zasady postępowania przy wykonywaniu kompetencji tych organów określone w art. 28 ust. 3 dyrektywy są regulowane przez prawo krajowe państwa, w którym organ ten ma siedzibę, w związku z czym nakładanie sankcji musi odbywać się zgodnie z jego własnym prawem krajowym.

47. Ze swej strony Komisja uważa, że organy nadzorcze państwa członkowskiego mają prawo do wykonywania kompetencji wymienionych w art. 28 ust. 3 dyrektywy, w zakresie w jakim mogą wykonywać je na własnym terytorium zgodnie z art. 28 ust. 1 i 6. Natomiast gdyby dana kompetencja mogła być wyłącznie wykonana na terytorium innego państwa członkowskiego, organ ten nie miałby innego wyboru niż zwrócić się w trybie współpracy administracyjnej do organu nadzorczego tamtego państwa członkowskiego. Organ nadzorczy pierwszego państwa członkowskiego nie mógłby zatem nakładać sankcji na administratora danych prowadzącego działalność gospodarczą wyłącznie w innym państwie członkowskim. Podobnie rząd słowacki uważa, że gdyby właściwe było prawo słowackie, węgierski organ ochrony danych miałby kompetencję na mocy art. 28 ust. 3 i 6 do przeprowadzania dochodzenia oraz zbadania wniesionych do niego skarg, działając na podstawie własnych przepisów proceduralnych, jednak powinien skierować wniosek o współpracę do organu państwa członkowskiego, którego prawo jest właściwe, gdyż to ten organ nadzorczy powinien orzec co do ewentualnego nałożenia sankcji. Polska podkreśla, że możliwość stosowania prawa materialnego jednego państwa członkowskiego przez organy innego państwa członkowskiego nie jest przewidziana przez dyrektywę, wskazując, że jeżeli prawodawca pragnąłby przewidzieć tak ambitną możliwość, dyrektywa zawierałaby szczegółowe przepisy określające jej zakres zastosowania. Wreszcie rząd Zjednoczonego Królestwa uważa, iż biorąc pod uwagę właściwość prawa słowackiego, węgierski organ ochrony danych nie jest tu właściwy.

48. Zwraca uwagę wobec powyższego różnica stanowisk w przestawionych uwagach, z których jedynie te przedstawione przez Zjednoczone Królestwo oraz Polskę zdają się zakładać absolutną konieczność zgodności pomiędzy prawem właściwym oraz jurysdykcją organu nadzorczego, tak że określenie prawa właściwego na podstawie art. 4 ust. 1 lit. b) dyrektywy wyznaczałoby również właściwy organ nadzorczy(29).

49. Jak wskażę dalej, uważam, że złożona kwestia, którą się zajmujemy, powinna zostać rozwiązana poprzez próbę pogodzenia szczególnych celów dyrektywy z zasadami, które rządzą działaniem administracyjnych organów nadzorczych.

50. U podstaw problematyki dotyczącej tego pytania prejudycjalnego leży zasadnicza kwestia o dużym znaczeniu, tj. czy można uznać, iż dyrektywa ogranicza lub wręcz wyłącza działanie zasady, wedle której organy administracyjne państwa zasadniczo działają zgodnie z własnym prawem krajowym i je stosują. Jeżeli bowiem chodzi o kompetencje organów publicznych, a więc o wykonywanie uprawnień prawa publicznego, w szczególności kompetencji do nakładania sankcji, trzeba przyjąć za punkt wyjścia wymogi wynikające z suwerenności terytorialnej państwa(30), zasady legalizmu i wreszcie samego państwa prawa(31), które narzucają konieczność zbieżności pomiędzy jurysdykcją organu nadzorczego oraz prawem właściwym(32). W tym względzie, wykonywanie kompetencji w zakresie nakładania sankcji, która to kompetencja zajmuje nas szczególnie w niniejszej sprawie, nie może odbywać się co do zasady poza granicami prawnymi, w ramach których organ administracji jest upoważniony do działania zgodnie z własnym prawem krajowym(33). Odejście od tej zasady zdaje się wymagać przynajmniej szczególnej podstawy prawnej, która dopuszcza stosowanie prawa publicznego innego państwa członkowskiego i określa jego granice, a ponadto umożliwia w sposób precyzyjny i jasny podmiotom prawa przewidzieć, jakiemu prawu podlega ich zachowanie, oraz jego konsekwencje(34).

51. Zgodnie z powyższym nie uważam, aby art. 28 ust. 6 zdanie pierwsze, zgodnie z którego brzmieniem: „każdy organ nadzorczy jest właściwy, niezależnie od krajowych przepisów dotyczących danego przypadku przetwarzania danych, do wykonywania na terytorium państwa członkowskiego uprawnień powierzonych mu zgodnie z ust. 3”, stanowił przepis wystarczający, aby dojść do takiej konkluzji(35). Przepis ten nie wskazuje bowiem żadnych szczegółów jeżeli chodzi o zakres zastosowania, zasięg oraz gwarancje, które mogłyby umożliwiać zastosowanie przez organy administracji jednego państwa członkowskiego przepisów, szczególnie w zakresie sankcji, innego państwa.

52. Artykuł 28 ust. 1 dyrektywy nie stanowi również moim zdaniem wystarczającej podstawy prawnej dla takiego twierdzenia tylko z uwagi na prostą okoliczność, wskazywaną przez rząd węgierski oraz węgierski organ ochrony danych, że przepis ten posługuje się liczbą mnogą, stwierdzając, iż „każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialnych za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy”(36).

53. Mimo powyższych stwierdzeń, przepisy te wskazują na możliwość powstania pewnego rozdziału pomiędzy właściwym organem oraz prawem właściwym. W każdym razie dopuszczają możliwość, że organ państwa członkowskiego kontroluje działalność wykonywaną na jego terytorium, nawet jeżeli znajduje zastosowanie ustawodawstwo innego państwa członkowskiego.

54. W tym miejscu uważam za możliwe pogodzenie wykładni art. 28 ust. 1, 3 i 6 z podstawowymi zasadami rządzącymi wykonywaniem uprawnień do nakładania sankcji administracyjnych. Byłoby to dopuszczalne w świetle interpretacji art. 28 ust. 6 akapit pierwszy zdanie pierwsze w związku ze zdaniem drugim tego przepisu, gdzie wskazuje się, że do organu wykonującego czynności na terytorium własnego państwa członkowskiego „można się zwrócić z żądaniem wykonania jego uprawnień przez odpowiedni organ innego państwa członkowskiego” oraz art. 28 ust. 6 akapit drugi, który stanowi, że „organy nadzorcze współpracują ze sobą w zakresie koniecznym do wykonywania swoich obowiązków […]”.

55. W tym względzie możliwość działania, którą przyznaje art. 28 ust. 6 organom nadzorczym nawet w sytuacji, gdy nie znajduje zastosowania prawo ich państwa członkowskiego, musi być przedmiotem wykładni systemowej, która uwzględnia zarówno istnienie wyraźnego nakazu współpracy pomiędzy organami administracji, jak również fakt, że do danego organu z żądaniem wykonania jego uprawnień może się zwrócić inny organ. Całościowa ocena tego przepisu wskazuje w istocie na rozdział zadań pomiędzy różnymi organami nadzorczymi, w ramach współpracy oraz wzajemnej pomocy.

56. Fakt, że prawem właściwym okaże się prawo jednego państwa członkowskiego nie pozbawia organów nadzorczych innych państw członkowskich możliwości działania, w szczególności biorąc pod uwagę, że w określonych przypadkach, mimo właściwości prawa innego państwa członkowskiego zgodnie z kryterium zawartym w art. 4 ust. 1 lit. a) dyrektywy, może istnieć wiele innych łączników z terytorium, takich jak środki techniczne lub zwłaszcza osoby, których dotyczy przetwarzanie danych. Wszystko powyższe czyniłoby koniecznym w celu skutecznego zastosowania dyrektywy, aby miejscowy organ mógł przeprowadzać dochodzenie oraz przyjmować określone środki i to nawet zanim możliwe będzie ustalenie prawa właściwego.

57. Mówiąc bardziej konkretnie, organ nadzorczy, do którego zwrócono się z żądaniem działania w drodze skarg lub wniosków indywidulanych, powinien móc skorzystać z uprawnień dochodzeniowych na swym własnym terytorium. Jest to niewątpliwe w świetle art. 28 ust. 4 dyrektywy, który ustanawia dla organów nadzorczych obowiązek rozpatrywania skarg zgłaszanych przez dowolną osobę odnośnie do ochrony jej praw i wolności w zakresie przetwarzania danych osobowych. Równocześnie ocena ta jest zgodna z Konwencją 108 Rady Europy z 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych(37), której art. 14 przewiduje, że jeżeli osoba mieszka na terytorium innej strony, „powinna ona mieć prawo do zgłoszenia swego wniosku za pośrednictwem organu wyznaczonego przez tę stronę”.

58. Ten sposób rozumowania może doprowadzić do udzielenia wystarczającej odpowiedzi na wątpliwość podnoszoną przez rząd węgierski w trakcie rozprawy, wskazujący, że gdyby węgierski organ ochrony danych pozbawiony byłby kompetencji, skuteczność środków ustanowionych przez dyrektywę uległaby ograniczeniu, gdyby zainteresowani byli zobowiązani zwracać się do zagranicznych organów, posługując się językami, które są im obce.

59. Ostatecznie, organy nadzorcze, niezależnie od właściwego w danym przypadku prawa materialnego dysponują uprawnieniami dochodzeniowymi i interwencyjnymi wymienionym w art. 28 ust. 3 dyrektywy, uregulowanymi jednak wyłącznie przez prawo krajowe w zakresie terytorialnym ich działania(38) i przy uwzględnieniu zasad wskazanych w pkt 50 niniejszej opinii.

60. Zatem jest oczywiste, że możliwość działania organu nadzorczego państwa członkowskiego, gdy zastosowanie znajduje prawo materialne innego państwa członkowskiego, nie ma charakteru nieograniczonego. W tym względzie należy podkreślić, że nadal obowiązuje zasada, zgodnie z którą przy wykonywaniu swych kompetencji organ nadzorczy jest związany granicami, które mu narzuca fakt podlegania prawu publicznemu własnego państwa członkowskiego, i który to organ może wyłącznie wykonywać kompetencje na swoim własnym terytorium. W szczególności ewentualna ocena bezprawności i również potencjalne nałożenie sankcji za naruszenia wynikające z bezprawności przetwarzania danych powinny zostać przeprowadzone nieuchronnie przez organ państwa członkowskiego, którego prawo materialne jest właściwe do przetwarzania danych, zgodnie z kryterium zawartym w art. 4 ust. 1 lit. a) dyrektywy.

61. Z tego względu, choć nic na stoi na przeszkodzie przyjęciu, że nakładanie sankcji może być uznane za jedno z uprawnień, do których odnosi się art. 28 ust. 3 dyrektywy (którego tiret trzecie mówi o „prawie pozywania w przypadku naruszenia” przysługującym organom nadzorczym), to uwzględniając obowiązek współpracy ustanowiony w art. 28 ust. 6 dyrektywy, należałoby zwrócić się do organu państwa członkowskiego, którego prawo znajdzie zastosowanie do przetwarzania danych, w celu dokonania ewentualnej oceny naruszenia zgodnie z prawem właściwym, jak i możliwego nałożenia sankcji na podstawie informacji uzyskanych oraz ewentualnie przekazanych przez organ pierwszego państwa członkowskiego.

62. Wykładnia ta nie stoi w sprzeczności z opinią wyrażoną w różnych dokumentach Grupy Roboczej Artykułu 29. Po pierwsze jak wskazuje opinia 8/2010 w sprawie prawa właściwego, celem art. 28 ust. 6 jest właśnie „zamknięcie ewentualnej luki pomiędzy prawem właściwym a jurysdykcją organów nadzorczych, która może wystąpić w obszarze danych ochrony danych w obrębie rynku wewnętrznego”(39). W tym względzie, choć wymieniona opinia wskazuje wprost, że „[…] gdy zastosowanie mają przepisy o ochronie danych innego państwa członkowskiego, organ nadzorczy będzie w stanie w pełni wykonywać na swoim terytorium wszelkie uprawnienia powierzone mu w krajowym systemie prawnym”, wyraża równocześnie istotne wątpliwości co do zakresu kompetencji organów nadzorczych w tym zakresie(40). W wyniku późniejszych rozważań Grupa Robocza Artykułu 29, na wniosek Komisji, sprecyzowała bowiem swe stanowisko w kwestii rozdziału pomiędzy prawem właściwym oraz jurysdykcją w swoim sprawozdaniu dotyczącym praktycznego zastosowania art. 28 ust. 6(41). W faktycznej sytuacji rozdziału Grupa Robocza dochodzi do wniosku, że organ będzie musiał stosować przepisy proceduralne i administracyjne swojego własnego systemu prawnego, podczas gdy materialne aspekty ochrony danych należałyby do państwa członkowskiego, którego prawo jest właściwe(42).

63. Wcześniejsze rozważania wpisują się w szczególny kontekst prawny, gdzie instrumentem, za pomocą którego dokonuje się interwencji na szczeblu prawa Unii, jest dyrektywa, co pozwoliło na zachowanie istotnego pola manewru po stronie prawodawców państw członkowskich co się tyczy w szczególności regulacji i możliwości nakładania sankcji ze strony organów nadzorczych(43). Zatem byłoby trudno pogodzić z wymogami zasady suwerenności terytorialnej oraz legalności, wobec braku jasnej podstawy prawnej oraz gwarancji, które zapewniałyby ścisłą współpracę przy interpretowaniu naruszeń oraz ustalania równoważności sankcji(44), aby rozdział pomiędzy organem właściwym oraz prawem właściwym prowadzić mógł bądź do nałożenia sankcji zgodnie z prawem państwa miejscowego organu nadzorczego, które mogą nie być przewidziane w porządku prawnym państwa, którego prawo znajduje zastosowanie do przetwarzania danych, bądź do stosowania ze strony miejscowego organu w przypadku sankcji prawa innego państwa członkowskiego.

64. Wreszcie nie prowadzi do odrębnego wniosku powołanie się na zasadzie analogii na wyrok Trybunału w sprawie UPC DTH(45), przywołany przez węgierski rząd oraz węgierski organ nadzorczy w celu uzasadnienia kompetencji tego ostatniego do nakładania sankcji w zajmującym nas przypadku. W wyżej wymienionym wyroku, dotyczącym wykładni określonych instrumentów ram regulacyjnych usług łączności elektronicznej(46), Trybunał orzekł, że „postępowania nadzorcze dotyczące usług łączności elektronicznej […] należą do organów państwa członkowskiego, w którym zamieszkują odbiorcy rzeczonych usług”(47).

65. Odpowiadając na powyższe, wystarczy wskazać, że niezależnie od tego, iż wykładnia ta odnosi się do przypadku swobodnego świadczenia usług i wpisuje się w ramy prawne, których cel i struktura różnią się w sposób wyraźny od niniejszej sprawy, istotniejsze jest to, że uwagi te zostały wygłoszone w sytuacji, gdy nie było sporu co do prawa właściwego(48).

66. Z wyżej wymienionych przyczyn w aktualnym stanie prawa Unii uważam, iż na siódme z wniesionych przez Kúria pytań prejudycjalnych należy odpowiedzieć w następujący sposób:

W przypadku gdy sąd krajowy uzna, że nie znajduje zastosowania jego prawo krajowe zgodnie z kryterium określonym w art. 4 ust. 1 lit. a) dyrektywy 95/46, wówczas art. 28 ust. 6 tej dyrektywy powinno się interpretować w ten sposób, że nakładanie sankcji za naruszenia związane z przetwarzaniem danych należy do organu nadzorczego państwa członkowskiego, którego prawo jest właściwe, niezależnie od tego iż lokalny organ nadzorczy może wykonywać zespół uprawnień wymienionych w art. 28 ust. 3 na swoim terytorium zgodnie z warunkami określonymi w jego prawie krajowym.

C – W przedmiocie pojęcia „przetwarzania” danych (ósme pytanie prejudycjalne)

67. W ósmym pytaniu prejudycjalnym sąd odsyłający zapytuje Trybunał: „Czy pojęcie »adatfeldolgozás« użyte zarówno w art. 4 ust. 1 lit. a), jak i w art. 28 ust. 6 [węgierskiej wersji językowej] dyrektywy o ochronie danych jest identyczne z pojęciem »adatkezelés«, wykorzystanym w terminologii wspomnianej dyrektywy?”.

68. Wszystkie uwagi przedstawione przed Trybunałem są zgodne co do tego, że rozróżnienie terminologiczne skazane w postanowieniu odsyłającym pozbawione jest jakiegokolwiek znaczenia.

69. Dyrektywa 95/46 posługuje się systematycznie wyłącznie pojęciem „[adat]feldolgozás”, odwołując się do pojęcia przetwarzania danych, zdefiniowanym w jej art. 2 lit. b). Jedynie w ustawie Info występuje rozróżnienie pomiędzy pojęciami „adatkezelés” oraz „adatfeldolgozás”(49), przy czym to ostatnie zostało zdefiniowane jako „wykonywanie zadań technicznych dotyczących operacji przetwarzania danych[…]”(50).

70. Definicja pojęcia „[adat]feldolgozás” zawarta w art. 2 lit. b) dyrektywy i użytego zarówno w art. 4 ust. 1 lit. a) jak również w art. 28 ust. 6 jest zaś bardzo szeroka i obejmuje każdą operacją dokonywaną na danych osobowych przy pomocy środków zautomatyzowanych. Zatem szersze pojęcie przetwarzania obejmowałoby pojęcie węższe, tj. wykonywanie zadań technicznych dotyczących operacji przetwarzania danych.

71. Sugeruję zatem następującą odpowiedź na ósme pytanie prejudycjalne:

Pojęcie „adatfeldolgozás” zastosowane w art. 4 ust. 1 lit. a) art. 28 ust. 6 węgierskiej wersji językowej dyrektywy 95/46 należy interpretować w ten sposób, że obejmuje zarówno przetwarzanie danych rozumiane szeroko, jak też wykonywanie zadań technicznych dotyczących operacji przetwarzania danych.

V – Wnioski

72. Z powyższych względów proponuję Trybunałowi, aby udzielił następującej odpowiedzi na pytania prejudycjalne przedłożone przez Kúria:

1) Artykuł 4 ust. 1 lit. a) dyrektywy 95/46 wyklucza, aby węgierski organ ochrony danych mógł stosować prawo węgierskie w stosunku do administratora danych prowadzącego działalność gospodarczą wyłącznie w innym państwie członkowskim. W tym względzie pojęcie działalności gospodarczej należy rozumieć jako istnienie stabilnego rozwiązania organizacyjnego, niezależnie od jego formy prawnej, za pomocą którego faktycznie i rzeczywiście prowadzona jest działalność. Pojedynczy przedstawiciel może zostać uznany za takie stabilne rozwiązanie organizacyjne, jeżeli charakteryzuje go wystarczający stopień stabilności dzięki obecności zasobów ludzkich i technicznych niezbędnych do świadczenia konkretnych rozpatrywanych usług.

Inne elementy, takie jak miejsce, z którego pobrano dane, przynależność państwowa osób, których dotyczy przetwarzanie danych, miejsce zamieszkania właścicieli przedsiębiorstwa, administratora danych, lub okoliczność, że usługi świadczone przez tego administratora nakierowane są na terytorium innego państwa członkowskiego, pozbawione są bezpośredniego i decydującego znaczenia dla określenia prawa właściwego, niezależnie od tego, że mogą stanowić przesłanki rzeczywistego i faktycznego prowadzenia działalności do celów ustalenia miejsca prowadzenia działalności gospodarczej, a zwłaszcza ustalenia, czy przetwarzanie danych odbywało się w kontekście prowadzania omawianej działalności gospodarczej.

2) W przypadku gdy sąd krajowy uzna, że nie znajduje zastosowania jego prawo krajowe zgodnie z kryterium określonym w art. 4 ust. 1 lit. a) dyrektywy, wówczas art. 28 ust. 6 dyrektywy 95/46/WE powinno się interpretować w ten sposób, że nakładanie sankcji za naruszenia związane z przetwarzaniem danych należy do organu nadzorczego państwa członkowskiego, którego prawo jest właściwe, niezależnie od tego iż lokalny organ nadzorczy może wykonywać zespół uprawnień wymienionych w art. 28 ust. 3 na swoim terytorium zgodnie z warunkami określonymi w jego prawie krajowym.

3) Pojęcie „adatfeldolgozás”, zastosowane w art. 4 ust. 1 lit. a) i art. 28 ust. 6 węgierskiej wersji językowej dyrektywy 95/46 należy interpretować w ten sposób, że obejmuje on zarówno przetwarzanie danych rozumiane szeroko, jak też wykonywanie zadań technicznych dotyczących operacji przetwarzania danych”.

1 – Język oryginału: hiszpański.

2 – Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (Dz.U. L 281 z 23.11.1995, s. 31, wyd. spec. w jęz. polskim rozdz. 13, t. 15, s. 355).

3 – C‑131/12, EU:C:2014:317.

4 – Zobacz reprezentatywny dla wszystkich F. Rigaux, La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel, Revue critique de droit international privé, 1980, s. 443–478.

5 – L. Bygrave, Determining applicable law pursuant to European Data Protection Legislation, Computer Law and Security Report, No. 16, 2000, s. 252.

6 – Przypis nie dotyczy wersji polskiej [przypis tłumacza].

7 – C‑131/12, EU:C:2014:317.

8 – C‑131/12, EU:C:2014:317, pkt 48–50.

9 – Zobacz wyroki: Factortame i in., C‑221/89, EU:C:1991:320, pkt 20; Komisja/Zjednoczone Królestwo, C‑246/89, EU:C:1991:375, pkt 21.

10 – Wyrok Cadbury Schweppes i Cadbury Schweppes Overseas, C‑196/04, EU:C:2006:544, pkt 54.

11 – Opinia w sprawie prawa właściwego, przyjęta w dniu 16 grudnia 2010 r., 0836-02/10/PL, WP 179.

12 – Opinia ta odwołuje się bowiem do wyroków: Berkholz, 168/84, EU:C:1985:299, pkt 18 i Lease Plan, C‑390/96, EU:C:1998:206, które dotyczyły wykładni art. 9 ust. 1 szóstej dyrektywy Rady 77/388/EWG z dnia 17 maja 1977 r. w sprawie harmonizacji ustawodawstw państw członkowskich w odniesieniu do podatków obrotowych – wspólny system podatku od wartości dodanej: ujednolicona podstawa wymiaru podatku (Dz.U. L 145, s. 1, wyd. spec. w jęz. polskim rozdz. 9, t. 1, s. 23).

13 – Wyrok Welmory, C‑605/12, EU:C:2014:2298, pkt 58 w związku z wykładnią art. 44 dyrektywy Rady 2006/112/WE z dnia 28 listopada 2006 r. w sprawie wspólnego systemu podatku od wartości dodanej (Dz.U. L 347, s. 1), w brzmieniu nadanym dyrektywą Rady 2008/8/WE z dnia 12 lutego 2008 r. (Dz.U. L 44, s. 11). Zobacz też wyrok Planzer Luxembourg, C‑73/06, EU:C:2007:397, pkt 54 i przytoczone tam orzecznictwo.

14 – Konwencja o prawie właściwym dla zobowiązań umownych, otwarta do podpisu w Rzymie dnia 19 czerwca 1980 r. (Dz.U. L 266, s. 1).

15 – Konwencja brukselska z dnia 27 września 1968 r. o jurysdykcji i wykonywaniu orzeczeń sądowych w sprawach cywilnych i handlowych (Dz.U. 1972, L 299, s. 32; tekst jednolity Dz.U. 1998, C 27, s. 1).

16 – Wskazuje się tam, że „pojęcie filii, agencji lub innego oddziału oznacza centrum działalności, co znajduje wyraz zewnętrzny w sposób trwały jako przedłużenie działalności głównego przedsiębiorstwa, posiadające adres i wyposażone w środki materialne, tak aby mogło prowadzić interesy z osobami trzecimi […]” (wyroki: Somafer, 33/78, EU:C:1978:205, pkt 12 i Blanckaert & Willems, 139/80, EU:C:1981:70, pkt 11) oraz podkreśla, że „[…] termin »przedsiębiorstwo« obejmuje wszystkie trwałe struktury. W konsekwencji nie tylko filie i oddziały, ale również inne jednostki, takie jak biura przedsiębiorstw, mogą stanowić przedsiębiorstwa w rozumieniu art. 6 ust. 2 lit. b) konwencji rzymskiej, nawet gdy nie posiadają osobowości prawnej”. (wyrok Voogsgeerd, C‑384/10, EU:C:2011:842, pkt 54).

17 – Opinia 8/2010, s. 14.

18 – C‑131/12, EU:C:2013:424, pkt 65.

19 – Dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (Dz.U. L 178, s. 1, wyd. spec. w jęz. polskim rozdz. 13, t. 25, s. 399).

20 – Zobacz dokument roboczy dotyczący międzynarodowego stosowania prawa wspólnotowego dotyczącego ochrony danych do przetwarzania danych osobowych w Internecie przez strony internetowe znajdujące się poza UE, WP 56, 5035/01/EN/final (wersja angielska), z dnia 30 maja 2002 r., s. 8.

21 – Uwagi przedstawione przed Trybunałem różnią się jeżeli chodzi o uwzględnianie tych elementów. Podczas gdy węgierski organ ochrony danych ocenia, że elementy te są istotne, Zjednoczone Królestwo uważa, iż żaden z wymienionych czynników nie ma znaczenia, skoro art. 4 ust. 1 dyrektywy o żadnym z nich nie wspomina. W podobny sposób wypowiada się Komisja. Dla rządu węgierskiego znaczenie miałaby jedynie okoliczność, że usługi są nakierowane na terytorium państwa członkowskiego oraz miejsce pobierania danych do systemu informatycznego. Rząd słowacki uważa, że dla określenia właściwego prawa krajowego nie mają znaczenia ani miejsce, z którego przesyła się dane, ani przynależność państwowa osób, których dotyczy przetwarzanie danych, ani też miejsce zamieszkania właścicieli przedsiębiorstwa.

22 – Podobne stanowisko zajęła również Grupa Robocza Artykułu 29, wskazując, że „decydujące nie jest tutaj ani obywatelstwo czy też miejsce zwykłego pobytu osób, których dane dotyczą, ani miejsce, w którym faktycznie znajdują się dane osobowe [dla określenia prawa właściwego]”, opinia 8/2010, s. 10. Zobacz również pkt 55–58 opinii rzecznika generalnego N. Jääskinena przedłożonej w sprawie Google Spain i Google, C‑131/12, EU:C:2013:424.

23 – C‑131/12, EU:C:2014:317, pkt 48–50.

24 – Ibidem, pkt 52.

25 – Ibidem, pkt 53.

26 – Zobacz również w szczególności w tym zakresie opinia 8/2010 Grupy Roboczej Artykułu 29.

27 – Opinia 1/2008 w sprawie zagadnień ochrony danych w związku z wyszukiwarkami internetowymi z dnia 4 kwietnia 2008, WP 148, 00737/PL.

28 – Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych COM(2012) 11 wersja ostateczna.

29 – Co więcej głosy doktryny są w tym względzie podzielone. Niektórzy autorzy uważają art. 4 dyrektywy za przepis właściwy również dla określenia jurysdykcji (np. J. Bing, Data Protection, Jurisdiction and the Choice of Law, Privacy Law & Policy Reporter, 1999), podczas gdy inni przyjmują przeciwne stanowisko. Zobacz np. P.P. Swire, Of Elephants, Mice and Privacy: International Choice of Law and the Internet, The International Lawyer, 1998, s. 991. Również w tej kwestii zob. C. Kuner, Data Protection Law and International Jurisdiction on the Internet (Part 1), International Journal of Law and Information Technology, No. 18, 2010, s. 176.

30 – Motyw 21 dyrektywy wskazuje wprost, że dyrektywa „pozostaje bez uszczerbku dla zasad terytorialności, stosowanych w sprawach karnych”. Uważam, że taka sama ocena może znaleźć zastosowanie do sankcji administracyjnych.

31 – Którego trzon może być zdefiniowany w ten sposób, że wszystkie organy publiczne, na każdym poziomie „must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers”, Lord Bingham, The Rule of Law, The Cambridge Law Journal, No. 66, 2007, s. 78.

32 – W piśmiennictwie wskazywano, że „w wyniku zasadniczo administracyjnego lub prawnopublicznego systemu nadzoru istnieje ścisły związek pomiędzy prawem właściwym oraz organem właściwym do nakładania sankcji za ewentualne naruszenia”, P.A. Miguel Asensio, Derecho Privado de Internet, 4ª ed., Madrid, 2011, s. 333. Analogicznie wypowiadano się w związku z kompetencjami organów nadzoru w zakresie konkurencji, wskazując, że ramach działalności publicznej właściwość przepisu określa właściwość organu, który ma go stosować. Zobacz np. J. Basedow, Antitrust or Competition Law, International, w: R. Wolfrum, (ed.), Max Planck Encyclopedia of Public International Law, 2009.

33 – W ten sposób Rigaux: „On ne conçoit guère que les autorités administratives, les commissions de contrôle […] les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux-mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori”, op.cit. s. 469.

34 – C. Ohler, Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005, s. 109, 314.

35 – Wyróżnienie dodane.

36 – Wyróżnienie dodane. W przedmiocie tej dyskusji zob. U. Damman oraz S. Simitis, EG‑Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden-Baden, 1997, s. 306.

37 – Konwencja Rady Europy nr 108, której stronami są wszystkie państwa członkowskie. Zgodnie z motywem 11 dyrektywy, dyrektywa utrwala i umacnia zasady ochrony w konwencji.

38 – W tej kwestii zob. U. Damman i S. Simitis, op.cit., s. 313.

39 – Opinia 8/2010 w sprawie prawa właściwego, s. 30.

40 – Zatem z jednej strony opinia 8/2010 Grupy Roboczej Artykułu 29 podkreśla, że zakres współpracy między organami nadzorczymi, jak słusznie wskazuje, nie obejmuje wyłącznie wymiany informacji, lecz również „realizacj[ę] skarg o charakterze transgranicznym, gromadzeni[e] dowodów dla innych organów ds. ochrony danych ds. ochrony danych lub nakładania sankcji” (s. 31). Jednakże opinia ta wyraża wątpliwości co do zakresu kompetencji, które mogą być wykonywane przez każdy organ ochrony: „Przede wszystkim, na ile organ ds. ochrony danych właściwy pod względem miejsca będzie korzystał ze swoich uprawnień w odniesieniu do stosowania zasad materialnych i sankcji? Czy powinien on ograniczyć stosowanie swoich kompetencji jedynie do weryfikacji faktów, czy może podejmować prowizoryczne środki wykonawcze lub też nawet środki ostateczne? Czy może dokonywać własnej interpretacji przepisów prawa właściwego, czy też jest to przywilejem organu ds. ochrony danych państwa członkowskiego, którego prawo jest prawem właściwym? […]” (s. 30).

41 – Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC, Ref. Ares (2011)444105, z dnia 20 kwietnia 2011 r.

42 – Ibidem, s. 31. Bardzo obrazowy w tym względzie jest przykład nr 10 zawarty w opinii, zgodnie z którym hipotetyczny przypadek, w którym prawo niemieckie jest właściwe do przetwarzania danych mającego miejsce w Zjednoczonym Królestwie, wskazuje, że „organ ds. ochrony danych w Zjednoczonym Królestwie powinien mieć prawo przeprowadzenia inspekcji na terenie siedziby w Zjednoczonym Królestwie, a także dokonania ustaleń, które przekazywane są niemieckiemu organowi ds. ochrony danych. Niemiecki organ ds. ochrony danych powinien być w stanie nałożyć sankcje na administratora danych prowadzącego działalność w Niemczech w oparciu o ustalenia dokonane przez organ ds. ochrony danych w Zjednoczonym Królestwie”.

43 – Stwierdza to motyw 9 dyrektywy. W tym względzie zob. dokument opracowany przez Agencję Praw Podstawowych Unii Europejskiej, Data Protection in the European Union: the role of National Data Protection Authorities, 2010, który uwypukla różne uprawnienia organów nadzorczych w państwach członkowskich.

44 – W tym względzie niewątpliwe jest znaczenie oraz innowacyjny charakter prawa Unii w dziedzinie ochrony danych w europejskim obszarze administracyjnym. Projekt przyszłego rozporządzenia generalnego o ochronie danych, jeżeli wybiec na przód, będzie oznaczać jakościową zmianę w tym zakresie, w szczególności co się tyczy wprowadzenia złożonego i skomplikowanego systemu współpracy, spójności oraz podziału kompetencji pomiędzy różnymi organami nadzorczymi.

45 – C‑475/12, EU:C:2014:285.

46 – W szczególności dyrektywa 2002/20/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie zezwoleń na udostępnienie sieci i usług łączności elektronicznej (Dz.U. L 108, s. 21, wyd. spec. w jęz. polskim rozdz. 13, t. 29, s. 337) w brzmieniu nadanym dyrektywą 2009/140 Parlamentu Europejskiego i Rady 2009/140/WE z dnia 25 listopada 2009 r. (dyrektywa o dostępie) (Dz.U. L 337, p. 37) oraz dyrektywą 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (Dz.U. L 108, s. 33, wyd. spec. w jęz. polskim rozdz. 13, t. 29, s. 349) w brzmieniu nadanym dyrektywą Parlamentu Europejskiego i Rady 2009/140/WE z dnia 25 listopada 2009 r. (Dz.U. L 337, s. 37).

47 – Wyrok UPC DTH, C‑475/12, EU:C:2014:285, pkt 88.

48 – Sankcja nałożona w tym postępowaniu wynikała bowiem z odmowy po stronie przedmiotowej spółki dostarczenia informacji krajowemu organowi ds. komunikacji i mediów. Trybunał Sprawiedliwości wskazał, że „na podstawie art. 11 ust. 1 lit. b) dyrektywy o zezwoleniach […] organy krajowe mogą zażądać od przedsiębiorstw informacji, które są w sposób racjonalny konieczne i obiektywnie uzasadnione, w celu umożliwienia tym organom kontroli spełnienia wymogów dotyczących ochrony konsumentów, w przypadku otrzymania od owych przedsiębiorstw skargi lub gdy organy te prowadzą dochodzenie ze swej własnej inicjatywy”, ibidem, pkt 85.

49 – W dyrektywie pojawia się wyłączenie jedno słowo pochodzące od pojęcia „adatkezelés” w ramach odwołania do administratora danych.

50 – Artykuł 3 ust. 17 ustawy Info. Artykuł 3 ust. 10 ustawy Info definiuje pojęcie „adatkezelés” w sposób szeroki, co odpowiada zasadniczo pojęciu „przetwarzania danych” określonemu w art. 2 lit. b) dyrektywy.