Zasady określenia jurysdykcji w przypadku egzekwowania praw pracowniczych i naruszenia danych osobowych pracowników w chmurze obliczeniowej

Maciej Siwicki, dr, adiunkt UMK (Toruń)
e.Palestra 2016, poz. 22/A
A+ A-
 

e.Palestra 2016, poz. 22/A

[data publikacji: 13.12.2016]

 

Maciej Siwicki

 

Zasady określenia jurysdykcji w przypadku egzekwowania praw pracowniczych i naruszenia danych osobowych pracowników w chmurze obliczeniowej

 

Coraz powszechniejsze wykorzystanie w działalności gospodarczej chmur obliczeniowych (ang. cloud computing) powodowane jest głównie możliwością znacznego zredukowania kosztów związanych z technologiami informacyjnymi (ang. information technology, IT), jednoczesnego świadczenia usług na kilku rynkach zbytu oraz optymizacji zatrudnienia i procesów kadrowych dzięki ułatwionej zmianie klasycznych stosunków pracy, m.in. na telepracę[1]. Ze względu na to, że ten model świadczenia usług bazuje na współdzieleniu i korzystaniu z zewnętrznych zasobów IT często niezależnie od geograficznej lokalizacji poszczególnych jej elementów, jego zastosowanie w przedsiębiorstwie może powodować konieczność rozwiązania rozlicznych problemów związanych z ustaleniem, czy pracodawca lub pracownik może wyegzekwować należne mu prawa przed organami konkretnego państwa[2]. Przed pracodawcami może dodatkowo pojawić się konieczność radzenia sobie z różnymi systemami i wymogami prawnymi dotyczącymi przetwarzania danych osobowych pracowników i kandydatów do pracy, które nawet w Unii Europejskiej są różnorodne i często nie zapewniają równorzędnego poziomu ochrony[3]. Problematyczne okazuje się w szczególności wskazanie prawa właściwego dla naruszenia prywatności lub praw osobistych pracowników i kandydatów do pracy wynikłego z przetwarzania danych osobowych. Powyższej problematyce poświęcone zostało niniejsze opracowanie.

 

1. Zasady określenia właściwego sądu pracy i właściwego prawa

 

Określenie właściwego sądu pracy i właściwego prawa wymaga odwołania się w szczególności do:

  1. ustawy z dnia 4 lutego 2011 r. – Prawo prywatne międzynarodowe (Dz.U. Nr 80, poz. 432 – dalej jako p.p.m.);
  2. sekcji piątej tytułu drugiego rozporządzenia Parlamentu Europejskiego i Rady (UE) Nr 1215/2012 z dnia 12 grudnia 2012 r. w sprawie jurysdykcji i uznawania orzeczeń sądowych oraz ich wykonywania w sprawach cywilnych i handlowych, które dotyczy jurysdykcji w sprawach indywidualnych umów o pracę[4];
  3. rozporządzenia Parlamentu Europejskiego i Rady (WE) Nr 593/2008 (dalej jako rozporządzenie Rzym I)[5], które jest najważniejszym źródłem norm jurysdykcyjnych w sprawach cywilnych i handlowych dla sądów państw członkowskich w sprawie prawa właściwego dla zobowiązań umownych. Do wskazanego rozporządzenia odsyła także bezpośrednio art. 28 ust. 1 p.p.m.
  4. rozporządzenia Nr 864/2007 Parlamentu Europejskiego i Rady z dnia 11 lipca 2007 r., dotyczącego prawa właściwego dla zobowiązań pozaumownych (Dz. Urz. UE L 199 z 31.07.2007 r., s. 40, dalej jako rozporządzenie Rzym II), do którego odsyła art. 33 p.p.m w zakresie zobowiązań ze zdarzenia niebędącego czynnością prawną.

 1.1.  Miejsce siedziby

 

W przypadku chmur obliczeniowych zazwyczaj ustalenie siedziby spółek i osób prawnych na podstawie miejsca, gdzie dana spółka czy też osoba prawna ma swoją siedzibę statutową lub swój główny organ zarządzający lub też swoje główne przedsiębiorstwo, nie będzie sprawiało większych wątpliwości. Określenie powyższego wymaga oczywiście w pierwszej kolejności odwołania się do prawa materialnego.

Przedmiotem regulacji art. 20 ust. 2 rozporządzenia Nr 1215/2012 jest określenie jurysdykcji sądu wobec pracodawcy niemającego siedziby na terytorium któregokolwiek z państw członkowskich, lecz posiadającego w jednym z państw członkowskich oddział, agencję lub inny oddział w państwie członkowskim. Zgodnie zaś z art. 19 rozporządzenia pracodawca mający miejsce zamieszkania w Państwie Członkowskim może być pozwany przed sądy Państwa Członkowskiego, w którym ma miejsce zamieszkania (ust. 2), lub w innym Państwie Członkowskim przed sąd miejsca, w którym pracownik zazwyczaj świadczy lub ostatnio zazwyczaj świadczył pracę; lub jeżeli pracownik zazwyczaj nie świadczy lub zazwyczaj nie świadczył pracy w jednym i tym samym państwie – przed sąd miejsca, w którym znajduje się albo znajdował się oddział, który pracownika zatrudnił[6]. Na tym tle problem może pojawić się w sytuacji, w której w jednym z państw siedziba spółek będzie określana na podstawie siedziby statutowej, a w innym według siedziby rzeczywistej.

Na gruncie polskiego ustawodawstwa przepisy Kodeksu spółek handlowych nie zawierają definicji siedziby spółki handlowej. Z tego też względu w tym zakresie należy stosować odpowiednio regulacje Kodeksu cywilnego (co wyraża przepis art. 2 ustawy z dnia 15 września 2000 r. – Kodeks spółek handlowych, tekst jedn.: Dz.U. z 2013 r. poz. 1030, dalej jako k.s.h.), a w szczególności art. 41 k.c., według którego: „jeżeli ustawa lub oparty na niej statut nie stanowi inaczej, siedzibą osoby prawnej jest miejscowość, w której ma siedzibę jej organ zarządzający”. Powyższą regulację stosuje się odpowiednio również do jednostek organizacyjnych niebędących osobami prawnymi, lecz mających zdolność prawną (art. 331 § 1 k.c.). Wybór siedziby spółki wpływa również na określenie prawa, jakiemu spółka podlega. Zgodnie bowiem z art. 17 ust. 1 p.p.m.: „osoba prawna podlega prawu państwa, w którym ma siedzibę”. Z przepisu tego wynika, że przy rozpatrywaniu kwestii położenia siedziby osoby prawnej nadrzędne znaczenie mają regulacje ustawowe konstytuujące byt konkretnej osoby prawnej albo postanowienia statutu oparte na tej ustawie. Dopiero w przypadku, gdy ani ustawa, ani statut nie wskazują siedziby osoby prawnej (jako miejscowości), przez siedzibę rozumie się miejsce położenia jej organu zarządzającego[7]. W przypadku chmury obliczeniowej w pierwszej kolejności miarodajna powinna być zatem siedziba statutowa (rejestrowa) spółki określona w jej akcie założycielskim, a następnie we właściwym rejestrze. Nie ma przy tym znaczenia, gdzie znajduje się siedziba rzeczywista, co za tym idzie – czy główne serwery obsługiwane przez daną spółkę znajdują się w Polsce, czy też to, czy usługi kierowane są do polskich obywateli.

 

1.2. Umowy prorogacyjne

 

Pewne wątpliwości mogą pojawić się przy ustalaniu sądu właściwego w przypadku umowy dotyczącej zmiany jurysdykcji. Artykuł 23 rozporządzenia Nr 1215/2012 dopuszcza bowiem możliwość odstąpienia od przepisów sekcji 5 na podstawie umowy wówczas, gdy umowa została zawarta po powstaniu sporu lub jeżeli przyznaje ona pracownikowi prawo do wytaczania powództwa przed sądy inne niż wymienione w niniejszej sekcji. Do przewidzenia jest zatem sytuacja, w której pracodawcę będzie można pozwać w miejscu, gdzie „pracownik zazwyczaj świadczy pracę”, co w przypadku chmury może skutkować wskazaniem terytoriów kilku państw, w których np. pracownik nadzorował pracę kilku serwerów. W tym wypadku pomocna możne okazać się opinia wyrażona w wyroku Trybunału Sprawiedliwości z dnia 27 lutego 2002 r. w sprawie Herbert Weber przeciwko Universal Ogden Services Ltd[8], w której m.in. wskazano, że jeżeli pracownik wykonywał swoje obowiązki wynikające z umowy o pracę w kilku państwach, to miejscem, gdzie on zazwyczaj świadczył pracę, jest miejsce, w którym (lub z którego) rzeczywiście były wykonywane przez niego podstawowe prace, podczas gdy wszystkie inne zadania miały charakter pomocniczy. Pomocne może okazać się również zwrócenie uwagi na to, czy te dodatkowe zadania miały charakter przejściowy, zaś większość pracy była wykonywana na terytorium jednego państwa (por. akapit 58 uzasadnienia). Oczywiste jest przy tym, że w sprawach czysto wewnętrznych, na przykład wówczas, gdy poszczególne zadania wykonywane przez pracownika związane są z terytorium państwa polskiego, właściwe będą sądy polskie i prawo polskie.

Niewątpliwie związek z terytorium (prawem) innego państwa powinien przejawiać się w sferze faktycznej. Jak słusznie wskazuje P. Grzebyk, samo postanowienie stron, że pracownik np. przez określony czas w roku będzie świadczył pracę w innym kraju, jeśli pozostaje tylko ustaleniem umownym, nie kreuje elementu obcego. Z tego względu sam wybór sądów innego państwa nie powinien być traktowany jako okoliczność przesądzająca o elemencie zagranicznym[9]. Jednakże w indywidualnych umowach o pracę dopuszcza się możliwość wyboru prawa przez strony umowy, zaś wskazanie takie może zostać dokonane na podstawie art. 3 rozporządzenia Rzym I. W takim przypadku skuteczny wybór prawa obcego, któremu zazwyczaj towarzyszy wybór sądu, będzie decydował o międzynarodowym charakterze stosunku pracy. Jednocześnie w art. 8 ust. 1 rozporządzenia wyraźnie wskazuje się, że wybór prawa nie może prowadzić do pozbawienia pracownika ochrony przyznanej mu na podstawie przepisów, których nie można wyłączyć w drodze umowy, na mocy prawa, jakie, w przypadku braku wyboru, byłoby właściwe na podstawie łączników obiektywnych wyrażonych w art. 8 ust. 2, 3 i 4. Nawet zatem w razie wyboru prawa przez strony istotne znaczenie ma prawo wskazane za pomocą łączników obiektywnych.

 

1.3. Miejsce świadczenia pracy

 

Według art. 8 ust. 2 rozporządzenia Rzym I w zakresie, w jakim strony nie dokonały wyboru prawa właściwego dla indywidualnej umowy o pracę, „umowa podlega prawu państwa, w którym lub – gdy takiego brak – z którego pracownik zazwyczaj świadczy pracę w wykonaniu umowy”. Jednocześnie w artykule tym podkreślono, że za zmianę państwa, w którym zazwyczaj świadczona jest praca, nie uważa się tymczasowego zatrudnienia w innym państwie.

W przypadku telepracy strony stosunku pracy dysponują swobodą ustalenia miejsca wykonywania pracy przez pracownika. W zależności od zadań takim miejscem wykonywania telepracy może być mieszkanie pracownika, ale równie dobrze praca może być wykonywana w taki sposób, że pracownik nie będzie miał stałego miejsca pracy i będzie przemieszczał się po określonym obszarze, np. w zakresie lokalizacji poszczególnych serwerów, zapewniając ich obsługę. Ze względu na to, że rozporządzenie Rzym I nie odnosi się do telepracy, w tym zakresie decydujące znaczenie będzie miało ustalenie, gdzie praca jest „zazwyczaj” świadczona. W przypadku chmur obliczeniowych będzie to miejsce wykonywania przez pracownika określonych zadań, np. miejsce lokalizacji systemu komputerowego, przy pomocy którego pracownik zdalnie dokonał rekonfiguracji serwera, a nie miejsce lokalizacji serwera. Warto przy tym nadmienić, że w przypadku chmur obliczeniowych lokalizacja urządzeń będących przedmiotem konkretnych prac może być utrudniona i często nie jest znana[10]. Jest to rezultat automatyzmu działania chmury obliczeniowej. 

Artykuł 8 ust. 4 rozporządzenia zawiera tzw. regułę korekcyjną, zgodnie z którą jeżeli ze wszystkich okoliczności wynika, że umowa wykazuje ściślejszy związek z państwem innym niż wskazane w ust. 2 lub 3, stosuje się prawo tego innego państwa. Podobną regulację, która wyłącza stosowanie prawa, przyjęto również w art. 4 ust. 3 rozporządzenia, który przewiduje możliwość korekty skutków zastosowania norm kolizyjnych z art. 4 ust. 1 lub 2. Odnosząc się do tego przepisu, w doktrynie wskazuje się wiele powiązań ważniejszych[11], które mogą być z powodzeniem zastosowane również przy ocenie całokształtu okoliczności sprawy wskazującej na faktyczne powiązanie z obszarem określonego państwa indywidualnej umowy o pracę. Wśród takich ważniejszych powiązań można wskazać m.in.: miejsce zwykłego pobytu lub siedziby obu partnerów (tzn. miejsce zamieszkania lub siedziby pracownika i pracodawcy), miejsce wykonania umowy albo wykonania głównego świadczenia, miejsce położenia przedmiotu umowy, itp.

Szczegółową normę kolizyjną dla odpowiedzialności pozaumownej z tytułu sporów zbiorowych prowadzonych między pracownikami a pracodawcami przyjęto w art. 9 rozporządzenia Rzym II[12]. Norma kolizyjna wyrażona w art. 9 obejmuje wszystkie spory pracowników z pracodawcą, które nie są prowadzone w obronie indywidualnych interesów pracownika. W przypadku tych sporów art. 9 odsyła do normy kolizyjnej wyrażonej w art. 4 ust. 2 rozporządzenia Rzym II, która wskazuje prawo właściwe za pomocą łącznika zwykłego pobytu stron w tym samym państwie. Następnie przepis ten przewiduje, że w przypadku niezaistnienia takiej okoliczności prawem właściwym dla zobowiązania pozaumownego z tytułu odpowiedzialności osoby będącej pracownikiem lub pracodawcą lub z tytułu odpowiedzialności organizacji reprezentujących ich interesy zawodowe za szkody spowodowane sporem zbiorowym, planowanym lub prowadzonym, jest prawo państwa, w którym spór taki ma zostać lub został podjęty[13].

            W przypadku strajku lub lokautu z wykorzystaniem infrastruktury chmury obliczeniowej pojawia się pytanie, czy określając miejsce działania, uwzględnić należy jedynie miejsce fizycznej obecności sprawcy, czy też uwzględnić należy także miejsce, gdzie zostały przez sprawcę podjęte czynności celowe, np. miejsce lokalizacji systemu komputerowego, przy użyciu którego zablokował on działanie określonej usługi, wyłączając odpowiedzialny za nią serwer, jak i miejsce lokalizacji tego serwera.

Przy określaniu miejsca działania, w sytuacji wykorzystania przez sprawcę systemów i sieci teleinformatycznych, należy z jednej strony zauważyć, że łatwość, z jaką sprawca może przy użyciu Internetu popełnić czyn niedozwolony, wymusza rezygnację z rozumienia miejsca działania sprawcy w jego wąskim znaczeniu, a więc jedynie jako miejsce, gdzie sprawca fizycznie znajdował się w chwili jego popełnienia, i skłania do przyjęcia szerszej perspektywy, według której miejscem działania sprawcy powinno być zarówno miejsce położenia systemu komputerowego służącego do podjęcia przez niego zamierzonych działań, jak również miejsce lokalizacji systemu komputerowego będącego przedmiotem działań docelowych. Z drugiej jednak strony zauważyć należy, że transport danych do i z serwera oraz ich zapisanie i gromadzenie odbywa się często niezależnie od założeń (czy też świadomości) sprawcy, w sposób automatyczny, co uzasadnia pogląd, że nie można zawsze utożsamiać miejsca lokalizacji serwera z miejscem działania sprawcy. Nie oznacza to jednak, że ze względów oportunistycznych czy ujawniających się problemów natury technicznej należy zaprzestać ścigania sprawcy, sprawnie wykorzystującego elektroniczne systemy przetwarzania informacji.

Określając miejsce działania, warto odwołać się do poglądów wyrażanych na gruncie niemieckiej doktryny, według których w przypadku sporów zbiorowych mających miejsce online, miejsce działania nie może być rozumiane wąsko[14]. Jak wskazują przykładowo G. Pfeifer, M. Weller, C. Normeiter, w przypadku tzw. bomb mailowych (ang. E-mail bomb), polegających na masowej wysyłce poczty elektronicznej do jednej osoby lub systemu, lub tzw. internetowych sztucznych tłumów (ang. online flash mobs), polegających na jednoczesnym kierowaniu potężnej liczby zapytań i poleceń do jednego systemu komputerowego (np. wybranej strony www), czego celem jest załamanie systemu lub utrudnienie jego działania, określenie miejsca działania jest znacznie utrudnione ze względu na możliwość łatwej manipulacji, jak i częstej przypadkowości miejsca nastąpienia skutku. Z tego też względu autorzy proponują, aby miejsce działania w przypadku sporów zbiorowych ograniczyć do miejsca planowego (zamierzonego) skutku[15].

Powyższe uwagi skłaniają do wniosku, że w sytuacji, w której strony nie mają miejsca zwykłego pobytu w tym samym państwie, prawo właściwe zostanie wskazane za pomocą łącznika lokalnego, według którego zobowiązania pozaumowne z tytułu odpowiedzialności osoby będącej pracownikiem lub pracodawcą (lub z tytułu odpowiedzialności organizacji reprezentujących ich interesy zawodowe) powinny być rozstrzygane w państwie, w którym spór taki został podjęty lub ma zostać podjęty. W przypadku chmury obliczeniowej zastosowanie tego łącznika może powodować trudności zarówno w sytuacji jednoczesnego sporu grup pracowników z kilku państw z jednym pracodawcą, jak również w sytuacji sporów grupowych, które spowodowały szkody w wielu państwach. W takich sytuacjach wydaje się zasadne zastosowanie w ten sposób kolizyjnoprawnej kategoryzacji stanu faktycznego, że prawo właściwe będzie wskazane oddzielnie w odniesieniu do szkód spowodowanych w danym państwie, w którym spór zbiorowy był z założenia prowadzony. W takim wypadku strona podejmująca taki spór w zależności od podjętych przez nią działań celowych musi mieć świadomość, że jej działania mogą skutkować szkodą w obrębie całej sieci serwerów. W konsekwencji spory zlokalizowane „w chmurze” mogą prowadzić do zastosowania praw kilku państw, w których doszło do wyrządzenia szkody.

 

2. Prawo właściwe dla naruszenia danych osobowych pracowników i kandydatów do pracy w chmurze

 

Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz. 1182, dalej jako u.o.d.o.) stosuje się do podmiotów prywatnych, które dokonują przetwarzania danych osobowych w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych i które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (art. 3 ust. 2 u.o.d.o.). Zgodnie z art. 7 pkt 7 u.o.d.o. za państwo trzecie rozumie się „państwo nienależące do Europejskiego Obszaru Gospodarczego”. Przyjęcie tego przepisu jest konsekwencją przystąpienia Polski do Unii Europejskiej, zaś celem jego przyjęcia było to, aby przekazywanie danych z Polski do państwa należącego do EOG traktowane było jak przekazywanie danych na terytorium Polski (zapewnienie swobodnego przepływu danych osobowych).

Zazwyczaj administratorem danych osobowych w zatrudnieniu (pracowników oraz kandydatów do pracy) jest pracodawca. Zgodnie bowiem z art. 7 pkt 4 u.o.d.o. administrator danych jest podmiotem decydującym o środkach i celach przetwarzania danych. Jeżeli pracodawca zleca dostawcy usług w chmurze przetwarzanie danych, to nadaje on mu status przetwarzającego dane osobowe, o którym mowa w art. 31 u.o.d.o. Oczywiście również dostawca chmury może być pracodawcą. Jednakże w sytuacji, w której dostawca chmury nie będzie pracodawcą lub przedsiębiorcą korzystającym na podstawie umownego stosunku pracy lub umowy prawa cywilnego z pracowników tymczasowych, a jedynie będzie realizował zleconą usługę, konieczne będzie określenie jego roli w przetwarzaniu danych osobowych pracowników i kandydatów do pracy, w tym także relacji  z administratorem danych. Ustalenie takiego statusu dostawcy chmury może mieć przy tym charakter złożony. W zakresie danych pracowniczych zadania dostawcy chmury mogą obejmować różne czynności związane z przetwarzaniem danych, np. związane z nawiązaniem, przebiegiem i rozwiązaniem umowy z różnymi podmiotami w zakresie świadczonych usług. Nierzadko wydzielenie tych procesów wynika ze struktury chmury obliczeniowej[16].

W przypadku zlecenia na zewnątrz przetwarzania danych w modelu chmury obliczeniowej wyraźnie należy rozróżnić chmury znajdujące się w UE i na obszarze EOG oraz te w państwach trzecich. Zasadniczo polską ustawę o ochronie danych osobowych będzie stosowało się jedynie do tych podmiotów, których siedziba znajduje się na terytorium EU i EOG, zaś wyjątkowo do państw trzecich nienależących o EOG, jeżeli podmioty te przetwarzają dane przy wykorzystaniu środków technicznych znajdujących się na terytorium naszego kraju[17]. Taki podział ma w założeniu zapobiegać obniżaniu poziomu ochrony danych osobowych na terytorium państw członkowskich przez poddanie przetwarzania danych osobowych regulacjom prawnym obowiązującym w krajach nienależących do EOG[18]. Warto przy tym nadmienić, że dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. L 281 z dnia 23.11.1995 r., s. 31) przy ocenie istnienia dostatecznego poziomu ochrony danych osobowych nakazuje zwrócić uwagę na wszystkie okoliczności dotyczące operacji przekazania danych lub zbioru takich operacji, ze szczególnym uwzględnieniem m.in. charakteru danych, celu i czasu trwania proponowanych operacji przetwarzania danych (por. art. 25 ust. 1 i 2 dyrektywy)[19].

Powyższe założenia skłaniają do wniosku, że możliwość powierzenia przez administratora danych innemu podmiotowi prowadzącemu chmurę obliczeniową z siedzibą[20] w państwie trzecim wymaga oceny, czy w tym państwie regulacje prawne gwarantują taki sam poziom ochrony jak w państwach należących do EOG oraz czy istnieją gwarancje zapewniające przestrzeganie w praktyce praw i obowiązków odnoszących się do przetwarzania danych[21]. Administrator nie może zatem zlecić przetwarzania danych osobowych w państwie trzecim, gdzie nie jest możliwe zapewnienie zgodności przetwarzania danych z prawem obowiązującym w państwie jego siedziby.

Na podstawie art. 16 p.p.m. dobra osobiste osoby fizycznej, a więc także prawo do prywatności, jak i prawo do ochrony danych osobowych, podlegają jej prawu ojczystemu. Osoba fizyczna, której dobro osobiste zostało naruszone lub zagrożone naruszeniem, może żądać ochrony na podstawie prawa państwa, na którego terytorium nastąpiło zdarzenie powodujące to zagrożenie naruszenia lub naruszenie, albo prawa państwa, na którego terytorium wystąpiły skutki tego naruszenia.  

Ustalenie prawa właściwego dla naruszenia prywatności lub praw osobistych wynikłego z przetwarzania danych osobowych wymagać będzie zatem ustalenia:

1. obywatelstwa osoby fizycznej, której dane były przetwarzane;

2. miejsca, gdzie sprawca podjął działanie bezpośrednio zmierzające do naruszenia, a więc miejsca, gdzie dane osobowe były zbierane, przetwarzane i wykorzystywane (prawo miejsca czynu);

3. miejsca wystąpienia skutku w postaci niedozwolonego zbierania, przetwarzania i wykorzystywania danych osobowych.

 

W pierwszym przypadku miejscem czynu, a więc miejscem, gdzie na przykład dane osobowe pracownika nie zostały zabezpieczone przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (por. art. 36 ust. 1 u.o.d.o.), będzie miejsce siedziby pracodawcy[22]. W przypadku, gdy całość procesów związanych z działalnością przedsiębiorstwa odbywa się w chmurze obliczeniowej, miejscem czynu (jak również miejscem zdarzenia powodującego zagrożenie naruszenia lub naruszenie) będzie zazwyczaj miejsce siedziby dostawcy usług w chmurze, w szczególności wówczas, gdy tam też zlokalizowany jest główny serwer[23].

Trudności z określeniem miejsca skutku pojawiać będą się w szczególności wówczas, gdy serwery odpowiedzialne za poszczególne zadania będą zlokalizowane w różnych państwach. W takim wypadku miejscem powodującym zagrożenie naruszenia lub naruszenie albo miejscem wystąpienia skutku tego naruszenia może być na przykład miejsce zapisu danych osobowych, miejsce wprowadzenia (przesłania) na serwer, czy też miejsce, gdzie dane te zostały udostępnione[24].

W przypadku naruszenia prywatności lub praw osobistych wynikłego z przetwarzania danych osobowych poszkodowany będzie miał możliwość żądania zastosowania albo prawa polskiego z uwagi na fakt, że pracodawca ma tutaj siedzibę (prawo miejsca czynu), albo – dystrybutywnie – praw poszczególnych państw, w których zmaterializowały się skutki naruszenia. Ze względu na globalny (ogólnoświatowy) charakter chmury obliczeniowej publiczne udostępnienie przy jej pomocy danych osobowych może prowadzić do stwierdzenia przez sądy właściwości wielu różnych praw właściwych i potencjalnej kumulacji środków ochrony prawnej.

 

Wnioski

 

Aby uniknąć opisanych powyżej negatywnych konsekwencji, najlepszym rozwiązaniem powinno być zastosowanie prawa państwa, w którym doszło do naruszenia w wyniku bezpośredniej działalności konkretnego podmiotu, ze szczególnym uwzględnieniem związku takiej działalności z terytorium danego państwa (istnienia realnego związku). W tym względzie zasadne może być zwrócenie uwagi, czy w danym państwie pracuje znacząca część pracowników związanych z obsługą infrastruktury informatycznej odpowiedzialnej za świadczenie głównych (podstawowych) usług na danym terytorium. W tym miejscu warto odwołać się do wyroku Trybunału Sprawiedliwości UE z dnia 6.07.2003 r. w sprawie Bodil Lindqvist przeciwko Åklagarkammaren i Jönköping[25] w której stwierdził on, że „przekazywanie danych do państw trzecich w rozumieniu art. 25 dyrektywy 95/46 nie ma miejsca, w przypadku gdy osoba, która znajduje się w jednym z państw członkowskich, zamieszcza na stronie internetowej, przechowywanej przez dostawcę usług hostingowych mającego swoją siedzibę w tym samym państwie lub w innym państwie członkowskim, dane osobowe, czyniąc je w ten sposób dostępnymi dla każdego, kto połączy się z Internetem, w tym również dla osób, które znajdują się w państwie trzecim” (akapit Nr 71 uzasadnienia)[26]. Dążenie do zbliżenia przepisów w celu zapewnienia wysokiego poziomu ochrony danych osobowych oraz swobodnego przepływu usług i osób oznacza również konieczność ograniczenia zbyt szerokiego stosowania zasady terytorialności na rzecz zapewnienia „przestrzeni” wolności, pewności i prawa w ramach Unii Europejskiej.

 

 

Summary

Rules determining the jurisdiction for the enforcement of labor rights and violations of workers personal data in the cloud computing

 

This study was devoted to the presentation of numerous complications in determining national jurisdiction in matters relating to labor law in cross-border cloud computing. Particular attention was devoted to the rules determining the law applicable to violations of workers' rights and breaches of privacy or personal rights of employees and job applicants resulting from the processing of their personal data in the cloud.

Key words: Jurisdiction, cloud computing, labor law, personal data

Pojęcia kluczowe: Jurysdykcja, chmury obliczeniowe, prawo pracy, dane osobowe

 

 

* Maciej Siwicki, LL.M., dr, adiunkt w Katedrze Dziennikarstwa i Komunikacji Społecznej na Wydziale Politologii i Studiów Międzynarodowych Uniwersytetu Mikołaja Kopernika w Toruniu

 

 [PRZYPISY]

 

[1] Por. Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take–up, SMART 2011/0045, dostępne na: http://cordis.europa.eu/fp7/ict/ssai/docs/study45-d2-interim-report.pdf. Zob. też M. Siwicki, Ochrona praw autorskich, bezpieczeństwa systemów informatycznych, danych osobowych i tajemnicy telekomunikacyjnej w chmurach obliczeniowych, „Prokuratura i Prawo” 2015, Nr 5, s. 108–127; tenże, Przetwarzanie danych informatycznych w chmurach obliczeniowych. Wybrane aspekty prawnokarne i procesowe, „Palestra” 2015, Nr 1–2, s. 31–40. W Polsce niemal połowa (46%) przedsiębiorstw korzysta z outsourcingu funkcji ICT/IT. W Europie przodują w tym względzie Dania (76%) i Finlandia (70%). Najniższe udziały odnotowano w Bułgarii (22%), Litwie (21%) i na Węgrzech (20%). Zob. więcej na: file:///C:/Users/SMAK/Downloads/spoleczenstwo_informacyjne_ue__2005-2007.pdf.

[2] Pytanie to sprowadza się w szczególności do rozstrzygnięcia, czy dany sąd ma kompetencję do orzekania w danej sprawie oraz jakie prawo jest dla niej właściwe.

[3] Wynikiem tego jest rozdrobnione otoczenie prawne, w którym występuje brak pewności prawnej i nierówna ochrona osób fizycznych i prawnych.

[4] Dz. Urz. UE L 351 z 12.12.2012 r., s. 1, dalej jako: rozporządzenie Nr 1215/2012. Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane w państwach członkowskich.

[5] Dz.Urz. UE L 177 z 17.06.2008 r., s. 6 ze zm. 

[6] Miejsce zamieszkania osób prawnych jest określone w art. 63, zaś o miejscu zamieszkania osób fizycznych decyduje sąd rozpoznający sprawę, stosując własne prawo (art. 62 ust. 1). Jeżeli zaś strona nie ma miejsca zamieszkania w państwie członkowskim, którego sądy rozpoznają sprawę, sąd w celu ustalenia, czy strona ma miejsce zamieszkania w innym państwie członkowskim, stosuje prawo tego państwa członkowskiego (art. 62 ust. 2).

[7] Zob. więcej E. Skibińska, Pojęcie siedziby spółki handlowej – wybrane zagadnienia, w: Instytucje prawa handlowego w przyszłym kodeksie cywilnym, red. T. Mróz, M. Stec, Warszawa 2012, s. 704–722.

[8] (C-37/00, EU:C:2002:122)

[9] Zob. więcej P. Grzebyk, Jurysdykcja krajowa w sprawach z zakresu prawa pracy w świetle rozporządzenia Rady (WE) Nr 44/2001, Warszawa 2011, s. 29–50.

[10] A. Giedke, Cloud Computing, Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, München 2013, s. 137, tam też szerzej na temat technicznego wymiaru funkcjonowania chmury obliczeniowej.

[11] Zob. np.: M.A. Zachariasiewicz, Prawo właściwe dla zobowiązań z umów w braku wyboru prawa w konwencji rzymskiej, EPS 2009, Nr 7, s. 6–8; P. Fik, w: P. Fik, P. Staszczyk, Prawo właściwe dla zobowiązań umownych – rozporządzenie (WE) Nr 593/2008 (Rzym I). Komentarz, LEX el. 2013 (Komentarz do art. 8 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 593/2008 w sprawie prawa właściwego dla zobowiązań umownych Rzym I).

[12] Na gruncie polskiego ustawodawstwa problematykę sporów zbiorowych reguluje przede wszystkim ustawa z 23 maja 1991 r. o rozwiązywaniu sporów zbiorowych (Dz.U. Nr 55, poz. 236 ze zm.).

[13] Podkreślić należy, że również w pkt 27 zd. 2 preambuły do rozporządzenia wskazuje się, że w niniejszym rozporządzeniu przyjęto jako zasadę ogólną, że prawem właściwym dla sporu zbiorowego powinno być prawo państwa, w którym spór taki ma miejsce.

[14] C. Nordmeier, Cloud Computing und Internationales Privatrecht, Anwendbares Recht bei der Schaedigung von in Datenwolden gespeicherten Daten, MMR 2010, s. 151–156; A. Giedke, Cloud, s. 138–139, tam szersza literatura.

[15] G. Pfeifer, M. Weller, C. Normeiter, w: Recht der elektronischen Medien, Komentar, 2. Auflage, G. Spindler, F. Schuster (red.), München 2011, uwaga nr 2 do art. 9 Rom II, (za:) A. Giedke, Cloud, s. 138–139.

[16] Zob. szerzej M. Siwicki, Ochrona danych osobowych w zatrudnieniu w chmurze obliczeniowej, „Palestra” (w druku).

[17] Również art. 4 ust. 1 lit. c dyrektywy 95/46, który nakazuje stosowanie do przetwarzania danych osobowych przepisów prawa krajowego, gdy administrator danych nie prowadzi działalności gospodarczej na terytorium UE, lecz wykorzystuje do przetwarzania danych osobowych środki znajdujące się na terytorium państwa członkowskiego.

[18] Zob. więcej np.: B. Fischer, D. Karwala, Transfer danych osobowych do państw trzecich, PiP 2007, Nr 1, s. 100.

[19] Wytyczne dotyczące oceny ochrony danych w państwie trzecim zawarte w dokumencie Grupy Roboczej Art. 29 z dnia 26 czerwca 1997 r. Nr WP 4. Zob. więcej np.: M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej, LEX el. 2014 (4.2. Kryteria oceny stopnia ochrony zapewnianej przez państwo trzecie).

[20] Siedzibą osoby prawnej jest miejscowość, w której ma siedzibę jej organ zarządzający – art. 41 k.c.

[21] W Polsce w celu właściwej ochrony prawa i obowiązków w zakresie przetwarzania danych osobowych w państwach trzecich na administratora danych nałożono obowiązek wyznaczenia swojego przedstawiciela w Polsce, w przypadku gdy dane przetwarzane są przez podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim (art. 31a u.o.d.o.). 

[22] Warto przy tym nadmienić, że stosownie do art. 221§ 1 k.p. pracodawca może żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących: 1) imię (imiona) i nazwisko, 2) imiona rodziców, 3) datę urodzenia, 4) miejsce zamieszkania (adres do korespondencji), 5) wykształcenie, 6) przebieg dotychczasowego zatrudnienia, oraz na podstawie § 2 – również innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy, numeru PESEL pracownika, nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).

[23] Zob. więcej M. Siwicki, Odpowiedzialność dostawców i operatorów usług za naruszenie autorskich praw majątkowych w chmurze obliczeniowej, „Przegląd Sądowy” (w druku).

[24] Por. też M. Siwicki, Jurysdykcja i prawo właściwe dla umów przenoszących majątkowe prawa autorskie i umów licencyjnych oraz w przypadku naruszenia autorskich praw w chmurach obliczeniowych, „Prokuratura i Prawo” (w druku), tam szerzej.

[25] C-101/01, EU:C:2003:596.

[26] Warto także odwołać się do opinii rzecznika generalnego w przedmiotowej sprawie wydanej na posiedzeniu w dniu 19 września 2002 r., w której stwierdzono, że przetwarzanie danych osobowych z wykorzystaniem strony internetowej, której celem nie jest osiągnięcie zysku, ale działalność pomocnicza dla katechety wykonującego działalność w ramach wolontariatu wykraczającego poza jakikolwiek stosunek pracy, nie jest objęte postanowieniami dyrektywy 95/46 (EU:C:2002:513, akapit Nr 46 opinii). 



 

Copyrights © 2016 - PALESTRA