Uwagi wstępne
Problematyka rejestru przetwarzania danych osobo- wych rodzi jedną z ciekawszych dyskusji na gruncie RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 679/2016 z 27 kwietnia 2016 r. w spra- wie ochrony osób fizycznych w związku z przetwarza- niem danych osobowych i w sprawie swobodnego prze- pływu takich danych, Dz. Urz. UE L 119) Przypomnij- my, że zgodnie z art. 30 RODO administrator danych osobowych, ale także podmiot przetwarzający mają
obowiązek prowadzić rejestr czynności przetwarzania danych osobowych. Nie wchodząc w szczegóły treści re- jestru trzeba jasno powiedzieć, że jeśli potraktować ten obowiązek poważnie, to jest to czynność uciążliwa, a przez to generująca koszty i zajmująca czas. Jest to też czynność wcale niełatwa. Wymaga bowiem stałej obser- wacji procesów przetwarzania danych, które wszak są zmienne w miarę rozwoju organizacji.
Dostrzegł to prawodawca unijny wprowadzając w art. 30 ust. 5 RODO wyjątek od powyższego obowiąz- ku, choć pod pewnymi warunkami1. I właśnie to, czy wy-
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych a poziom zatrudnienia
The duty to maintain a record of processing activities concerning personal data in the context
of the level of employment
Arkadiusz Sobczyk
profesor zwyczajny, Wydział Prawa i Administracji Uniwersytetu Jagiellońskiego
Streszczenie Przetwarzanie danych osobowych na podstawie RODO jest niewątpliwie uciążliwością dla przedsiębiorców. Z tego powodu RODO wprowadza rozwiązania uprzywilejowujące w zakresie prowadze- nia rejestru czynności przetwarzania danych osobowych przez mikro, małe i średnie przedsiębiorstwa, defi- niowane przez wielkość zatrudnienia. Zdaniem autora rodzi to potrzebę analizy relacji RODO do polskich rozwiązań prawnych w kontekście konstrukcji tzw. pracodawcy wewnętrznego oraz pojęcia zatrudnianie pra- cowników. Istnieje też konieczność ustalenia punktów odniesienia w celu określenia wielkości zatrudnienia, którym powinien być podmiot będący administratorem danych osobowych. Oznacza to, że w ramach osób prawnych osoby zatrudnione mogą być zaliczane do różnych struktur w zależności od zakresu przetwarza- nych danych. Zwłaszcza jeśli się przyjmie, że pracodawcy wewnętrzni lub państwowe jednostki organizacyj- ne są administratorami danych pracowniczych w imieniu własnym, nie będąc autonomicznym administrato- rem w zakresie przetwarzania innych danych.
Słowa kluczowe: rejestr przetwarzania danych osobowych, mikroprzedsiębiorstwo, małe przedsiębiorstwo, średnie przedsiębiorstwo, wielkość zatrudnienia, pojęcie zatrudnienia.
Summary Personal data proceeding based on GDPR is an undoubtable inconvenience for entrepreneurs. Due to this fact, GDPR introduces more favourable solutions within the scope of maintaining a record of processing activities when it comes to microenterprises, small enterprises and medium enterprises, as defined by their level of employment. The above causes a need to analyse the mutual relation between GDPR and the provisions of Polish legal acts within the context of the concept of, co called, internal employer, and within the context of the notion of employment. Regardless of the above, there is a need to set the reference points in order to determine the level of employment, which should be the entity being the controller of the personal data. The above means that within the legal persons, the employees may be included in various structures, depending on the scope of proceeding. Especially if one assumes that the internal employers or state organisational entities are controllers on their own behalf, while not being independent controllers within the scope of proceeding of the other data.
Keywords: record of processing activities, personal data, microenterprise, small enterprise, medium enterprise, employment level, notion of employment.
jątek taki dotyczy pracodawców i w jakim zakresie, bę- dzie przedmiotem analizy.
A rzecz niestety nie jest łatwa. Przepis art. 30 ust. 5 RODO jest kłopotliwy nie tylko z punktu widzenia wy- kładni literalnej, ale i systemowej. Co do wykładni lite- ralnej problemem jest to, czy można prowadzić rejestry w formie plików elektronicznych również wtedy, gdy nie są one opatrzone podpisem elektronicznym. Rozstrzy- gnięcia tej kwestii — przynajmniej na pozór — RODO nie ułatwia, wskazując, że rejestry „mają formę pisem- ną, w tym formę elektroniczną”.
Myślenie w kategorii czynności prawnych prawa cy- wilnego, a precyzyjnie oświadczeń woli, sugerowałoby, że chodzi o formę elektroniczną zrównaną z formą pi- semną, czyli o tzw. podpis elektroniczny. Tyle tylko, że jest to z gruntu fałszywy punkt widzenia. RODO jest aktem ponadnarodowego prawa publicznego i nakłada na administratora i podmioty przetwarzające obowiązki publiczne. Tym samym — na co zresztą wskazuje się w literaturze — znaczenie używanych w nim pojęć jest autonomiczne w stosunku do krajowych systemów prawnych, a w stosunku do prawa prywatnego w szcze- gólności. Sens powyższej regulacji jest więc tylko taki, że tekst rejestru musi zostać utrwalony. To, czy utrwale- nie ma postać papieru, pliku, czy — nieco żartując — ryciny, nie ma znaczenia.
Jednak to nie koniec problemów z wykładnią literal- ną, a z wykładnią polskiej wersji RODO w szczególno- ści. Mając na uwadze, że rozwiązanie tych problemów wymaga zaangażowania wykładni celowościowej, zosta- ną one omówione na kanwie dwóch dodatkowych py- tań. Pierwsze, jaki jest zakres podmiotowy wyłączeń z obowiązku prowadzenia rejestrów. Drugi — jak się ma powyższy zakres do przetwarzania danych osobo- wych pracowników. Tego ostatniego wątku jednak w tym miejscu nie rozwijam.
Motyw nr 13 a art. 30 ust. 5 RODO
Przechodząc do pytania o zakres podmiotowy omawia- nego wyłączenia trzeba przede wszystkim stwierdzić, że można odnieść wrażenie o występującej rozbieżności treści RODO. Zgodnie bowiem z jego motywem nr 13
„z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozpo- rządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniają- cych mniej niż 250 pracowników”. Pomijam na tym eta- pie poprawność tłumaczenia polskiej wersji językowej, zwracając jedynie uwagę na to, że wiele innych wersji nie używa zwrotu „podmiot zatrudniający”, ale „organi- zacja zatrudniająca”. Wracając do istoty problemu na- leży podkreślić, że powyższy motyw sugeruje, iż wyjątek ten nie obejmuje innych podmiotów zatrudniających niż przedsiębiorcy. Tymczasem zgodnie z art. 30 ust. 5 RO- DO wyjątek pozwalający na nieprowadzenie rejestru dotyczy „przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób”.
Przy interpretacji nie pomaga przy tym tekst angiel- ski, który w art. 30 ust. 5 stanowi o „enterprise or an or-
ganisation employing fewer than 250 persons”, podczas gdy w motywie nr 13 pisze się: „To take account of the specific situation of micro, small and medium-sized en- terprises, this Regulation includes a derogation for or- ganisations with fewer than 250 employees with regard to record-keeping”. Z powyższego wynika, że odróżnia się jednak przedsiębiorcę od organizacji, co ostatecznie może sugerować, że treść RODO rozszerza wyjątki określone w motywie na podmioty niebędące przedsię- biorcami.
Może to budzić sprzeciw nie tylko z pozycji spójności aktu prawnego, ale także aksjologii. Stało się to zresztą przedmiotem dyskusji w literaturze. Z jednej strony na- leży odnotować stwierdzenie, zgodnie z którym „(…) szerokie ujęcie podmiotowe wyjątku świadczy o woli nienakładania nieadekwatnych obciążeń biurokratycz- nych na małe podmioty o nierozwiniętej organizacji, bez względu na formę prawną prowadzonej działalno- ści, jej cel (w szczególności gospodarczy) oraz prywat- noprawny lub publicznoprawny charakter” (Lubasz, 2018, s. 679).
Z drugiej strony wypowiedziano pogląd, że „choć po- jęcie to (organizacja — A.S.) również jest dalece otwar- te, zdaje się jednak ograniczać możliwość uznania za podlegające wyłączeniu wszelkie organy i podmioty pu- bliczne realizujące zadania władzy publicznej” (Wygo- da, 2018, s. 347). Stwierdzono zarazem, że zgodnie z za- sadą równości należy ujednolicić w kontekście RODO sytuację przedsiębiorstw oraz „podmiotów niepublicz- nych, czyli różnorakich organizacji, fundacji, stowarzy- szeń, kościołów czy związków wyznaniowych (…) Nie ma jednak istotnego powodu, by działania podejmowa- ne przez organy i podmioty publiczne, nawet potencjal- nie, cieszyły się tymi samymi przywilejami, zwłaszcza w kontekście realizacji kompetencji władczych. Stoso- wanie interpretatio restrictiva w kontekście omawianego wyjątku zdaje się mieć pierwszeństwo przed innymi re- gułami egzegezy, zwłaszcza że wykładnia literalna nie może być użyta skutecznie wobec dość daleko idących rozbieżności językowych w różnych wersjach tekstu RODO” (Wygoda, 2018, s. 347).
Zacznijmy od spostrzeżenia, że wspominana wyżej rozbieżność jest chyba pozorna, ponieważ w wypowie- dzi D. Lubasza nie odnotowuję stwierdzenia, że wyjątek z art. 30 ust. 5 dotyczy podmiotów państwowych, a jedy- nie podmiotów publicznych. Z drugiej strony nie po- dzielam poglądu, że fundacje, stowarzyszenia, kościoły itp. są organizacjami niepublicznymi (Wygoda, 2018, s. 347). Organizacje te są w moim przekonaniu w spo- sób oczywisty organizacjami publicznymi (społeczny- mi), choć nie są organizacjami państwowymi. Realizują bowiem wyłącznie konstytucyjne prawa jednostek, czyli są elementem organizacji państwa. Fakt czerpania przez nie z prywatnych zasobów finansowych nie ma znaczenia już choćby dlatego, że środki finansowe prze- znaczone przez osobę prywatną na działanie organizacji społecznych (fundatora, członka organizacji itp.) stają się od razu środkami publicznymi. Pomijam szczególną sytuację Kościoła katolickiego, który cieszy się w Polsce znacznym zakresem eksterytorialności.
I wreszcie, przytoczony wyżej passus zdaje się nie do- strzegać, że znaczna część zadań publicznych jest wyko- nywana przez podmioty prywatne (czasem osoby fizycz- ne) oraz społeczne, na zasadzie zadań zleconych. Traf- na jest więc intuicja zwarta w wypowiedzi K. Wygody, iż państwo nie powinno obciążać małych organizacji spo- łecznych obowiązkiem prowadzenia rejestrów, jednak niestety nie ma pewności, czy RODO rzeczywiście daje ku temu podstawy.
Przedsiębiorca a pracodawca
Pragnąc usystematyzować zarysowaną wyżej proble- matykę należy rozpocząć od tego, że wykładnia RO- DO musi być „prounijna”; w tym kontekście należy odczytywać prawo polskie. Z brzmienia art. 30 ust. 5 wynika, że przepis dotyczy m.in. przedsiębiorcy za- trudniającego pracowników, tymczasem w polskim porządku prawym przedsiębiorca nikogo nie zatrud- nia. Zatrudnia pracodawca, który bywa przedsiębior- cą2. Tak samo jak do niedawna nie istniało pojęcie
„podmiot zatrudniający”. Polskie prawo pracy w kon- tekście zatrudnienia posługuje się pojęciem praco- dawca, którym jest jednostka organizacyjna lub osoba fizyczna zatrudniająca pracowników. Dopiero ostat- nio pojęcie to pojawia się w kontekście objęcia ustawą związkową nowych grup tzw. zatrudnionych niebędą- cych pracownikami.
Mając na uwadze wspomnianą wyżej wykładnię pro- unijną, art. 30 ust. 5 RODO musimy wykładać w takim powiązaniu z tekstem prawa polskiego, aby nie zatracić sensu rozporządzenia. Zacznijmy od „przedsiębiorcy zatrudniającego mniej niż 250 osób”. Otóż przepis ten trzeba odczytać co najmniej w czterech kontekstach.
Po pierwsze, obejmuje on swoim zakresem tych „pol- skich” pracodawców, którzy zatrudniają pracowników do wykonywania pracy w przedsiębiorstwach, czyli do jednostek gospodarczych. Tym samym analizowany w tym fragmencie przepis nie dotyczy jednostek organi- zacyjnych będących pracodawcami a niebędących przedsiębiorcami lub szerzej — pracodawców nieza- trudniających osób do pracy w przedsiębiorstwach. Nie dotyczy także osób fizycznych zatrudniających pracow- ników dla celów domowych.
Po drugie, ustalając wielkość zatrudnienia należy ob- jąć pracowników tymczasowych. Nie jest bowiem istot- ne zatrudnienie formalne, ale to, dla którego „przedsię- biorstwa pracownik pracuje”.
Po trzecie, istnieje poważny problem z ustaleniem wpływu, jakie dla obliczenia poziomu zatrudnienia ma
„zatrudnianie” polskich „zatrudnionych zleceniobior- ców”. Aby głębiej rozważyć tę kwestię, należy odnieść się do motywu nr 13 RODO, który nakazuje definiować pojęcie mikro, małych i średnich przedsiębiorstw (dalej:
MŚP) zgodnie z art. 2 załącznika do zalecenia Komisji 2003/361/WE (zalecenie z 6 maja 2003 r. dotyczące de- finicji małych i średnich przedsiębiorstw, Dz. Urz.
L 124). Powstaje w tym miejscu pytanie, czy zastosowa- nia nie znajdzie cały ten załącznik. Powyższe oznaczało- by, że określając poziom zatrudnienia należy uwzględ-
nić jeszcze inne osoby wykonujące pracę w przedsię- biorstwie — z właścicielami kierującymi przedsiębior- stwami włącznie3. Do tego wątku jeszcze wrócimy, jed- nak na razie przyjmuję założenie, że odpowiedź jest po- zytywna. Problem w tym, że definiując pracownika za- łącznik odwołuje się do definicji prawa krajowego.
Tymczasem państwo polskie nazywa zleceniobior- ców „zatrudnionymi”, choć nie nazywa ich pracowni- kami. Nie nazywając ich w ten sposób polski ustawo- dawca systematycznie przyznaje im jednak prawa pracownicze czy to w zakresie płacy godziwej (tzw.
stawka godzinowa), czy to ochrony życia i zdrowia, czy też ostatnio prawa zrzeszania się. Wreszcie warto dostrzec, że z § 5 załącznika wynika, że do osób za- trudnionych zalicza się przedsiębiorców i pracują- cych wspólników, co uzasadnia jedynie potrzebę po- szukiwania konstytucyjnego, a nie ustawowego rozu- mienia pracownika. Tym samym — moim zdaniem — osoby takie powinny zostać zaliczone do grupy „za- trudnionych”.
Po czwarte, przepis w zakresie, w jakim dotyczy przedsiębiorcy, trzeba odczytywać w kontekście moty- wu nr 13 RODO. Przypomnijmy, że motyw ten ma na celu ułatwienie funkcjonowania przedsiębiorcom, a nie pracodawcom. Jest to zrozumiałe nie tylko z powodów organizacyjnych lecz także kosztowych. Pojęcie praco- dawcy nie pada w motywie nr 13 być może z tego powo- du, że sytuacją typową jest, iż przedsiębiorca zatrudnia- jący pracowników posiada także status pracodawcy. Ty- le tylko, że w kontekście prawa polskiego pojęcie przed- siębiorcy i pracodawcy nie pokrywa się nawet wtedy, gdy zatrudnianie dotyczy pracy w przedsiębiorstwie.
Mówiąc konkretnie, w ramach przedsiębiorstw mogą istnieć jednostki organizacyjne zatrudniające pracowni- ków, które nie są przedsiębiorcami (tzw. pracodawcy wewnętrzni)4.
A skoro tak, to pojęcie „przedsiębiorca zatrudniają- cy pracowników” nabywa nowego sensu. Ustalając 250- osobowy próg zatrudnienia należy bowiem uwzględnić wszystkich zatrudnionych, w tym zatrudnionych u tzw.
pracodawców wewnętrznych. Jest to zresztą logiczne z dwóch innych powodów. Pierwszy to obowiązek uwzględnienia tzw. zleceniobiorców (przy założeniu, iż są oni pracownikami konstytucyjnymi), którzy nie mogą zawrzeć umów z tzw. pracodawcą wewnętrznym, ponie- waż pracodawcy ci nie mają zdolności prawnej oraz nie mają zdolności do czynności prawnych. Ich zdolność do zwierania umów o pracę wynika z konkretnego przepi- su, a ponadto co najmniej można mieć poważne wątpli- wości, czy nie jest to tzw. zdolność administracyjno- prawna, dla posiadania której cywilistyczna zdolność prawna jest zbędna5.
Jest jednak i drugi argument. Otóż zwolnienie z obo- wiązku prowadzenia rejestrów danych dotyczy przetwa- rzania wszystkich danych, a nie tylko pracowniczych.
Tym samym chodzi także o dane, którymi pracodawca wewnętrzny nie może administrować z mocy samego prawa. Nie może np. zbierać danych o celach marketin- gowych, bowiem jako jednostka organizacyjna niepro- wadząca działalności gospodarczej, a jedynie zatrudnia-
jąca pracowników do obsługi przedsiębiorstwa, nie pro- wadzi działalności gospodarczej.
Dlatego punktem odniesienia dla wykładni art. 30 ust. 5 RODO musi być przedsiębiorca, a nie jego we- wnętrzna struktura. Wynika to zresztą z treści przepisu, który stanowi, że „obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy…”. Przypo- mnijmy, że wymieniony w przepisie ust. 1 dotyczy obo- wiązków administratora. Przepis musi się więc odnosić do tych procesów przewarzania danych, którymi admi- nistruje przedsiębiorca, a nie pracodawca wewnętrzny, o ile ten ostatni w ogóle przetwarza dane w rozumieniu RODO. Odmienna wykładnia prowadziłaby do tego, że spółka przetwarzająca dane osobowe mogłaby zwolnić się z obowiązku prowadzenia rejestrów przez zabieg po- legający na „przesunięciu” pracowników do pracodaw- ców wewnętrznych oraz zmniejszenie lub eliminację za- trudnionych.
Przedsiębiorca — podmiot zatrudniający i organizacja
Przechodząc do drugiej grupy podmiotów zwolnionych z obowiązku prowadzenia rejestrów, a mianowicie
„podmiotów zatrudniających”, należy rozpocząć od te- go, że — jak wspomniałem wcześniej — inne wersje ję- zykowe RODO używają pojęcia „organizacja zatrudnia- jąca” (np. wersja angielska), a nie „podmiot zatrudnia- jący”.
Gdyby przyjąć, że polskie tłumaczenie art. 30 ust. 5 RODO jest trafne, a ponadto gdyby zastosować wykład- nię literalną, to pojęcie „podmiot zatrudniający” jest za- wsze pojęciem szerszym niż pojęcie „przedsiębiorca za- trudniający”. I nie ma tu znaczenia, że w polskim pra- wie pracy nie jest to pojęcie znane. Przy założeniu po- prawności polskiej wersji można by dojść do trzech wniosków.
Po pierwsze, że przepis jest skonstruowany wadliwe, ponieważ każdy przedsiębiorca zatrudniający pracowni- ków jest zarazem podmiotem zatrudniającym.
Po drugie, że przepis wykracza poza zakres motywu nr 13, czyniąc go zarazem hipokryzyjnym. Oto prawo- dawca unijny poświęca spory fragment tekstu, aby po- kazać, jaką wykazuje wrażliwość dla mikro, małego i średniego biznesu, po to aby zastosować mechanizm zwolnienia do wszystkich innych zatrudniających do 250 osób.
Po trzecie, że gdyby utożsamić pojęcie „podmiot za- trudniający” z polskim pojęciem „pracodawca”, to oka- załoby się, że zwolnione z obowiązku prowadzenia reje- strów są także instytucje państwowe, przez co należy ro- zumieć również instytucje samorządowe, zatrudniające do 250 osób. Tymczasem państwo nie powinno korzy- stać z takiego przywileju, bowiem stać je na to, by chro- nić dane osobowe, i powinno być w tym zakresie wzo- rem dla obywateli.
Zanim zaaprobujemy powyższy punkt widzenia nale- ży rozważyć, czy nie jest on jednak dotknięty błędem.
Kluczowe jest przy tym, czy art. 30 ust. 5 rzeczywiście realizuje wyłącznie deklarację z motywu nr 13 RODO.
Jeśli jest to założenie poprawne, to nakazywałoby od- czytywać art. 30 ust. 5 RODO wyłącznie w kontekście motywu nr 13, a w konsekwencji poszukiwać w słowie
„podmiot zatrudniający” czy też „organizacja zatrud- niająca” związku z mikro, małą lub średnią przedsię- biorczością.
Powyższe rozumowanie prowadziłoby w dwóch kie- runkach. Pierwszy jest taki, że chodziłoby o przypadki przetwarzania danych osobowych przez „podmiot za- trudniający” lub „organizację zatrudniającą” w ramach przedsiębiorstwa. W naturalny sposób wracamy tu do analizowanego już wcześniej statusu tzw. pracodawcy wewnętrznego. Pracodawca taki — jeśli przyjmiemy za- łożenie, że jest on administratorem danych osobowych w rozumieniu RODO — jest niewątpliwie podmiotem zatrudniającym. W tym sensie polska wersja RODO jest nawet lepsza niż angielska, ponieważ pracodawca będący jednostką organizacyjną spółki w rozumieniu art. 3 k.p. nie jest organizacją. Nie jest to jednak argu- ment kluczowy i można z niego bez trudu wybrnąć na- wet przy wersji angielskiej. Skoro posługujemy się poję- ciami autonomicznymi, to można byłoby wywieść, że przez organizację rozumie się w RODO każdą struktu- rę, czyli także „jednostkę organizacyjną”.
W każdym razie przyjęcie takiej wykładni oznaczało- by, że pracodawcy wewnętrzni zatrudniający mniej niż 250 osób nie musieliby prowadzić ewidencji czynności przetwarzania danych, oczywiście w takim zakresie, w jakim są administratorami. Oznaczałoby zarazem, że podmioty zatrudniające niezwiązane z przedsiębiorca- mi, jak np. organizacje społeczne czy też jednostki orga- nizacyjne państwa, nie korzystałby z przywileju z art. 30 ust. 5 RODO.
Moim zdaniem ten kierunek wykładni jest jednak wadliwy. Powyższa wykładnia sprowadzałaby się do te- go, że w zakresie części danych osobowych „przedsię- biorca zatrudniający” 1000 osób w swoich pięciu wyod- rębnionych zakładach korzystałby z przywileju, na któ- rego sfinansowanie go stać. Poza tym pracodawcy we- wnętrzni nie są przedsiębiorcami, a tylko do nich skie- rowany jest przywilej.
W tej sytuacji należy przedstawić drugi możliwy do zasto- sowania w praktyce kierunek wykładni art. 30 ust. 5 w zgodzie z motywem nr 13. Gdyby bowiem przyjąć, że w przepisie chodzi o powiązaną z przedsiębiorstwem organizację zatrudniającą pracowników, to kierunek poszukiwań powinien iść „poza”, a nie do „wewnątrz”
przedsiębiorstwa. Innymi słowy, należałoby poszukiwać zatrudnienia w ramach spółek powiązanych, a nie tylko w ramach spółek pojedynczych. Powyższe można by uzasadnić na kilka sposobów. Przede wszystkim chodzi o kwestię wartości. Trudno uznać holding skupiający wiele spółek zatrudniających co najmniej 249 osób za małego lub średniego przedsiębiorcę. Oznaczałoby to, że ustalając liczbę zatrudnionych „w organizacji” należy uwzględnić zatrudnionych u przedsiębiorców będących jego częścią. Przeciwko takiej wykładni nie przemawia zresztą nawet polska wersja RODO, albowiem — jak była o tym mowa — pojęcie „podmiot zatrudniający”
jest pojęciem autonomicznym, czyli trzeba je odczyty-
wać funkcjonalnie, i to niezależnie od tego, że pojawia się już w polskim ustawodawstwie.
Jednak powyższy tok rozumowania ma swoje istotne słabości. Po pierwsze, nie wiadomo, kto byłby owym podmiotem zatrudniającym, a zarazem administrato- rem korzystającym z przywileju z art. 30 ust. 5 RODO.
Czy byłby to „podmiot kierujący” ową organizacją, czy każdy z jej członków.
Po drugie, trzeba ponownie wrócić do zakresu sto- sowania wspomnianego już wyżej załącznika do zalece- nia Komisji 2003/361/WE. Jak wspomniałem, motyw 13 RODO nakazuje stosować do definiowania przed- siębiorców art. 2 załącznika, zgodnie z którym zakwali- fikowanie przedsiębiorstwa do MŚP zależy nie tylko od progu zatrudnienia, ale i obrotów. Tyle tylko, że prze- pis ten nie zawiera informacji o metodzie liczenia po- wyższych wskaźników. Pozwala na to dopiero analiza pozostałych przepisów załącznika. Z nich z kolei wyni- ka, że w przypadku tzw. przedsiębiorstw związanych lub partnerskich dla określenia wielkości zatrudnienia w przedsiębiorstwie należy co najmniej częściowo uwzględnić zatrudnienie w podmiotach powiązanych.
Jeśli przyjąć, że RODO nakazuje stosować art. 2 za- łącznika w sposób efektywny, to nakazuje także — choć pośrednio — zastosować określone w załączniku meto- dy uwzględniania zatrudniania w spółkach grupy kapi- tałowej. A w takim przypadku nie byłoby potrzeby, aby poszukiwać rozwiązania w słowie „podmiot zatrudnia- jący” lub „organizacja zatrudniająca”. I taka też wy- kładnia wydaje się trafna.
Przeprowadzony wyżej wywód prowadzi do wniosku, że pojęcie podmiot zatrudniający lub organizacja za- trudniająca musi się odnosić do innych podmiotów niż przedsiębiorca. Tym samym trzeba zerwać z założe- niem, że przepis art. 30 ust. 5 RODO realizuje wyłącz- nie postulat określony w motywie nr 13.
W konsekwencji przepis dotyczy wszystkich podmio- tów zatrudniających, choć należy podkreślić, że zwrot
„organizacja” byłby jednak lepszy od zwrotu „podmiot zatrudniający”, przynajmniej z perspektywy polskiej tradycji językowej. Pojęcie organizacja silniej sugeruje czynnik ludzki, a nie komercyjny. Ponadto niewątpliwie istnieją organizacje niebędące przedsiębiorstwami, co przynajmniej spełniałoby zakres częściowej rozłączno- ści między „przedsiębiorcą” zatrudniającym pracowni- ków a „organizacją”.
Ważniejsze jest jednak pytanie o zatrudnienie w strukturach państwa. Otóż nie powinno budzić wąt- pliwości, że państwo jest organizacją. Nie oznacza to jednak, że wyjątek z art. 30 ust. 5 RODO będzie miał zastosowanie do zatrudniania w jednostkach państwo- wych. Podobnie bowiem jak w przypadku przedsię- biorstwa, tak i w przypadku organizacji należy patrzeć na przepis z pominięciem krajowej definicji praco- dawcy. Oznacza to, że wszystkich pracowników za- trudnionych w sektorach finansowanych przez Skarb Państwa należy traktować łącznie. To samo należy od- nieść do samorządów, które można traktować jako oddzielne od państwa organizacje z uwagi na posiada- ną osobowość prawną i inny skład osobowy (gmina ja-
ko wspólnota mieszkańców). Wynika z tego, że pań- stwo i znakomita większość gmin nie skorzysta z oma- wianego wyjątku.
Skorzystają zaś podmioty z tzw. sektora pozarządo- wego, czyli wspomniane już wyżej fundacje i stowarzy- szenia, oczywiście pod warunkiem utrzymania odpo- wiednio niskiego zatrudnienia.
W kontekście prawa pracy do rozważenia pozostaje jeszcze następujący problem. Otóż stwierdzenie, że art.
30 ust. 5 RODO nie realizuje wyłącznie preferencji dla małych przedsiębiorstw, ponownie przywraca pytanie o sytuację pracodawców wewnętrznych w zakresie, w ja- kim ewentualnie administrują oni danymi osobowymi w rozumieniu RODO. Zwłaszcza że — jak wspomina- łem — użycie w polskiej wersji RODO pojęcia „pod- miot zatrudniający” zdaje stwarzać przestrzeń dla takiej interpretacji, podczas gdy używane w innych wersjach językowych pojęcie „organizacja” byłoby nieco trud- niejsze, choć też możliwe.
Należy podkreślić, iż takie założenie prowadzi do wniosku, że przywilej z art. 30 ust. 5 RODO dotyczyłby nie tylko pracodawców wewnętrznych, ale także jedno- stek organizacyjnych Skarbu Państwa i samorządów.
Jednak wyjątek dotyczy wyłącznie tego zakresu, w któ- rym podmioty te występują jako pracodawca, a nie jako urząd. Oczywiście wszystko to przy założeniu, że do przetwarzania danych pracowniczych stosuje się RODO, co w moim przekonaniu wcale nie jest pewne, a co najmniej nie jest pewne w stosunku do części prze- twarzanych danych.
Przedsiębiorstwo unijne czy krajowe
Zanim przejdziemy do konkluzji należy się odnieść do jeszcze jednej kwestii. Jakkolwiek powyższe rozważania doprowadziły do wniosku, że art. 30 ust. 5 RODO reali- zuje nie tylko postulat preferencji dla MŚP, to przecież właśnie to uzasadnienie jest niewątpliwie jednym z klu- czowych. Przyjąłem także ważne założenie, iż mimo braku jednoznacznego odwołania w motywie nr 13, definiowanie MŚP powinno się odbywać nie tylko w oparciu o art. 2 załącznika do zalecenia Komisji 2003/361/WE, ale także w oparciu o te jego przepisy, które wprowadzają zasady obliczania wielkości zatrud- nienia. Oznacza to, że ustalając wielkość zatrudnienia uwzględniamy zatrudnienie w podmiotach powiązanych w rozumieniu wspomnianego załącznika.
W tym kontekście powstaje pytanie, czy przedmio- tem ustalania zatrudnienia jest przedsiębiorca „krajo- wy” czy też „unijny”. Innymi słowy, czy badając powią- zania kapitałowe lub zarządcze ograniczamy się do pod- miotów działających w danym kraju członkowskim, czy też obejmujemy wszystkie kraje członkowskie lub wszystkie państwa.
Odpowiedź na powyższe pytanie jest — moim zdaniem — taka, że przedmiotem ustalenia powinno być zatrudnienie we wszystkich podmiotach powiąza- nych, niezależnie od ich siedziby. Przemawiają za tym trzy argumenty.
Pierwszy, że wspomniany wyżej załącznik nie określa granic, w ramach których dokonujemy analizy powiązań i kumulacji zatrudnienia.
Drugi, że określając zakres terytorialny RODO sta- nowi, iż ma ono zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy prze- twarzanie odbywa się w Unii (art. 3 ust. 1).
Trzeci, że odmienna wykładnia naruszałaby zasadę równości wobec prawa, deformując zarazem aksjolo- giczne uzasadnienie preferencji MŚP. Niewielki oddział światowych korporacji konkurowałby bowiem kosztowo z firmą rodzinną.
Z powyższego rozumowania wynika wniosek, że w znakomitej większości przypadków obowiązek stoso- wania rejestrów czynności przetwarzania danych będzie obciążał najmniejszą nawet strukturę dużych korpora- cji, również jeśli mają one siedzibę poza granicami kra- ju i Unii Europejskiej.
Wnioski
Ustalenie zakresu podmiotowego korzystania z przywi- leju, o którym mowa w art. 30 ust. 5 RODO, może na- stręczać wątpliwości. Dodajmy przy tym, iż samo niskie zatrudnienie nie oznacza jeszcze, że przedsiębiorca nie ma obowiązku prowadzenia rejestru.
Niemniej na podstawie powyższych rozważań można stwierdzić, że najbardziej spójna jest następująca wy- kładnia:
wyłączenie z obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych nie obej- muje państwa w tym zakresie, w jakim przetwarza dane w związku z wykonywaniem zadań publicznych;
wyłączenie obejmuje pracodawców będących przedsiębiorcami, przy czym na wielkość zatrudnienia nie wpływa struktura wewnętrzna przedsiębiorcy;
obliczając zatrudnienie u przedsiębiorców należy zastosować wzory określone w załączniku do zalecenia Komisji 2003/361/WE, co oznacza, że należy zastoso- wać nie tylko art. 2 zalecenia;
organizacje społeczne korzystają z przywileju, jeśli zatrudnienie nie przekracza 250 osób;
tzw. pracodawcy wewnętrzni, jeśli przyjąć, że są ad- ministratorami danych osobowych w rozumieniu RODO, nie prowadzą rejestru jako „podmioty zatrudniające”, ale tylko w tym zakresie, w którym są administratorami, czyli de facto w zakresie danych osobowych pracowników.
1Zgodnie z art. 30 ust. 5 RODO: Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub pod- miotu zatrudniającego mniej niż 250 osób, chyba że przetwa- rzanie, którego dokonują, może powodować ryzyko narusze- nia praw lub wolności osób, których dane dotyczą, nie ma cha- rakteru sporadycznego lub obejmuje szczególne kategorie da- nych osobowych, o których mowa w art. 9 ust. 1, lub dane oso- bowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
2Dokonałem w tym miejscu istotnego uproszczenia. Nie ma tu miejsca na rozwikłanie problemów interpretacyjnych doty- czących pojęcia pracodawcy, które występuje w różnym zna- czeniu w różnych kontekstach. Odsyłam w tym miejscu do moich rozważań w Sobczyk, 2018, s. 113 i n.
3Por. art. 5 załącznika, zgodnie z którym „Liczba zatrudnionych osób odpowiada liczbie »rocznych jednostek roboczych« (RJR), to jest liczbie pracowników zatrudnionych na pełnych etatach w obrębie danego przedsiębiorstwa lub w jego imieniu w ciągu całego roku referencyjnego, który jest brany pod uwagę. Praca osób, które nie przepracowały pełnego roku, które pracowały w niepełnym wymiarze godzin lub pracowników sezonowych jest obliczana jako część ułamkowa RJR. Personel składa się z:
a) pracowników; b) osób pracujących dla przedsiębiorstwa, pod- legających mu i uważanych za pracowników na mocy prawa pań- stwowego; c) właścicieli — kierowników; d) partnerów prowa- dzących regularną działalność w przedsiębiorstwie i czerpiących z niego korzyści finansowe. Praktykanci lub studenci odbywający szkolenie zawodowe na podstawie umowy o praktyce lub szkole- niu zawodowym nie wchodzą w skład personelu. Okres trwania urlopu macierzyńskiego lub wychowawczego nie jest wliczany”.
4Zgodnie z art. 4 pkt. 18 RODO „przedsiębiorca” oznacza osobę fizyczną lub prawną prowadzącą działalność gospodar- czą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą.
5Taki też pogląd wyrażam od kilku lat, postrzegając czynno- ści pracodawcy jako czynności prawa publicznego, a umowę o pracę jako umowę prawa publicznego.
Literatura
Lubasz, D. (2018). Komentarz do artykułu 30 RODO.
W: E. Bielak-Jomaa, D. Lubasz (red.), Ogólne rozporządze- nie o ochronie danych. Komentarz. Warszawa.
Sobczyk, A. (2018). Podmiotowość pracy a towarowość usług.
Kraków.
Wygoda, K. (2018). Komentarz do artykułu 30 RODO.
W: M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz. Warszawa.
