Австрия: Развитие на австрийската съдебна практика: Нарушения на поверителността на данните и GDPR

В неотдавнашно решение, постановено на 26.11.2020 г.,^[1] Австрийският федерален административен съд (Bundesverwaltungsgericht, BVwG) отмени глоба в размер на 18 милиона евро, наложена на Австрийската пощенска служба (APS) от австрийския орган за защита на данните (DPA). Делото се основава на същите факти, разгледани от BVwG в отделно решение^[2]. В него Съдът потвърждава административната санкция на DPA срещу APS, която е обвинена в незаконосъобразно обработване и продажба на лични данни на клиенти, като например лични адреси и предполагаеми политически пристрастия, на трети лица за маркетингови цели.

В разглежданото решение BVwG признава незаконосъобразния характер на поведението на APS, но отменя наказанието на DPA, тъй като не е установено, че както юридически, така и физически лица, действащи от името на APS, са отговорни за въпросната виновност.

Фактите

Фактическият произход на делото датира от доклад на журналистическата платформа Addendum от януари 2019 г.^[3], в който се посочва, че освен информация за лични адреси, пол и възраст, образование, както и предпочитания по отношение на инвестиции или дарения, APS е събирала и данни за предполагаемите политически пристрастия на около 3 милиона клиенти^[4].

Вследствие на разследване по служебен път ДПА:

• заключи, че извършването на проучване на социално-демографски фактори и обработването на информация относно политическите предпочитания на дадено лице без правно основание се квалифицира като специална категория лични данни съгласно член 9, параграф 1 от Общия регламент относно защитата на данните (Регламент (ЕС) 2016/679) (ОРЗД), поради което е необходимо предварително изрично одобрение от заинтересованата страна (член 9, параграф 2, буква а) от ОРЗД; § 151, параграф 4 от Gewerbeordnung, GewO);
• разпореди обработката на данни да бъде прекратена и вече събраната информация да бъде заличена в срок от две седмици;
• постанови, че APS не е извършил адекватна оценка на въздействието върху защитата на данните (преди 25.05.2018 г.), тъй като неправилно не е разгледал политическата принадлежност като специална категория лични данни.

APS отговори чрез жалба, като заяви, че информацията за политическата принадлежност на физическо лице не се квалифицира като лични данни, като се има предвид, че такава информация се събира чрез анонимни анкети, предоставящи общи прогнози. Тъй като тези вероятностни изчисления не могат да бъдат коригирани (член 16 от ОРЗД), те се считат за маркетингова информация и класификация съгласно § 151, параграф 6 от GewO. И все пак беше добавено, че дори да се разглеждат като лични данни, те не се квалифицират като специална категория последните.

Неотдавна, през ноември, BVwG потвърди решението на DPA и постанови, че извършването на обработка на данни за афинитет към политическа партия се квалифицира като лични данни съгласно член 4, параграф 1 от ОРЗД. Като се има предвид, че получената информация може да бъде отнесена към конкретно идентифицируемо физическо лице, чиито политически убеждения трябва да бъдат защитени от дискриминация съгласно член 9 от ОРЗД, тя трябва да се третира като специална категория лични данни, поради което се изисква предварително съгласие. Тази част от решението понастоящем е предмет на разглеждане от Върховния административен съд на Австрия (Verwaltungsgerichtshof, VwGH).

Разглежданият в настоящата статия въпрос обаче се отнася до друг правен аспект на същото дело.

Въз основа на изложените по-горе факти делото се съсредоточава върху твърдяното нарушение от страна на APS на член 5, параграф 1, член 6, параграф 2, член 6, параграф 4, членове 9, 14, 30, 35 и 36 от ОРЗД. То следва жалба, подадена от APS, основана на аргумента, че глобата е била издадена, без да е установена вина от страна на физическите лица, действащи от нейно име (член 4, параграф 7 от ОРЗД).

По-долу ще се спрем на неотдавнашното решение на BVwG да отмени глобата на АЗД в светлината на по-ранните заключения, направени от VwGH. В него Съдът постанови, че за да може юридическо лице да бъде подведено под отговорност, твърдяното фактическо, незаконно и виновно поведение трябва да се дължи и на физическо лице (член 44а от VStG)^[5].

Въпросът

Тъй като GDPR има за цел и действително предвижда пряка отговорност на юридическите лица, без да е необходимо да се доказва индивидуално неправомерно поведение от страна на физическо лице, BVwG трябваше да разгледа следното:

1. Дали ОЗД е имал право да наложи глоба съгласно член 83 от ОРЗД на юридическо лице при липса на доказано виновно поведение от страна на физическо лице, действащо от името на юридическо лице;

2. Дали се прилагат националните норми на административнонаказателното право или разглежданият въпрос трябва да бъде разгледан в светлината на нормите на GDPR.

Решение

Съдът постановява, че глобата на DPA, наложена въз основа на разпоредбите на член 83 от GDPR, попада в обхвата на разпоредбите на австрийския административнонаказателен закон (Verwaltungsstrafgesetz, VStG), както и на австрийския закон за защита на данните (Datenschutzgesetz, DSG). Националните процесуални правила са приложими в контекста на глобите, наложени поради нарушение по ОРЗД, тъй като член 83, параграф 8 гласи "Упражняването на правомощията на надзорния орган [...] подлежи на подходящи процесуални гаранции в съответствие с правото на Съюза и правото на държавата членка, включително ефективни правни средства за защита и справедлив съдебен процес"^[6].

Освен това той установява, че ОЗД не е действал в съответствие с §§ 44а, 45 VStG, както и с § 30 DSG, като е пропуснал да докаже вината на физическите лица, които са действали от името на APS, като например лицата, които представляват, упражняват контрол или вземат решения от името на последния.

Коментар:

Въпреки че наложеното на APS наказание може да бъде отменено от BVwG, решението му се основава на формална грешка от страна на DPA. Като такова то трябва да се разглежда отделно и не противоречи на по-ранното решение на BVwG, в което се стига до заключението, че поведението на обработване на данни относно лична принадлежност към политическа партия води до отговорност.

Ресурси

1. Номер на досието: Номер на документа W258 2217446-1/14E. Достъпно чрез: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Номер на досието: Номер на досието W258 2217446-1/35E. Достъпно чрез: https: //www.ris.bka.gv.at/Dokument.wxe? ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Addendum, 28 юли 2020 г., www.addendum.org/datenhandel/parteiaffinitaet/ [посетен на 10.12.2020 г.].
4. За допълнителна информация вж. съобщенията за пресата както на Австрийската пощенска служба, озаглавени "Основни моменти и перспективи за 2019 г. и 2020 г." (29.10.2019 г.), така и на Европейския комитет по защита на данните, озаглавени "Административнонаказателно производство на австрийския орган за защита на данните срещу Österreichische Post AG (23.10.2019 г.), достъпни чрез: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Номер на преписката R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Чл. 83 от ОРЗД - Общи условия за налагане на административни глоби." Общ регламент относно защитата на данните (ОРЗД), 29 март 2018 г., gdpr-info.eu/art-83-gdpr/ [достъпно на 14.12.2020 г.].

Съдържанието на тази статия има за цел да предостави общо ръководство по темата. Следва да се потърси специализиран съвет относно вашите конкретни обстоятелства.