Z treści RODO jednoznacznie wynika, że przedsiębiorstwo może być administratorem danych osobowych. Niestety powyższe zdanie jest prawdziwe pod warunkiem, że pominiemy polską wersję językową dyrektywy, która wprowadza do RODO pojęcie przedsiębiorcy. Co więcej, w tłumaczeniu zawiera ona karygodny błąd merytoryczny oraz cechuje się rażącą niekonsekwencją – to samo słowo (np. enterprise) tłumaczone jest czasem jako „przedsiębiorca” a czasem jako „przedsiębiorstwo”. Trudno jednak mieć pretensje wyłącznie do tłumaczy. Od czasu wdrożenia RODO minęło kilka lat, a poza bardzo nielicznymi przypadkami, nikt nie dostrzegł tego problemu. Znacznie gorsze jest jednak to, że nie najprawdopodobniej nie powstała żadna analiza dotycząca skutków tego błędu oraz wniosków, jak należy stosować RODO w Polsce.
Zacznę więc od jednoznacznej tezy, że mamy obowiązek stosować RODO z pominięciem błędu zawartego w polskiej wersji art. 4 pkt 18 RODO. Przemawia za tym nie tylko to, że Rozporządzenie musi być wykładane jednolicie na terenie całej Unii Europejskiej, ale też to, że pojęcie przedsiębiorstwo jest użyte w innych przepisach, w tym w szczególności w art. 82 i 83 RODO, czyli tych dotyczących sankcji administracyjnych i odpowiedzialności cywilnej.
Powyższe oznacza jednak, że wielu czytelników musi odbyć przyspieszony kurs prawa administracyjnego i to sięgając do podręczników, bo liczne książki poświęcone RODO raczej nie pomogą. Przejdę więc do rzeczy.
Po pierwsze należy przypomnieć, że RODO jest aktem prawa administracyjnego, czyli ujmując rzecz najogólniej, aktem prawnym regulującym czynności i zadania związane ze sferą interesu publicznego i praw człowieka. Z tego m.in. powodu w motywie 4 jest mowa o tym, że przetwarzanie danych ma służyć ludzkości.
Po drugie, z powodów opisanych powyżej na potrzeby dyskusji o administratorze danych osobowych nie interesują nas regulacje kodeksu cywilnego. Innymi słowy, nie interesuje nas ani definicja przedsiębiorcy z art. 431 k.c., ani definicja przedsiębiorstwa z art. 551 k.c. Przepisy te dotyczą bowiem przede wszystkim obrotu cywilnego, a nie stosowania prawa. Istnieją pewne powiązania wspomnianych definicji z RODO, ale mają one charakter wtórny i potrzebują szerszego omówienia.
Po trzecie, wiążącą dla RODO definicję przedsiębiorstwa zawiera Rekomendacja Komisji z dnia 6 maja 2003 r. dotycząca definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Powyższe wynika z treści motywu 13. Innymi słowy, definicję z art. 4 pkt 18 trzeba odczytywać łącznie z definicją zawartą w powyższej Rekomendacji. A zgodnie z tym aktem przedsiębiorstwem jest każdy podmiot prowadzący działalność gospodarczą niezależnie od formy prawnej, w tym m.in. zakłady jednoosobowe, rodzinne i rzemieślnicze. Zatrzymam się w tym miejscu, bo jest ono kluczowe. Otóż na potrzeby prawa publicznego prawo europejskie nie posługuje się pojęciem przedsiębiorcy, np. osoby fizycznej, ale pojęciem jednostki organizacyjnej, w tym jednostki jednoosobowej lub rodzinnej.
Po czwarte, przedsiębiorstwa występują w RODO, ale też w innych przepisach unijnych jako podmioty prawa. Dla przykładu, w motywie 48 dyrektywy sygnalistycznej (2019/1937) stwierdza się wprost, że przedsiębiorstwo jest podmiotem prawnym. Tyle tylko, że chodzi tu o podmiotowość publicznoprawną. Ujmując rzecz inaczej, gdy RODO, dyrektywa 2019/1937 czy też przywołana wyżej Rekomendacja wskazują na podmiotowość przedsiębiorstwa, to nie czynią tego na potrzeby czynności prawa cywilnego (np. zawierania kontraktów), ale tylko na potrzeby prawa publicznego, np. na potrzeby przetwarzania danych osobowych lub prowadzenia dochodzeń wewnętrznych w interesie publicznym.
Po piąte, przedsiębiorstwa mogą mieć osobowość prawną lub nie. Spółki kapitałowe są przedsiębiorstwami posiadającymi osobowość prawną, ale przedsiębiorstwa prowadzone przez osoby fizyczne lub np. stowarzyszenia już nie. Powyższe wynika z tego, że spółki powoływane są wyłącznie w celu prowadzenia działalności gospodarczej. Nie można więc oddzielić podmiotowości spółki od przedsiębiorstwa. Tymczasem osoba fizyczna jest odrębnym od przedsiębiorstwa podmiotem prawnym.
Wnioski wynikające z powyższej analizy nie mają więc wielkiego znaczenia dla spółek kapitałowych. Są jednak bardzo istotne dla np. osób fizycznych prowadzących działalność gospodarczą. Okazuje się bowiem, że administratorami danych osobowych przetwarzanych w ramach działalności gospodarczej nie są osoby fizyczne-właściciele przedsiębiorstw w rozumieniu art. 551 k.c., ale prowadzone przez nie jednostki organizacyjne. Z perspektywy RODO jednostki te są bowiem podmiotami prawnymi posiadającymi tzw. osobowość publicznoprawną, choć nie posiadają osobowości cywilnoprawnej. Oznacza to m.in., że jeśli dana osoba prowadzi kilka przedsiębiorstw, to będziemy mieli do czynienia z kilkoma administratorami. Tym samym to one powinny być uczestnikami postępowań administracyjnych prowadzonych przez Prezesa UODO, a w przypadku wymierzania kar administracyjnych na podstawie art. 83 RODO ich obroty nie powinny być kumulowane.
Przeprowadzone wyżej ustalenia wywołują oczywiście bardzo ciekawe pytania związane ze zdolnością procesową powyższych administratorów w postępowaniach z art. 82 RODO oraz odpowiedzialnością właścicieli za skutki naruszeń RODO przez przedsiębiorstwa. Ten wątek wykracza poza zakres tego tekstu, dlatego ograniczę się do kilku zdań. Po pierwsze, art. 82 RODO, art. 64 § 11 k.p.c. oraz art. 331 § 1 i 2 k.c. dostarczają wystarczających narzędzi do ustalenia, że w zakresie naruszenia RODO przedsiębiorstwo-administrator może być pozwane w procesie cywilnym, a właściciel i tak będzie odpowiedzialny za skutki deliktów w sferze przetwarzania danych osobowych. Po drugie, przetwarzanie danych przez podmioty nieposiadające osobowości prawnej nie jest niczym nadzwyczajnym, żeby wspomnieć np. o szkołach. Tym samym problem odpowiedzialności cywilnej za działania administratora nie jest niczym nowym. Po trzecie, dla prawnika zajmującego prawem pracy, gdzie dane osobowe mogą być przetwarzane przez tzw. pracodawców wewnętrznych, powyższe dylematy są dobrze znane, ponieważ rozwiązuje się je przez orzecznictwo od kilkudziesięciu lat.
Niniejszy tekst nie wyczerpuje wszystkich zagadnień związanych z przetwarzaniem danych w związku z prowadzeniem działalności zarobkowej. Jednak dopiero wraz z ustaleniem, że dane osobowe przetwarza przedsiębiorstwo, można otworzyć dyskusję na temat przetwarzania danych przez zakłady przedsiębiorstw, w tym zakłady pracy oraz prowadzone przez przedsiębiorstwa zakłady administracyjne. Kluczowe jest bowiem to, że samodzielne decyzje o przetwarzaniu danych osobowych w imieniu administratora może podejmować znacznie więcej organów niż sam tylko przedsiębiorca. Widać to dobitnie w prawie pracy. O tym, czy przetwarzać dane czy nie mogą czasem samodzielnie decydować przełożeni, inspektorzy służby BHP, zespół powypadkowy, komisja socjalna czy też komisja antymobbingowa. Dlatego właśnie odróżnienie przedsiębiorcy od przedsiębiorstwa jest tak ważne dla praktyki.
