Rakousko: Vývoj rakouské judikatury: Porušení ochrany osobních údajů a GDPR

V nedávném rozhodnutí ze dne 26. listopadu 2020^[1] rakouský Spolkový správní soud (Bundesverwaltungsgericht, BVwG) zrušil pokutu ve výši 18 milionů EUR, kterou rakouský úřad pro ochranu osobních údajů (DPA) uložil Rakouské poště (APS). Případ se soustředí na stejné skutečnosti, které BVwG posuzoval v samostatném rozhodnutí.^[2] V něm soud potvrdil správní trest uložený DPA společnosti APS, která byla obviněna z nezákonného zpracování a prodeje osobních údajů zákazníků, jako jsou soukromé adresy a předpokládaná politická příslušnost, třetím stranám pro marketingové účely.

V tomto rozhodnutí BVwG uznal protiprávní povahu jednání společnosti APS, avšak zrušil sankci uloženou úřadem DPA na základě toho, že nebylo prokázáno, že za dané zavinění byly odpovědné jak právnické, tak fyzické osoby jednající jménem společnosti APS.

Fakta

Skutkové počátky případu sahají ke zprávě novinářské platformy Addendum z ledna 2019^[3], v níž se uvádí, že kromě informací o soukromých adresách, pohlaví a věku, vzdělání, jakož i preferencích týkajících se investic nebo darů, shromažďovala společnost APS rovněž údaje o domnělých politických preferencích cca 3 milionů zákazníků^[4].

Na základě vyšetřování z moci úřední DPA:

• dospěl k závěru, že jednání spočívající v zjišťování sociodemografických faktorů a zpracování informací o politických preferencích jednotlivce bez jakéhokoli právního základu lze kvalifikovat jako zvláštní kategorii osobních údajů podle čl. 9 odst. 1 obecného nařízení o ochraně osobních údajů (nařízení (EU) 2016/679) (GDPR), a je tedy třeba předchozího výslovného souhlasu dotčené strany (čl. 9 odst. 2 písm. a) GDPR; § 151 odst. 4 Gewerbeordnung, GewO);
• nařídil ukončení zpracování údajů a vymazání již shromážděných informací ve lhůtě dvou týdnů;
• rozhodl, že APS neprovedla odpovídající posouzení vlivu na ochranu osobních údajů (před 25. 5. 2018), neboť nesprávně nepovažovala politickou příslušnost za zvláštní kategorii osobních údajů.

APS reagovala odvoláním, v němž namítala, že informace o politické příslušnosti soukromé osoby nelze považovat za osobní údaje vzhledem k tomu, že takové informace jsou shromažďovány prostřednictvím anonymizovaných průzkumů veřejného mínění, které přinášejí obecné prognózy. Jelikož tyto výpočty pravděpodobnosti nelze opravit (článek 16 GDPR), považují se za marketingové informace a klasifikaci podle § 151 odst. 6 GewO. Přesto bylo dodáno, že i kdyby byly považovány za osobní údaje, nekvalifikují se jako zvláštní kategorie ty.

Již v listopadu BVwG potvrdil rozhodnutí DPA a rozhodl, že jednání spočívající ve zpracování údajů o náklonnosti k politické straně lze kvalifikovat jako osobní údaje podle čl. 4 odst. 1 GDPR. Vzhledem k tomu, že získané informace lze přiřadit konkrétně identifikovatelné soukromé osobě, jejíž politické přesvědčení má být chráněno před diskriminací podle článku 9 GDPR, je třeba s nimi zacházet jako se zvláštní kategorií osobních údajů, a vyžadovat tak předchozí souhlas. O této části rozhodnutí nyní probíhá řízení před rakouským Nejvyšším správním soudem (Verwaltungsgerichtshof, VwGH).

Věc posuzovaná v tomto článku se však týká jiného právního aspektu téhož případu.

Na základě výše uvedených skutečností se případ soustředí na údajné porušení čl. 5 odst. 1, čl. 6 odst. 2, čl. 6 odst. 4, článků 9, 14, 30, 35 a 36 GDPR ze strany APS. Navazuje na odvolání, které APS podala na základě argumentu, že pokuta byla udělena, aniž by bylo prokázáno zavinění fyzických osob jednajících jejím jménem (čl. 4 odst. 7 GDPR).

V následujícím textu se zaměříme na nedávné rozhodnutí BVwG o zrušení pokuty uložené DPA ve světle dřívějších závěrů VwGH. V něm Soudní dvůr rozhodl, že aby mohla být právnická osoba činěna odpovědnou, musí být údajné faktické, protiprávní a zaviněné jednání přičitatelné také fyzické osobě (§ 44a VStG)^[5].

Problém

Vzhledem k tomu, že GDPR zamýšlí a skutečně stanoví přímou odpovědnost právnických osob, aniž by bylo nutné prokazovat individuální protiprávní jednání fyzické osoby, musel BVwG zvážit následující:

1. Zda byl orgán pro ochranu údajů oprávněn uložit pokutu podle článku 83 GDPR právnické osobě, pokud nebylo prokázáno zaviněné jednání fyzické osoby jednající jménem právnické osoby;

2. zda se uplatní vnitrostátní předpisy správního práva trestního, nebo zda je třeba posuzovanou otázku zkoumat s ohledem na předpisy GDPR.

Rozhodnutí

Soudní dvůr rozhodl, že pokuta DPA uložená na základě ustanovení článku 83 GDPR spadá pod ustanovení rakouského zákona o správním trestání (Verwaltungsstrafgesetz, VStG), jakož i rakouského zákona o ochraně údajů (Datenschutzgesetz, DSG). Vnitrostátní procesní předpisy jsou použitelné v souvislosti s pokutami uloženými v důsledku porušení podle GDPR, neboť čl. 83 odst. 8 stanoví: "Výkon pravomocí dozorového úřadu [...] podléhá vhodným procesním zárukám v souladu s právem Unie a členského státu, včetně účinných opravných prostředků a spravedlivého procesu."^[6].

Dále konstatoval, že orgán pro ochranu údajů nepostupoval v souladu s § 44a, 45 VStG, jakož i s § 30 DSG, neboť opomněl prokázat zavinění fyzických osob, které jednaly jménem APS, jako jsou fyzické osoby, které APS zastupují, vykonávají v ní kontrolu nebo jejím jménem rozhodují.

Komentář:

Ačkoli sankce uložená společnosti APS mohla být zrušena soudem BVwG, jeho rozhodnutí je založeno na formálním pochybení ze strany orgánu pro ochranu údajů. Jako takové je třeba jej posuzovat samostatně a není v rozporu s dřívějším rozhodnutím BVwG, v němž byl učiněn závěr, že jednání spočívající ve zpracování údajů týkajících se osobní spřízněnosti s politickou stranou zakládá odpovědnost.

Zdroje

1. Číslo dokumentu: W258 2217446-1/14E. K dispozici na adrese: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Číslo spisu: Číslo spisu W258 2217446-1/35E. K dispozici na adrese: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Dodatek, 28. července 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [navštíveno 10.12.2020].
4. Další informace naleznete v tiskových zprávách jak rakouské pošty s názvem "Milníky a výhled na roky 2019 a 2020" (29. 10. 2019), tak Evropského sboru pro ochranu osobních údajů s názvem "Správní trestní řízení rakouského úřadu pro ochranu osobních údajů proti společnosti Österreichische Post AG (23. 10. 2019), dostupné prostřednictvím: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Číslo spisu R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Článek 83 GDPR - Obecné podmínky pro ukládání správních pokut." Obecné nařízení o ochraně osobních údajů (GDPR), 29. března 2018, gdpr-info.eu/art-83-gdpr/ [přístup 14.12.2020].

Obsah tohoto článku má poskytnout obecnou orientaci v dané problematice. Ohledně vašich konkrétních okolností je třeba vyhledat odbornou radu.