Austria: Austria kohtupraktika areng: Andmekaitserikkumised ja GDPR

Hiljutises 26.11.2020 tehtud otsuses^[1 ] tühistas Austria föderaalne halduskohus (Bundesverwaltungsgericht, BVwG) 18 miljoni euro suuruse trahvi, mille Austria andmekaitseasutus (DPA) oli Austria Postiteenistusele (APS) määranud. Kohtuasja keskmes on samad asjaolud, mida BVwG käsitles eraldi otsuses.^[2] Selles kinnitas kohus DPA halduskaristuse APSi suhtes, mida süüdistati klientide isikuandmete, näiteks era-aadresside ja eeldatava poliitilise kuuluvuse, ebaseaduslikus töötlemises ja müümises kolmandatele isikutele turunduslikel eesmärkidel.

Kõnealuses otsuses tunnistas BVwG APSi käitumise õigusvastasust, kuid tühistas siiski DPA karistuse, kuna see ei tuvastanud, et nii juriidilised kui ka füüsilised isikud, kes tegutsesid APSi nimel, olid vastutavad kõnealuse süütegude eest.

Faktid

Juhtumi faktiline algupära ulatub tagasi ajakirjandusplatvormi Addendum 2019. aasta jaanuaris avaldatud aruandesse^[3], milles väidetakse, et lisaks teabele isiklike aadresside, soo ja vanuse, hariduse ning investeeringute või annetuste eelistuste kohta oli APS kogunud andmeid ka ca 3 miljoni kliendi tajutavate poliitiliste kalduvuste kohta^[4].

Pärast ametiülesande uurimist tegi DPA:

• jõudis järeldusele, et sotsiaal-demograafiliste tegurite uurimise ja üksikisiku poliitilisi eelistusi käsitleva teabe töötlemise tegevus ilma õigusliku aluseta kvalifitseerub isikuandmete eriliigiks vastavalt isikuandmete kaitse üldmääruse (määrus (EL) 2016/679) (GDPR) artikli 9 lõikele 1, mistõttu on vaja asjaomase isiku eelnevat selgesõnalist nõusolekut (GDPR artikli 9 lõike 2 punkt a; Gewerbeordnung, GewO § 151 lõige 4);
• nõudis andmete töötlemise lõpetamist ja juba kogutud andmete kustutamist kahe nädala jooksul;
• leidis, et APS ei viinud (enne 25.05.2018) läbi piisavat andmekaitsealast mõjuhinnangut, kuna jättis ekslikult arvestamata poliitilise kuuluvuse kui isikuandmete eriliigi.

APS vastas apellatsioonkaebusele, väites, et teave eraisiku poliitilise kuuluvuse kohta ei kvalifitseeru isikuandmetena, arvestades, et sellist teavet kogutakse anonüümsete küsitluste kaudu, mis edastavad üldisi prognoose. Kuna neid tõenäosusarvutusi ei saa parandada (GDPR artikkel 16), loetakse neid turundusteabeks ja liigitatakse GewO § 151 lõike 6 kohaselt. Siiski lisati, et isegi kui seda peetakse isikuandmeteks, ei kvalifitseeru see eriliigina viimasesse kategooriasse.

Alles novembris kinnitas BVwG andmekaitseinspektori otsust ja leidis, et erakonnaga seotud andmete töötlemise käitumine kvalifitseerub isikuandmete hulka vastavalt GDPRi artikli 4 lõikele 1. Arvestades, et saadud teavet võib seostada konkreetselt tuvastatava eraisikuga, kelle poliitilisi veendumusi tuleb GDPRi artikli 9 kohaselt kaitsta diskrimineerimise eest, tuleb neid käsitleda kui eriliigilisi isikuandmeid, mis nõuavad seega eelnevat nõusolekut. See osa otsusest on praegu Austria kõrgeimas halduskohtus (Verwaltungsgerichtshof, VwGH) menetluses.

Käesolevas artiklis käsitletav küsimus puudutab aga sama juhtumi teistsugust õiguslikku aspekti.

Tuginedes eespool kirjeldatud asjaoludele, keskendub juhtum APSi väidetavale GDPRi artikli 5 lõike 1, artikli 6 lõike 2, artikli 6 lõike 4, artikli 9, artikli 14, artikli 30, artikli 35 ja artikli 36 rikkumisele. See tuleneb APSi esitatud apellatsioonkaebusest, mis põhineb väitel, et trahv määrati ilma tema nimel tegutsevate füüsiliste isikute süü tuvastamata (isikuandmete kaitse üldmääruse artikli 4 lõige 7).

Järgnevalt keskendutakse BVwG hiljutisele otsusele tühistada andmekaitseasutuse trahv, arvestades VwGH varasemaid järeldusi. Seal leidis kohus, et juriidilise isiku vastutusele võtmiseks peab väidetav faktiline, ebaseaduslik ja süüline käitumine olema omistatav ka füüsilisele isikule (VStG § 44a)^[5].

Küsimus

Kuna GDPR näeb ette ja näeb tõepoolest ette juriidiliste isikute otsese vastutuse, ilma et oleks vaja tõendada eraisiku individuaalset väärkäitumist, pidi BVwG kaaluma järgmist:

1. Kas andmekaitseinspektoril oli õigus määrata juriidilisele isikule GDPRi artikli 83 alusel trahv, kui ei ole näidatud juriidilise isiku nimel tegutseva füüsilise isiku süüline käitumine;

2. kas siseriiklikud halduskaristusõiguse normid leiavad kohaldamist või tuleb vaadeldavat küsimust uurida GDPRi normide valguses.

Otsus

Kohus leidis, et GDPR artikli 83 alusel määratud DPA trahv kuulub nii Austria halduskaristusseaduse (Verwaltungsstrafgesetz, VStG) kui ka Austria andmekaitseseaduse (Datenschutzgesetz, DSG) kohaldamisalasse. GDPRi rikkumise tõttu määratud trahvide suhtes kohaldatakse siseriiklikke menetlusnorme, kuna artikli 83 lõikes 8 on sätestatud: "Järelevalveasutuse volituste kasutamise suhtes [...] kohaldatakse asjakohaseid menetluslikke tagatisi kooskõlas liidu ja liikmesriigi õigusega, sealhulgas tõhusaid õiguskaitsevahendeid ja nõuetekohast menetlust."^[6].

Lisaks tuvastas ta, et andmekaitseasutus ei olnud tegutsenud kooskõlas VStG §-dega 44a, 45 ja DSG § 30, kuna jättis tõendamata nende füüsiliste isikute süü, kes tegutsesid APSi nimel, nagu seda esindavad, selles kontrollivad või selle nimel otsuseid langetavad isikud.

Kommentaar

Kuigi BVwG võis APSile määratud karistuse tühistada, põhineb selle otsus DPA formaalsel veal. Seega tuleb seda käsitleda eraldi ja see ei ole vastuolus BVwG varasema otsusega, milles jõuti järeldusele, et erakonnaga seotud isikuandmete töötlemise puhul tekib vastutus.

Ressursid

1. Dokumendi number: Docket number W258 2217446-1/14E. Kättesaadav: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Dokumendi number: Docket number W258 2217446-1/35E. Kättesaadav aadressil: https: //www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift." Lisa, 28. juuli 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [Kasutatud 10.12.2020].
4. Täiendavat teavet leiate nii Austria posti pressiteatest "Milestones and outlook for 2019 and 2020" (29.10.2019) kui ka Euroopa Andmekaitsenõukogu pressiteatest "Administrative criminal proceedings of the Austrian data protection authority against Österreichische Post AG (23.10.2019), kättesaadav aadressil: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Dokumendi number R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "GDPR artikkel 83 - haldustrahvide määramise üldtingimused." Andmekaitse üldmäärus (GDPR), 29.03.2018, gdpr-info.eu/art-83-gdpr/ [Kasutatud 14.12.2020].

Käesoleva artikli sisu on mõeldud üldiseks juhiseks. Teie konkreetsete asjaolude kohta tuleks küsida erialast nõu.