V nedávném rozhodnutí vydaném dne 26.11.2020,¹ rakouský Spolkový správní soud (Bundesverwaltungsgericht(BVwG) zrušil pokutu ve výši 18 milionů EUR, kterou rakouský úřad pro ochranu osobních údajů (DPA) uložil Rakouské poště (APS). Případ se soustředí na stejné skutečnosti, které BVwG posuzoval v samostatném rozhodnutí.² Soud v něm potvrdil správní trest uložený orgánem pro ochranu údajů společnosti APS, která byla obviněna z nezákonného zpracování a prodeje osobních údajů zákazníků, jako jsou soukromé adresy a předpokládaná politická příslušnost, třetím stranám pro marketingové účely.

V tomto rozhodnutí BVwG uznal protiprávní povahu jednání společnosti APS, nicméně zrušil sankci stanovenou DPA na základě toho, že nebylo prokázáno, že za dané zavinění byly odpovědné jak právnické, tak fyzické osoby jednající jménem společnosti APS.

Fakta

Faktické počátky případu sahají do zprávy novinářské platformy Addendum z ledna 2019,³ uvedla, že kromě informací o soukromých adresách, pohlaví a věku, vzdělání a preferencích ohledně investic nebo darů shromáždila APS také údaje o vnímaných politických preferencích přibližně 3 milionů zákazníků.⁴

Na základě šetření z moci úřední agentura DPA:

• dospěl k závěru, že provádění šetření sociodemografických faktorů a zpracovávání informací o politických preferencích jednotlivce bez jakéhokoli právního základu lze kvalifikovat jako zvláštní kategorii osobních údajů podle čl. 9 odst. 1 obecného nařízení o ochraně osobních údajů (nařízení (EU) 2016/679) (GDPR), a je tedy třeba předchozího výslovného souhlasu dotčené strany (čl. 9 odst. 2 písm. a) GDPR; § 151 odst. 4). Gewerbeordnung, GewO);

• nařídil ukončení zpracování údajů a vymazání již shromážděných informací ve lhůtě dvou týdnů;

• rozhodl, že APS neprovedla odpovídající posouzení vlivu na ochranu osobních údajů (před 25. květnem 2018), neboť nesprávně nepovažovala politickou příslušnost za zvláštní kategorii osobních údajů.

APS reagovala odvoláním, v němž namítala, že informace o politické náklonnosti soukromé osoby nelze považovat za osobní údaje, neboť tyto informace jsou získávány prostřednictvím anonymizovaných průzkumů veřejného mínění, které poskytují obecné prognózy. Jelikož tyto výpočty pravděpodobnosti nelze opravit (článek 16 GDPR), považují se za marketingové informace a klasifikaci podle § 151 odst. 6 GewO. Přesto bylo dodáno, že i kdyby byly považovány za osobní údaje, nekvalifikují se jako zvláštní kategorie ty.

Již v listopadu BVwG potvrdil rozhodnutí DPA a rozhodl, že zpracování údajů o příbuznosti s politickou stranou lze považovat za osobní údaje podle čl. 4 odst. 1 GDPR. Vzhledem k tomu, že získané informace lze přiřadit konkrétně identifikovatelné soukromé osobě, jejíž politické přesvědčení má být chráněno před diskriminací podle článku 9 GDPR, je třeba s nimi zacházet jako se zvláštní kategorií osobních údajů, a vyžadovat tak předchozí souhlas. Tato část rozhodnutí je nyní projednávána před Soudním dvorem Rakouský nejvyšší správní soud (Verwaltungsgerichtshof, VwGH).

Věc, kterou se zabýváme v tomto článku, se však týká jiného právního aspektu téhož případu.

Na základě výše uvedených skutečností se případ soustředí na údajné porušení čl. 5 odst. 1, čl. 6 odst. 2, čl. 6 odst. 4, článků 9, 14, 30, 35 a 36 obecného nařízení o ochraně osobních údajů ze strany APS. Navazuje na odvolání, které APS podala na základě argumentu, že pokuta byla udělena, aniž by bylo prokázáno zavinění fyzických osob jednajících jejím jménem (čl. 4 odst. 7 GDPR).

V následujícím textu se zaměříme na nedávné rozhodnutí BVwG o zrušení pokuty DPA ve světle dřívějších závěrů VwGH. V něm Soudní dvůr rozhodl, že aby mohla být právnická osoba činěna odpovědnou, musí být údajné faktické, protiprávní a zaviněné jednání přičitatelné také fyzické osobě (§ 44a VStG).⁵

Problém

Vzhledem k tomu, že GDPR zamýšlí a skutečně stanoví přímou odpovědnost právnických osob, aniž by bylo nutné prokazovat individuální pochybení soukromé osoby, musel BVwG zvážit následující:

1. Zda byl orgán pro ochranu údajů oprávněn uložit právnické osobě pokutu podle článku 83 GDPR, pokud nebylo prokázáno zaviněné jednání fyzické osoby jednající jménem právnické osoby;

2. Zda se použijí vnitrostátní předpisy správního práva trestního, nebo zda je třeba posuzovanou otázku posoudit s ohledem na předpisy GDPR.

Rozhodnutí

Soudní dvůr rozhodl, že pokuta uložená na základě ustanovení článku 83 GDPR spadá pod ustanovení rakouského zákona o správním trestání (Verwaltungsstrafgesetz, VStG), jakož i rakouský zákon o ochraně osobních údajů (Datenschutzgesetz, DSG). Vnitrostátní procesní pravidla jsou použitelná v souvislosti s pokutami uloženými v důsledku porušení podle GDPR, neboť čl. 83 odst. 8 stanoví: "Výkon pravomocí dozorového úřadu [...] podléhá vhodným procesním zárukám v souladu s právem Unie a členského státu, včetně účinných opravných prostředků a spravedlivého procesu.⁶

Dále zjistil, že úřad pro ochranu údajů nepostupoval v souladu s § 44a, 45 VStG, jakož i s § 30 DSG, neboť neprokázal zavinění fyzických osob, které jednaly jménem APS, jako jsou osoby, které ji zastupují, vykonávají v ní kontrolu nebo jejím jménem rozhodují.

Komentář:

Ačkoli orgán BVwG mohl sankci uloženou společnosti APS zrušit, jeho rozhodnutí se zakládá na formální chybě ze strany orgánu pro ochranu údajů. Jako takové je třeba jej posuzovat samostatně a není v rozporu s dřívějším rozhodnutím BVwG, v němž byl učiněn závěr, že jednání spočívající ve zpracování údajů týkajících se osobní příslušnosti k politické straně zakládá odpovědnost.

Poznámky pod čarou

1 Číslo spisu: W258 2217446-1/14E. K dispozici prostřednictvím: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Číslo spisu: W258 2217446-1/35E. K dispozici prostřednictvím: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift". Dodatek, 28. července 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [přístup 10.12.2020].

4 Další informace naleznete v tiskových zprávách jak rakouské pošty s názvem "Milníky a výhled na roky 2019 a 2020" (29. 10. 2019), tak Evropského sboru pro ochranu osobních údajů s názvem "Správní trestní řízení rakouského úřadu pro ochranu osobních údajů proti společnosti Österreichische Post AG" (23. 10. 2019), které jsou k dispozici prostřednictvím: https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Číslo spisu R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Čl. 83 GDPR - Obecné podmínky pro ukládání správních pokut". Obecné nařízení o ochraně osobních údajů (GDPR), 29. 3. 2018, gdpr-info.eu/art-83-gdpr/ [přístup 14. 12. 2020].

Obsah tohoto článku je určen jako obecný průvodce danou problematikou. Ohledně vašich konkrétních okolností je třeba vyhledat odbornou radu.