Przedsiębiorca

Art.  4 pkt 18 RODO

Przedsiębiorca oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą.

Choć definicja przedsiębiorcy z pozoru wygląda na dość oczywistą, to w praktyce przysparza kilku problemów.

Po pierwsze, w polskim tłumaczeniu mamy do czynienia z definicją przedsiębiorcy. Kiedy jednak zajrzymy do angielskiej wersji językowej to mamy do czynienia z pojęciem „enterprise”, które jakby nie było tłumaczone oznacza firmę, organizację, projekt lub aktywność. Przedmiotowa definicja odnosi się zatem do przedsiębiorstwa nie zaś przedsiębiorcy.  Nie wchodząc za bardzo w dyskusje na poziomie akademickim warto jedynie odnotować tę rozbieżność i dość szeroko rozumieć podjęcie przedsiębiorcy w ujęciu RODO.  

 

Po drugie, definicja odnosi się do działalności gospodarczej. Termin ten nie może jednak być rozumiany w sposób wyłącznie nadany mu przez przepisy prawa polskiego. Dlaczego? RODO jest rozporządzeniem unijnym, więc jeżeli mamy wątpliwości co należy rozumieć przez pojęcie działalności gospodarczej, to należy sięgnąć po orzecznictwo Trybunału Sprawiedliwości.

Zgodnie właśnie z tym orzecznictwem przez działalność gospodarczą należy rozumieć każda działalność polegającą na oferowaniu towarów lub usług na określonym rynku.

W rezultacie zarówno przedsiębiorcę, jak u działalność gospodarczą należy rozumieć szerzej niż w ujęciu polskich przepisów.  

Dlaczego zrozumienie tych rozbieżności jest ważne?

Prawidłowe zrozumienie definicji przedsiębiorcy jest konieczne do należytego zrozumienia przepisów RODO. Choć kwalifikacja podmiotu jako przedsiębiorcy nie ma znaczenia dla przyznania statusu administratora lub podmiot przetwarzający, to jednak wpływa na uprawnienia niektórych podmiotów. Ma to również znaczenie podczas interpretacji przepisów odnoszących się do kar administracyjnych!

Kary administracyjne

Przepisy art. 83 ust. 4-6 RODO posługują się pojęciem przedsiębiorstwa, a nie przedsiębiorcy.

Art. 83 ust. 4 RODO

Naruszenia przepisów […] podlegają […] administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego[…].

Art. 83 ust. 5 RODO

Naruszenia przepisów […] podlegają […] administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego […].

Art. 83 ust. 6 RODO

Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 [RODO] podlega […] administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Wyłączenie dotyczące prowadzenia rejestru czynności przetwarzania lub rejestru kategorii czynności przetwarzania

Przedsiębiorca zatrudniający mniej niż 250 osób jest zwolniony, z wyjątkami wynikającymi z art. 30 ust. 5 RODO,  z prowadzenia rejestru czynności przetwarzania lub rejestru kategorii czynności przetwarzania.

Czytając literalnie przepisy RODO mogłoby się wydawać, że bloger, który jednocześnie nie jest przedsiębiorcą nie jest zwolniony z prowadzenia działalności gospodarczej.

Generalnie i tak to wyłączenie ma charakter pozorny.  Możesz poczytać o tym tutaj.

Art. 30 ust. 5 RODO

Obowiązki, o których mowa w [art. 30] ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 [RODO], lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 [RODO].

Wiążące reguły korporacyjne

Grupa przedsiębiorców może korzystać z wiążących reguł korporacyjnych po ich zatwierdzeniu przez organ nadzorczy.

Art. 47 ust. 1 lit. a RODO

Właściwy organ nadzorczy zatwierdza wiążące reguły korporacyjne zgodnie z mechanizmem spójności przewidzianym w art. 63 [RODO], pod warunkiem że są one prawnie wiążące oraz mają zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w tym ich pracowników, i są przez każdego z tych członków egzekwowane […].

Kim jest zatem przedsiębiorca w rozumieniu RODO?

Przykłady:

• osoba fizyczna
• fundacja
• stowarzyszenie
• spółka jawna
• wspólnota mieszkaniowa

Źródła:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG) w wersji angielskiej (online:) https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=PL [dostęp: 10.11.2020 r.]
2. Enterprise (online:) https://www.thesaurus.com/browse/enterprise?s=t [dostęp: 10.11.2020 r.]
3. Enterprise, Longman Dictionary, (online:) https://www.ldoceonline.com/dictionary/enterprise [dostęp: 10.11.2020 r.]
4. Chomiczewski, komentarz do art. 4 pkt 18 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, s. 288 – 295 i cytowane tam orzecznictwo.
5. Litwiński/ Barta/M. Kawecki, komentarz do art. 4 pkt 18 [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. P. Litwiński, Warszawa 2018, Legalis.
6. Chomiczewski, Przedsiębiorca [w:] Meritum. Ochrona danych osobowych, pod red. D. Lubasz, Warszawa 2020, s. 145-149.