Austria: Viini ülemkohus kinnitab kahjunõude Facebooki vastu

07.12.2020 (kätte toimetatud 28.12.2020) tegi Oberlandesgericht Wien (OLG) otsuse apellatsioonimenetluses Schrems vs. Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b)^, milles ta kinnitas tsiviilasjade ülemkohtu (Landesgericht für Zivilrechtssachen) otsust ja leidis, et sotsiaalmeediaplatvormil oli kohustus anda hagejale täielik juurdepääs tema kohta hoitavatele andmetele, nõudes seega ettevõttelt 500 euro suurust hüvitist (GDPR artikkel 82).

Siiski jõudis ta ka järeldusele, et andmetöötluse toiming ei nõua platvormilt ELi andmekaitseõiguse kohaselt (GDPR artikli 6 lõike 1 punkt a) oma kasutajatelt üheselt mõistetavat, eraldi nõusolekut, vaid selline andmete kasutamise õigus on Facebookile olemuslikult antud tema lepingutingimuste alusel.

Otsuses keskendutakse mitmele õiguslikule kaebusele ja sellest tuleneb kolm erinevat küsimust, mis on allpool välja toodud.

Osapoolte rollide jaotamine andmekaitseõiguse alusel

Hageja

• Hageja sõnul peetakse platvormi kasutajat vastutavaks osapooleks või "vastutavaks töötlejaks" (isikuandmete kaitse üldmääruse artikli 4 lõige 7) seoses tema enda poolt tema isiklikel eesmärkidel kasutatavate andmerakendustega;
• Kostja tegutseb lepingu alusel "volitatud töötlejana", mis takistab teda teostamast mis tahes andmeside rakendusi ilma hageja juhisteta või vastupidiselt tema juhistele;
• GDPR artikli 28 lõike 3 nõuetele vastavat lepingut ei ole sõlmitud, kuigi hagejal on õigus sellisele lepingule.

Kostja

Kostja on hageja suhtes ainuvastutavaks isikuks, kellel puudub huvi tuvastusnõude vastu.

OLG (lk 21-23)

• Ainuüksi sotsiaalvõrgustiku platvormi kasutamine ei tee kasutajat iseenesest kaasvastutavaks selle võrgustiku poolt teostatud isikuandmete töötlemise eest;
• Erisus tuleb teha fännilehtede puhul, mille puhul kõnealuse lehe operaator aitab kaasa külastajate isikuandmete töötlemisele, mistõttu ta on vastutav töötleja (EIK C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, esp. punkt. 35, 36 ja 41).
• Facebooki kasutaja on seega kolmandate isikute isikuandmete suhtes ainult kaasvastutaja (GDPR artikli 4 lõige 7) ja ainult andmesubjekt seoses oma enda isikuandmetega.

Tõhus nõusolek isikuandmete töötlemiseks

Hageja

• Nõusolek sotsiaalmeediaplatvormi kasutustingimustega ja nendega seotud andmekasutuse suunistega ei anna tegelikku nõusolekut isikuandmete kaitse üldmääruse artikli 6 lõike 1 ja artikli 7 tähenduses;
• Vastupidiselt GDPRi sätetele, mis jõustusid 25.05.2018, ei näinud varasemate andmekaitsealaste õigusaktide alusel reguleeritud tsiviilõiguslikud lepingud ette selgesõnalist "nõusoleku" nõuet;
• integreerides eelneva nõusoleku ettevõtte tingimustesse enne GDPRi jõustumist, sunniti kasutajaid tahtmatult sõlmima uut lepingut, mis võimaldas platvormil mööda hiilida kehtiva GDPRi sätete kohastest rangematest andmekaitsestandarditest;
• Seega ei olnud hageja andnud tegelikku nõusolekut GDPRi tähenduses kostja poolt teostatud andmetöötluse kohta.

Kostja

Platvormi poolt teostatud andmetöötlus oli kooskõlas GDPR artikli 6 lõike 1 punkti b sätetega, kuna see oli lepingu täitmise vajalik osa.

OLG (lk 23-24)

• GDPR lubab erinevaid aluseid isikuandmete töötlemiseks, muu hulgas juhul, kui see on vajalik sellise lepingu täitmiseks, mille osapool on andmesubjekt (GDPR artikli 6 lõike 1 punkt b);
• Vajalikkus määratakse kindlaks iga üksikjuhtumi puhul eraldi, võttes nõuetekohaselt arvesse lepingu eesmärki ja lepingu sisust tulenevaid kohustusi;
• Facebooki ärimudeli ja selle lepingulise eesmärgi keskmes on:
  • Kasutaja jaoks: juurdepääsu saamine personaliseeritud suhtlusplatvormile;
  • platvormi jaoks: juurdepääsu võimaldamine ilma lisakuludeta;
• Sellisena võib platvormi haldav ettevõte kasutada muid rahastamisallikaid, nt konkreetsele kasutajale kohandatud reklaami;
• Kasutaja isikuandmete töötlemine näitab platvormi ja kasutaja vahelise lepingu põhilist tugisammast, kuna see on alus, mis võimaldab reklaami kohandamist vastavalt konkreetse kasutaja huvidele;
• Andmetöötluse vajalikkuse komponent on kindlaks tehtud selles, et sellise teabe kasutamine kujundab ühelt poolt kasutajate individuaalset kogemust, olles samas ka finantskanal, mille kaudu platvorm saab oma kasumit.

Teabe esitamise taotlus

Hageja

• Esitati teabenõue, millele ei ole veel vastatud vastavalt GDPRi artiklile 15;
• (Isiku)andmete kasutamist ja töötlemist käsitleva teabe üksnes osaline kättesaadavaks tegemine ei vasta kostja seadusest tulenevatele kohustustele;
• andmete töötlemisega seotud ebakindlus põhjustas emotsionaalset stressi, mis annab hagejale õiguse saada mittevaralist kahju 500 eurot.

Kostja

• Kostja ei ole oma kohustust rikkunud;
• Hageja ei olnud esitanud ühtegi veenvat väidet kahjunõude kohta.

OLG (24-29)

• Facebook ei olnud andnud oma kasutajatele juurdepääsu andmetele nende juurdepääsuvahendites, mis annab hagejale GDPR artikli 15 lõikest 1 tuleneva nõudeõiguse;
• hagejal on õigus saada teavet, mis puudutab:
  • Facebooki poolt töödeldavad isikuandmed ja nende eesmärk (GDPR artikli 15 lõike 1 punkt a);
  • kellele vastavaid isikuandmeid avaldatakse, st vastuvõtjate (kategooriate) kohta (isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt b);
  • andmete päritolu, kui neid ei ole kogutud hagejalt (isikuandmete kaitse üldmääruse artikli 15 lõike 1 punkt g);
• 500 euro suurune summa kajastab hageja kantud ebamugavuste väikest ulatust ja osutub põhjendatuks.

Kommentaar

Kooskõlas hageja väidetega on Euroopa Andmekaitseagentuur varem sõnaselgelt keelanud isikuandmete eriliikide töötlemise, välja arvatud juhul, kui selleks on antud selgesõnaline nõusolek või kui selline töötlemine on vajalik märkimisväärse avaliku huvi tõttu (isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkt g). Kuigi andmete edastamisel võiks endiselt kasutada andmete kasutamist käsitlevaid lepingutingimusi, ei ole need piisavad, et asendada sellise nõusoleku andmise vajadust^[2].

Kuigi OLG on andnud õiguse esitada kaebus Austria ülemkohtule, on oodata, et tõstatatud õigusküsimused jõuavad õigeaegselt taas Euroopa Liidu Kohtusse.

Ressursid

1. Kohtuotsus on kättesaadav saksa keeles aadressil: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.
2. Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Euroopa Andmekaitsenõukogu. Kättesaadav aadressil: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [Kasutatud 05.02.2021].

Käesoleva artikli sisu on mõeldud üldiseks juhiseks. Teie konkreetsete asjaolude kohta tuleks küsida erialast nõu.